#506 mismita experiencia, tienen -1 pensamiento crítico. Tienes que darles todo en pasos, haces esto, lo miras aquí, luego esto otro, etc. No les puedes dar cosas que no sean específicas. Y como no tengas cuidado, si les dices que caminen para delante se chocan con una pared, incapaces de dar la vuelta si no se lo has dicho.
Así que parece que quitan trabajo, pero realmente añaden más. Muchas veces la complejidad está en descubrir e investigar cómo hacer algo, no en hacerlo en sí.
#509 El unico análisis que hay es este
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
Y ahi dice que esto no han sido null bytes ni nada de eso.
#511 Doy fe, la mayoría de veces que he tenido que trabajar con indios he deseado que directamente no estuvieran y tuviera que comerme yo todo el trabajo. Habría acabado antes y mejor. Y de mejor humor.
Con lo de chocarse con la pared me has recordado a cuando un compañero se tiró fácilmente 3 horas intentando posicionar un motor con una precisión tres órdenes de magnitud menor que las especificaciones. Un tipo con estudios superiores.
#502 El problema es que todo esto es 'necesario' porque lo piden los auditores por temas de compliance. El departamento X (llamalo InfoSec, Seguridad o lo que sea) tiene una herramienta que se dedica a hacer scaneo de vulnerabilidades en toda la infraestructura que tenéis montada. Este genera un excel o informe donde vienen las máquinas, puertos y el motivo por el que han dado positivo. A partir de ahí hay dos opciones:
Todo lo contrario a esos dos puntos implica que vendrá luego el auditor, te preguntará por la documentación de X puerto en X maquinas y porqué este sigue apareciendo en la herramienta, y si no hay nada (y no, no vale decir que la aplicación corre en una intranet y no se necesita solucionar esto) equivale a una anotación en el informe de auditoría.
Dependiendo de que que tipo de auditoría las implicaciones pueden ser diferentes, en temas de auditoría SOX en USA el tener este tipo de cosas implica fallar la autoría, tener que ponerlo en tu memoria cuatrimestral y mencionarlo en las earning calls. Y te puede asegurar que si es una empresa medianamente serie te vas a la calle. Si es un tema HIPAA pues seguramente tengas a la entidad gubernamental de turno dandote por culo los proximos años.
#515 Ni que lo digas, pues no he sufrido ni nada auditorias SOX y controles de segregación de responsabilidades, horrible, y todo al final es para que el informe te salga con el check en verde.
#515 Si me parece perfecto que se auditen las cosas. En nuestro caso, desconozco quien hace esas auditorias, pero considero que algunos (de ahi que haya simpatizado "generalizando" con el otro user) son unos incompetentes en tanto que no saben nada de la aplicación que estan auditando y se esfuerzan muy poco o nada en explicar la vulnerabilidad (básicamente copian y pegan el cve) y llega a nosotros directamente pidiendo que se lo resolvamos, lol.
Las vulnerabilidades se tienen que estudiar en un contexto y de ahi a actuar en consecuencia. No me vale que tu corras el scaner automatizado, que éste te genere un informe y yo haga el resto del trabajo en interpretarlo. Si eres una auditoria seria, haz las cosas bien e implicate en el proyecto.
Me acuerdo del caso de log4j, que se pusieron como pollos sin cabeza sonando todas las alarmas, "corred corred, que tenemos que solucionar todas estas aplicaciones!!!", aunque algunos de los módulos que tenian la dependencia no estén expuestos más allá de la red local donde están... Un poco de sentido común y poner el foco donde importa más es mucho pedir?
#517 Es que el auditor no va a coger el excel y decir 'vale, esta entrada no tiene sentido'. El auditor va mirar el numero de vulnerabilidades reportadas por la herramienta, el numero de vulnerabilidades solucionadas, cuales estan todavía por solucionar y el impacto de las mismas. Que es una mierda de proceso? Pues si, pero el auditor nunca se va a parar a analizar si la documentación proporcionada tiene sentido.
En el caso de log4j y similares, aunque estén en la red local y no accesibles desde internet el problema sigue estando ahí y es una versión no parcheada con una vulnerabilidad crítica. Puedes priorizar esas aplicaciones que sean más facil de explotar porque reciban tráfico desde Internet, porque tengan datos sensitivos, etc. pero el objetivo final es que estén todos tus aplicativos parcheados.
