giovedì 11 ottobre 2007

0day: WTF?

C'e' una grande confusione su questo termine.

L'unica cosa certa è che, ad intervalli regolari, l' "imprenditore" di turno vorrebbe - sfruttando il momento - cavalcare l'onda e farci un po' di soldi sopra. Magari autoconvincendosi (e tentando di convincere anche i probabili interlocutori e/o compratori) con qualche ideale degno del miglior libro cuore.

L'ultima persona che mi ha contattato per un progetto del genere (un vulnerabilty sharing club un po' particolare, toh... definiamolo cosi') è arrivata a dirmi che "un qualcosa del genere serve per internet, perche' dobbiamo farla diventare sicura...". Ho proposto di candidarci in politica e provare a cambiare il mondo, aggirando il problema: diventare padroni del mondo e staccare la spina di internet (e nel mentre aiutare pure i paesi poveri, sia chiaro).

Un colpo solo e via, senza pensarci due volte. :>

Non ne ha voluto sapere, forse perchè è gia' in politica da tanto e magari non aveva senso per lui una cosa del genere. Come non ho voluto saperne io di questo progetto. Il mercato è saturo di queste cose e la qualità di questi servizi ormai è cosi' scadente che investirci soldi - anche per una grossa azienda - è controproducente (rarissimi casi a parte) e con pochi ritorni.

Il mercato si sposta verso il mobile, non capisco perchè nessuno prende N sviluppatori per symbian/windows mobile e fa qualcosa in tal senso. Quello, secondo me, è il business attuale e futuro. E nessuno lo cavalca in modo massiccio investendoci MILIONI di euro.

A parte questo c'e' anche una gran confusione sulla terminologia. Tutti a dire la propria su qualcosa che non si conosce nemmeno. Il capitano della baracca è Mr. Fatman alias Gadi Evron. Credo sia la persona piu' noiosa che ho visto nella security dai tempi di ... mi autocensuro, non voglio essere cattivo.
Resta il fatto che è noioso, porta scompiglio e mai valore aggiunto su qualunque mailing list in cui si iscrive/viene invitato, mettendo il becco su tutti i thread. Condito al fatto che ha un potere di propagazione degno di nota (maledetto a lui ma sopratutto a chi gli vende connettività).

Per non rendere questo post inutile, una definizione di 0day potrebbe essere: un bug non pubblico e non patchato, del quale il vendor - e nessuno dei suoi dipendenti/collaboratori - non ne sono a conoscenza.

E' importante anche la seconda parte, quella riguardante dipendenti e collaboratori: le aziende hanno "sonde" nell'underground, acquisire rumors su probabili vulnerabilità sul componente X del prodotto Y li aiuta senza ombra di dubbio a fare un audit e trovare il problema velocemente, specialmente quando si parla di vulnerabilità su prodotti closed-source su cui il vendor giustamente parte avvantagiato essendo in possesso del source code.

Alcuni bug, potrebbero essere pubblici (ad es pubblicati su ml tipo bugtraq), ed ancora definibili 0day *SE* usati in the wild fino al momento della pubblicazione.

Tutto il resto, anche se chiamato 0day, è definibile fuffa o, meglio ancora, merda. Merda che ancora molti si ostinano a comprare.

Sono stanco.

Pubblicato da Gaetano Zappulla a 13.55 0 commenti Link a questo post

Etichette: , ,

Iscriviti a: Post (Atom)