El 1 de julio de 2009 Ningún Comentario 1 July 2009 No Comment

bien hoy es el primer día de julio y esto significa que también es el primer día del mes de errores de programación de gorjeo. como el 'mes pasado de los X errores de programación, cada día una vulnerabilidad de seguridad que se relaciona con el producto/servicio sustancial (en este gorjeo de caso) será revelada al público. well today is the first day of july and that means it’s also the first day of the month of twitter bugs. like past ‘month of X bugs’, each day a security vulnerability relating to the subject product/service (in this case twitter) will be disclosed to the public.

¿por qué revelan ellos estas vulnerabilidades al público? como con cualquier ejercicio en la revelación llena la idea es forzar la compañía (s) implicada para modificar los hábitos y fijar la vulnerabilidad revelada. la revelación llena pone la información en la esfera pública de modo que muchas personas sean conscientes de ello y algo tan agarrar la atención como un ‘mes de X errores de programación’ capturas hasta más parte de la mente y lo consigue que mucho más cerca a la corriente principal.why are they disclosing these vulnerabilities to the public? as with any exercise in full disclosure the idea is to force the company(ies) involved to clean up their act and fix the disclosed vulnerability. full disclosure puts the information into the public sphere so that many people are aware of it and something as attention-grabbing as a ‘month of X bugs’ captures even more mind-share and gets it that much closer to the mainstream.

en la teoría esto está bien para el público. en la teoría los investigadores que hacen la revelación hacen una buena acción porque ellos se preocupan por la seguridad y la compañía (s) ellos son pantsing son palurdos perezosos, arrogantes que no se preocupan por la seguridad o el público y quién tiene que ser forzado en hacer la cosa correcta. y supuestamente fijando los errores de programación individuales los investigadores de vulnerabilidad se identifican es la cosa correcta de hacer.in theory this is good for the public. in theory the researchers doing the disclosure are doing a good deed because they care about security and the company(ies) they’re pantsing are lazy, arrogant boors who don’t care about security or the public and who need to be forced into doing the right thing. and supposedly fixing the individual bugs the vulnerability researchers identify is the right thing to do.

¿pero y si la teoría sea incorrecta? no todas las compañías son creadas iguales (ni son todos los investigadores de vulnerabilidad en realidad). nadie sabe lo que continúa dentro de una compañía excepto la gente dentro de aquella compañía. es posible que una compañía dada realmente pueda trabajar en una mejora completa a su postura de seguridad que evitaría andanas de errores de programación incluso estos que son identificados por investigadores exteriores. pero esto tendría que ser retrasado y el tiempo de la compañía gastado de modo que ellos puedan andar en busca de estos errores de programación individuales uno por uno a fin de parecer hacer algo. tal es la consecuencia de cambiar la notificación de vulnerabilidad a la esfera pública.but what if the theory is wrong? not all companies are created equal (nor are all vulnerability researchers for that matter). nobody knows what goes on inside a company except the people inside that company. it’s possible that a given company may actually be working on a comprehensive upgrade to their security posture that would obviate swaths of bugs including the ones that get identified by outside researchers. but that would have to be delayed and the company’s time wasted so that they can chase down these individual bugs one at a time in order to appear to be doing something. such is the consequence of shifting vulnerability notification to the public sphere.

ahora, no voy a ser falso y sugerir que esto es lo que pasa todo el tiempo o hasta la mayor parte del tiempo, pero estando en el desarrollo de software me siento confidente que pasa un poco del tiempo. now, i’m not going to be disingenuous and suggest this is what happens all the time or even most of the time, but being in software development i feel confident that it is happening some of the time.

los practicantes de revelación llenos externos no tienen ninguna manera de saber que, sin embargo, tampoco he visto cualquier indicación que ellos se preocupan. a pesar de la ideología caliente y rizada detrás de la práctica, la revelación llena es una aplicación de la fuerza. es un ejercicio en la coacción, un ejemplo de usar relaciones públicas para doblar una compañía a la propia voluntad del investigador de vulnerabilidad porque supuestamente el investigador sabe mejor que la compañía lo que es el mejor para los usuarios de la compañía.external full disclosure practitioners have no way to know that, however, nor have i seen any indication that they care. despite the warm and fuzzy ideology behind the practice, full disclosure is an application of force. it is an exercise in coercion, an example of using public relations to bend a company to the vulnerability researcher’s own will because supposedly the researcher knows better than the company what is best for the company’s users.

no soy más un admirador de compañías perezosas, arrogantes, toscas que el siguiente tipo, pero 3ros partidos beligerantes deja un mal gusto en mi boca también. i’m no more a fan of lazy, arrogant, boorish companies than the next guy, but belligerent 3rd parties leave a bad taste in my mouth too.