[Lista ArNOG] Firmware de CPE's

Fernando Gont fernando en gont.com.ar
Lun Dic 4 22:34:49 ART 2017 

On 12/05/2017 06:46 AM, Ariel Weher wrote:
> 
>   * Que los firmware en caso de estar disponibles, sean descargados
> exclusivamente desde la página de los fabricantes. Nosotros solamente
> haríamos un link hacia los archivos.
>   * Que se haga una comprobación de vulnerabilidades de las versiones
> actuales. Seguramente podemos contar con la ayuda de diversos grupos de
> trabajo como ser los CSIRT's, el anti abuse group de LACNOG, el grupo de
> BCOP de LACNOG o el WARP de LACNIC.

Vulnerabilidades en materia de...? Por ejemplo, te referis a identificar
software utilizado por el dispositivo, y evaluar las vulnerabilidades
conocidas en dichos modulos?


>   * Que algún vendedor / partner se encargue de conseguir (y vender en
> caso de ser necesario) las imágenes de firmware actualizadas, y generar
> un canal "responsable" de venta de estos dispositivos. (Oportunidad de
> negocio para más de un integrante de esta lista).
>   * Generar desde arNOG un grupo de trabajo para investigar/desarrollar
> cuestiones relacionadas al provisioning de estos equipos, teniendo en
> cuenta las marcas y modelos que se venden en nuestro país.

En este ultimo punto, yo creo que salvo que el output y deadlines estén
bien definidos, y los participantes tambien, veo muy dificil que la idea
prospere. (estableciendo deadlines y responsables tambien :-), pero al
menos habra tiempo y personas definidas para echar culpas :-) )

Al final del dia, todo se resume a:
* Quienes leen la lista estan interesados en los resultados, mas que en
ser parte de quienes los obtienen. Por ende, es logico que la mayoria
espere a que "otro" haga el trabajo.

* Este tipo de actividad require expertise especifico. Quien lo tiene,
usualmente lo utiliza para hacer consultoria.


Se me ocure que en caso de desear empujar de todos modso esta idea, una
opción es intentar que el trabajo lo haga alguno de los "grupos" que
mencionas. Aunque la mayoria de ellso tradicionalmente
*coordina* la difusion de información, mas que hacer research o generar
auditorias.


-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1

Más información sobre la lista de distribución Lista