Resulta que un día unos tios muy expertos es eso de la seguridad decidieron crear unas charlas para informar a la gente del sector, de las vulnerabilidades que los grupos de Hackers participantes habian encontrado. A esto lo llamaron Black Hat digital self defense.
Pos bien, uno de ellos, Michael Lynn, (currante de la ISS, Internet Security Sistems) un día estaba él, allí, mirando por unos routers CISCO (que le gustaba mucho de mirar a él) y se dío cuenta de una vulnerabilidad en el propio operativo de estos routers (IOS Internetwork Operating System). El hombre se propuso como ponente en las charlas de Black Hat.
(Yo no sé mucho sobre qué tipo de ataque es en concreto, pero al parecer Lynn habría podido obtener código desensamblado del IOS).
Cuando CISCO se entera de esto se le ponen los pelos como escarpias y manda un minibus con abogados para intentar frustrar que se aireé la vulnerabilidad, que según el Lynn "podría poner a Internet de rodillas".
El tema está que Lynn decide, a pesar de las demandas interpuestas, dar la charla renunciando a su puesto en ISS, de esta manera asume el peso legal de la acción desvinculándose de la empresa a la que pertenecía.
La noticia fuente, que yo leí primero, aquí.
Otra fuente de la noticia original, en inglés, aquí.
Una vez contada la historia, mi versión: (que coincide bastante con este post)
- Cualquier empresa, por grande que sea es sensible a vulnerabilidades de seguridad.
- ¿Alguien puede decidir si es correcto o no publicarlas, darlas a conocer? Yo no, seguro, pero ahora CISCO está enviando IOS actualizado a sus clientes. ¿Lo hubiera hecho tan rápido de no producirse esta situación? Es decir, el fallo estaba ahí antes de la charla y lo hubiera seguido estando si no se hubiese dado.
- Existe gente profesional (y tecnócrata) comprometida con sus creencias. Al Sr. Lynn le ha costado su trabajo, y quien sabe si algo más, (por las batallas legales y tal).
No hay comentarios:
Publicar un comentario