[Lista ArNOG] Firmware de CPE's

Fernando Gont fgont en si6networks.com
Mar Dic 5 02:49:48 ART 2017 

On 12/05/2017 02:14 AM, Ariel Weher wrote:
> Si Fer, está claro que a vos no te gusta la idea, y no vas a participar.

No, no es el caso. Un monton de estas cosas pueden estar buenas, y ser
utiles. El tema es como uno lo hace "institucionalmente", y como se pasa
de una idea a la realización.

Entre un grupo de personas de confianza, hay un monton de cosas que no
hace falta tener en cuenta (o bien, uno puede no tenerlas en cuenta y de
algun modo salirse con la suya). Ejemplo: si yo te comparto una imagen
de algo (legalidad al margen), te vas a basar en la confianza que me
tenes, y si eso es suficiente, está "todo bien". Si la cuestion es ahora
compartirla en un grupo amplio de gente, eso no alcanza (hay quienes
pueden conocerme y no confiar, quienes pueden directamente no conocerme,
etc.). En cuyo caso, deberás tener una imagen firmada por el vendor (uno
argumentaria que esto deberia asi, de todos modos, etc.)

Por otro lado, siempre que se proponen ideas, no faltan palabras de
"apoyo" -- pero las ideas se realizan con horas-hombre. Por eso mencione
que, de no contar con voluntarios que tomen la responsabilidad en
cuestion, tal vez alguno de los grupos que mencionaste podrían ahcer el
trabajo (aunque no se si hacen ese tipo de cosa).

Mi comentario no apunto a ir en conra de la idea, sino mas bien a evitar
que esto termine antes de empezar, digamos.



> Vamos a verlo desde otro lado: Capaz alguien se ponga las pilas y
> dedique algunas horas a esto así rompemos el status quo.
> 
> En la lista hay un montón de gente con la capacidad de poner esto en
> marcha, y si bien en alguna medida todos somos consultores, los invito a
> coordinar algo que quizás en un futuro se transforme en un negocio pero
> que hoy debe ser atendido, y se transformó en un tema del que todos
> hablan, pero que casi nadie pone en carpeta.

Independientemente de este proyecto, la problematica tiene mucho que ver
con la falta de inversión en seguridad.

Todo este analisis del que estamos hablando es un analisis que deberian
hacer los ISPs, y pagar por el, antes de desplegar sistemas.

Esta claro que este tipo de analisis puede tal vez estar fuera de la
economia de una pequeña cooperativa, etc.

Pero en el caso de CPEs vulnerables, por ejemplo, muchos de ellos
pertenecen a Telefonica de Argentina (ver:
<https://twitter.com/4Dgifts/status/934784817329332224>). Y me parece
que empresas como esas (y otras tantas), estan en condiciones de pagar
por dicha consultoria, mas que depender de la buena voluntad de un grupo
de voluntarios.

Toda empresa u organizacion con finies de lucro, minimamente, debería
estar inviertiendo en seguridad. De no haber inversion, se mitiga el
sintoma, pero no el problema.


-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Lista