[Noticia] «Stallman estaría dispuesto a colaborar con Microsoft si respetara su libertad»

El Wed, 22 Sep 2004 20:11:50 +0200 Jose Maria Lopez Hernandez escribió:

Sigo pensando que si los que se dedican a hacer virus/gusanos pillan
el código fuente lo tendrán mucho más fácil que ahora, simplemente es
ir mirando el código y buscando exploits, que seguro que salen a manta.

Se filtró el código del windows 2000 SPnoseque, y se anunciaron oleadas
y oleadas de exploits...y sacaron un triste exploit en el código encargado
de gestionar las imagenes BMP en el IE que nisiquiera afectaba a las últimas
versiones del IE. Aparte de ese, ¿dónde están las oleadas de exploits?
Idem en linux. Hay vulnerabilidades que tardan años en ser descubiertas
a pesar de que alguien podría haberlas visto desde el primer día. ¿Dónde
estuvieron todos esos programadores de virus todo el tiempo que estuvo
la vulnerabilidad visible?

Conclusión: Los creadores de virus/gusanos/exploits en su gran mayoria
no tiene NI PUÑETERA IDEA de buscar fallos de seguridad. Los gusanos
y virus en su gran mayoria (por no decir que todos) explotan las
vulnerabilidades una vez conocidas, publicadas, y en el 99% de las veces
parcheadas. Claro que hay gente que encuentra fallos de seguridad (los
desarrolladores de samba en windows han encontrado unos cuantos en su
día a día de implementar su programa por ejemplo) pero por lo general
parece que quien es lo suficientemente inteligente para descubrir un
fallo de seguridad lo es tambien para no perder el tiempo programando
virus y exploits, o al menos

El Wed, 22 Sep 2004 20:57:22 +0200 Diego Calleja escribió:

virus y exploits, o al menos

no lo publican al público o lo publican de una manera controlada (advirtiendo
a los programadores, etc)

El día Wed, 22 Sep 2004 20:12:47 +0200, JM Tella Llop [MVP Windows] escribió:

No.
El NDA solo te obliga a no redistribuirlo.

¿Seguro que no dice nada de no implementar cosas parecidas a las que veas
aunque no estén copiadas línea por línea?

Sigo pensando que si los que se dedican a hacer virus/gusanos pillan
el código fuente lo tendrán mucho más fácil que ahora, simplemente es
ir mirando el código y buscando exploits, que seguro que salen a manta.

Aparte de lo que dice JMT (que IMHO es completamente cierto), la gente que
está capacitada para encontrar un fallo de seguridad dentro de un código
fuente de, pongamos por caso, IE (o Mozilla), no está interesada en absoluto
en hacerlo, y no me refiero a que sean honrados, simplemente a que no les
vale la pena.

creo que tambien tengo NDA sobre el NDA. pero en este caso, puedo responderte: no dice nada de eso.

:-)


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"Gorka Olaizola" wrote in message news:

El día Wed, 22 Sep 2004 20:12:47 +0200, JM Tella Llop [MVP Windows] escribió:

No.
El NDA solo te obliga a no redistribuirlo.

¿Seguro que no dice nada de no implementar cosas parecidas a las que veas
aunque no estén copiadas línea por línea?