No te estoy quitando la razón, pero las cosas no son negro o blanco y hay una escala de grises. Y te lo digo porque yo estaba en la misma situación cuando me enviaban los excels con los CVEs sin darme mas información y me hervía la sangre cuando me pedían una documentación para justificar el falso positivo. Luego te metes en la parte de auditoría y controles, ves los requisitos y al menos entiendes que hay una parte muy importante que en tu día a día no la ves.
#516 En segregación de responsabilidades cazaron a mi equipo un par de veces. Por ejemplo implementando un cambio en producción que yo mismo había realizado. Es bastante común sobre todo en equipos pequeños o que tiene una o dos personas como SME que solo ellos saben que hacer en ciertas areas.
Microsoft carga contra la Unión Europea por el desastre de CrowdStrike en Windows
https://hipertextual.com/2024/07/microsoft-carga-contra-europa-por-el-desastre-de-crowdstrike
un portavoz de la corporación de Redmond ha avivado las llamas al indicar que al menos parte de la culpa por el alcance de este incidente es de la Unión Europea.
En el final del mismo, un vocero de Microsoft le aseguró a dicho medio que la compañía está legalmente impedida de bloquear el acceso de terceros, como CrowdStrike, al kernel de Windows. Esto se debe a un "entendimiento" al que llegaron los estadounidenses con la Comisión Europea a fines de 2009, luego de una queja.
¿Esto qué significa? Que Microsoft está obligada a permitir que empresas que desarrollen herramientas de ciberseguridad tengan el mismo nivel de acceso a Windows que los propios creadores del sistema operativo. En la teoría, esta medida se ha tomado en pos de mejorar la competencia e impedir que los de Redmond monopolicen el mercado con utilidades como Microsoft Defender para punto de conexión. No obstante, el caso de CrowdStrike ha puesto en evidencia que cuando se produce un fallo en una solución que se ejecuta a nivel del kernel de Windows, las consecuencias son calamitosas.
El artículo básicamente viene a decir que la Unión Europea obligó a Microsoft en 2009 a no impedir el acceso a su kernel desde terceros. De ahí que cualquier compañía externa (como CrowdStrike) puedan crear software que trabaje con el kernel de Windows. Microsoft no estaba deacuerdo con dar acceso a su kernel y ahora saca pecho diciendo que este incidente no se hubiése producido si compañías externas como CS no accedieran al kernel.
Me ha resultado curioso como se están tirando mierda unos y otros. A ver como van las demandas en el futuro. Yo pillo palomitas 
#519 Desconocía esa obligación de MS de permitir el acceso al kernel por parte de terceros, es la discusión de siempre, Libertad vs Seguridad.
#521 Microsoft no es exáctamente un gran ejemplo en tema de seguridad así que terceros tengan acceso al kernel o no no da mucho para hablar en "libertad vs seguridad".
#521 El tema es que Europa no ha impuesto esa obligación a ChromiumOS o a los SO de Apple. Pero a Microsoft si que les obligaron.
Microsoft usará este incidente para intentar revertir esta situación. Y así ellos serán los únicos que podrán ofrecer un producto de seguridad a nivel de Kernel (Windows Defender) y nadie más.
Cosa que apoyo personalmente. Prefiero que sea el propio fabricante del kernel quien tenga acceso a él y desarrolle una herramienta de seguridad, en lugar de dar acceso a compañías de terceros.
#522 No, no lo es, pero al fin y al cabo, es su producto y se lo deberían follar como quisieran, si no luego tienes diferentes varas de medir como comenta #523 con otros SOs.
Si quieres SOs propietarios y limitando acceso al kernel, pues ves a por esos SOs, y si te va más Open Source, pues tienes infinitas opciones, lo que considero absurdo es querer dar las mismas armas a todos los third parties, no amigo, esta es la casa de Microsoft, y es evidente que Microsoft va con ventaja.
#524 Y de hecho se lo follan como quieren, que permitan que otros accedan no significa que ellos no puedan ofrecer una solución igual o mejor, ¿lo hacen? Entiendo que Microsoft se come parte de la culpa (en este caso por ignorancia de la gente) pero si ofreciesen un producto como crowdstrike igual no tendría que existir crowdstrike, y luego que cada empresa use el que quiera. De igual forma que existen muchos antivirus pero Microsoft tiene Defender.
Si Microsoft no tuviese la forma de negocio agresiva que tiene las soluciones open source tendrían más calado también.
#525 No, no se lo follan como quieren, o al menos no siempre, o te recuerdo el caso de Internet Explorer y el multón que les cayó?
¿Pero y por qué tienen que ofrecer una solución mejor? ¿Qué pasa, que si sus soluciones no son las mejores del mercado están obligados a ceder sus derechos para que exploten mejor su producto?
