[Lista ArNOG] Firmware de CPE's

Ariel Weher ariel en weher.net
Mar Dic 5 02:14:03 ART 2017 

Si Fer, está claro que a vos no te gusta la idea, y no vas a participar.

Vamos a verlo desde otro lado: Capaz alguien se ponga las pilas y dedique
algunas horas a esto así rompemos el status quo.

En la lista hay un montón de gente con la capacidad de poner esto en
marcha, y si bien en alguna medida todos somos consultores, los invito a
coordinar algo que quizás en un futuro se transforme en un negocio pero que
hoy debe ser atendido, y se transformó en un tema del que todos hablan,
pero que casi nadie pone en carpeta.

Mea culpa también porque cuando yo tuve un serio problema referido a esto
en mi trabajo anterior, no tuve la iniciativa de intentar resolverlo en
conjunto.

S2


2017-12-04 22:34 GMT-03:00 Fernando Gont <fernando en gont.com.ar>:

> On 12/05/2017 06:46 AM, Ariel Weher wrote:
> >
> >   * Que los firmware en caso de estar disponibles, sean descargados
> > exclusivamente desde la página de los fabricantes. Nosotros solamente
> > haríamos un link hacia los archivos.
> >   * Que se haga una comprobación de vulnerabilidades de las versiones
> > actuales. Seguramente podemos contar con la ayuda de diversos grupos de
> > trabajo como ser los CSIRT's, el anti abuse group de LACNOG, el grupo de
> > BCOP de LACNOG o el WARP de LACNIC.
>
> Vulnerabilidades en materia de...? Por ejemplo, te referis a identificar
> software utilizado por el dispositivo, y evaluar las vulnerabilidades
> conocidas en dichos modulos?
>
>
> >   * Que algún vendedor / partner se encargue de conseguir (y vender en
> > caso de ser necesario) las imágenes de firmware actualizadas, y generar
> > un canal "responsable" de venta de estos dispositivos. (Oportunidad de
> > negocio para más de un integrante de esta lista).
> >   * Generar desde arNOG un grupo de trabajo para investigar/desarrollar
> > cuestiones relacionadas al provisioning de estos equipos, teniendo en
> > cuenta las marcas y modelos que se venden en nuestro país.
>
> En este ultimo punto, yo creo que salvo que el output y deadlines estén
> bien definidos, y los participantes tambien, veo muy dificil que la idea
> prospere. (estableciendo deadlines y responsables tambien :-), pero al
> menos habra tiempo y personas definidas para echar culpas :-) )
>
> Al final del dia, todo se resume a:
> * Quienes leen la lista estan interesados en los resultados, mas que en
> ser parte de quienes los obtienen. Por ende, es logico que la mayoria
> espere a que "otro" haga el trabajo.
>
> * Este tipo de actividad require expertise especifico. Quien lo tiene,
> usualmente lo utiliza para hacer consultoria.
>
>
> Se me ocure que en caso de desear empujar de todos modso esta idea, una
> opción es intentar que el trabajo lo haga alguno de los "grupos" que
> mencionas. Aunque la mayoria de ellso tradicionalmente
> *coordina* la difusion de información, mas que hacer research o generar
> auditorias.
>
>
> --
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en si6networks.com
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171205/a673be47/attachment-0001.html>

Más información sobre la lista de distribución Lista