#526 Lo del explorer fue hace ¿20? años, y estaba la pequeña parte de que ponían trabas a la competencia. Aunque coincido en el núcleo de lo que quieres decir el mundo ha cambiado bastante desde entonces.
¿Pero y por qué tienen que ofrecer una solución mejor? ¿Qué pasa, que si sus soluciones no son las mejores del mercado están obligados a ceder sus derechos para que exploten mejor su producto?
Hombre, una regla más básica del mercado es que el usuario elige lo mejor de acuerdo a sus necesidades. Si Microsoft no ofrece la mejor solución pues no la va a utilizar pero es que Microsoft no ofrece ninguna solución como crowdstrike no?
#527 Si claro, estaba llevándolo a lo absurdo.
El punto al que quiero llegar y que me parece un error, es que organizaciones públicas, obligan a una empresa privada (MS) a modificar su producto y volverlo más inseguro por el simple hecho de favorecer el mercado y la competencia de otras terceras empresas privadas (en este caso CS) que viven, en gran parte, gracias al producto que MS ha creado.
Hablando en plata, en este caso Microsoft ha sido puta y encima ha puesto la cama.
1) No lo vuelven más inseguro. Windows es por naturaleza inseguro (cosas de intentar ser compatible con productos del neolítico)
2) Las organizaciones publicas luchan contra el monopolio. Si Microsoft tuviese su kernel blindado sólo ellos podrían ofrecer soluciones de seguridad, el mercado de microsoft es enorme y no hablamos de Windows, hablamos de azure y active directory.
3) Es un objetivo de los poderes públicos mantener un entorno de competencia entre empresas.
#527 El tema es que con otros SO eso no ocurre. Y eso no es fair play. En Chromium o Mac no dan acceso al kernel y no existen soluciones de terceros a ese nivel y no pasa nada, no? No entiendo por que a Microsoft sí les obligan a ceder terreno.
#530 Empezando porque coincido con la hipocresía del asunto y la solución no es permitir a Microsoft ser Apple o Google si no hacer que Apple y Google sean como Microsoft.
Apple no ofrece servidores no? Y tampoco hay servidores de Android/Chromium. Además cuál es el mercado de ambos en entornos de trabajo en Europa? (sin contar los teléfonos)
#531Netzach:Apple no ofrece servidores no
Ya no, pero una implementación bastante común es hacer clusters de mac minis xD
#531Netzach:Además cuál es el mercado de ambos en entornos de trabajo en Europa?
No puedes hacer a una multinacional aplicar unas leyes anti monopolio y las que vengan detrás poder saltársela porque no son esa específica...independientemente de la cuota de mercado...
Lo que veo es que hasta ahora Microsoft había vendido (o al menos esa era mi sensación como usuario) que un Kernel semi abierto era algo bueno, a nivel de estar acercándose a Linux en ciertos aspectos...
Ahora con esto... es un poco cagarse en esa imagen.
Aunque lo mismo lo suyo sería desarrollar una versión corporativa más cerrada y tener las home más abiertas o yo que sé... siempre se les tirarán encima igualmente.
La del IE fue una, la de los codecs multimedia, otra... Al final Windows N existe por eso... y mira lo extendido que está en Europa xD
#532PiPePiTo:No puedes hacer a una multinacional aplicar unas leyes anti monopolio y las que vengan detrás poder saltársela porque no son esa específica...independientemente de la cuota de mercado...
No si lo entiendo, pero eso lo hace mal la UE no aplicándolo a todos, no se arregla permitiendo que Microsoft pueda hacer lo que hacen las demás.
Ya no, pero una implementación bastante común es hacer clusters de mac minis xD
En alguna empresa he visto usar Windows 10 como servidor también, nos entendemos xD
#533 Claro, claro, el objetivo debería ser ese, la norma que hacen seguir a uno que la tengan que seguir todos, sí.
Por eso tampoco entiendo esa reacción de Microsoft, cuando sabe que EU no se va a bajar de la burra... y su software ha hecho lo que tenía que hacer...
al final la culpa va a ser de nadie y ya está... no sea caso que la peña tenga que hacer también un poco de retrospectiva y llevarse un tironcito de orejas por depender únicamente de un 3rd party sin tener contingencias
#534 Y soy también el primero en decir que se debe aplicar a móviles también. Es absurdo lo que se le permite apple.
#524 Cuando de tu producto depende la mitad del planeta, lo de 'se lo follán como quieren' se queda corto.
