[Lista ArNOG] Firmware de CPE's

Hernan Moguilevsky noc.hernan en gmail.com
Mar Dic 5 13:24:16 ART 2017


Fer,

Está bueno lo que comentas, porque puede ser que represente la voz de
algunos "silenciosos".
Si te preocupan los temas de licenciamiento, se puede proponer que todo lo
que se desarrolle dentro del ambito de arNOG deba tener licenciamiento GPL.
En cuanto a las horas de dedicacion, creo que vos celebrás que haya gente
que dedicó horas a hacerte la vida mas fácil y no pide nada a cambio, con
el mismo criterio de licenciamiento.
Esa gente existe, y quizás haya algunos en este grupo.
Ma allá de eso, creo que la idea original no era montar un grupo de cyber
seguridad sino hacer una wiki o un repositorio con links y datos útiles que
no creo que le haga mal a nadie.

Saludos.


HM

El 5 de diciembre de 2017, 11:26, Ariel Weher<ariel en weher.net> escribió:

> Adhiero a que las empresas "deberían" gastar en muchas cosas, dado que
> ellos lucran con estas cuestiones.
>
> El problema es justamente que no lo saben o no lo consideran necesario, o
> nuevamente, no han hecho el excel para entender lo que se gasta si no se
> arreglan las cosas proactivamente.
>
> Lo de dedicar unas horas gratis a encontrar la punta del ovillo no debería
> asustarnos dado que (sin necesidad de poner ejemplos) mucha gente aquí
> dedica mucho de su tiempo libre para buscar soluciones o generar
> herramientas que luego otros usan para llenar sus bolsillos.
>
> Confío en que una vez conformada la idea, y armado el grupo de trabajo,
> estas mismas organizaciones van a ser las que ofrezcan recursos (horas de
> empleado, hosting, dinero, etc) para llevar adelante el proyecto.
>
> Seguro también varios se van a quedar en las sombras esperando un producto
> terminado sin aportar nada, pero de nuevo, no es nada con lo que se viva a
> diario en el mundo de la colaboración entre pares, open source, ietf, etc.
>
> De hecho hay varios que siempre me comentan del problema y aún no han
> aportado nada a este thread... veremos en qué termina esto.
>
> S2
>
> 2017-12-05 2:49 GMT-03:00 Fernando Gont <fgont en si6networks.com>:
>
>> On 12/05/2017 02:14 AM, Ariel Weher wrote:
>> > Si Fer, está claro que a vos no te gusta la idea, y no vas a participar.
>>
>> No, no es el caso. Un monton de estas cosas pueden estar buenas, y ser
>> utiles. El tema es como uno lo hace "institucionalmente", y como se pasa
>> de una idea a la realización.
>>
>> Entre un grupo de personas de confianza, hay un monton de cosas que no
>> hace falta tener en cuenta (o bien, uno puede no tenerlas en cuenta y de
>> algun modo salirse con la suya). Ejemplo: si yo te comparto una imagen
>> de algo (legalidad al margen), te vas a basar en la confianza que me
>> tenes, y si eso es suficiente, está "todo bien". Si la cuestion es ahora
>> compartirla en un grupo amplio de gente, eso no alcanza (hay quienes
>> pueden conocerme y no confiar, quienes pueden directamente no conocerme,
>> etc.). En cuyo caso, deberás tener una imagen firmada por el vendor (uno
>> argumentaria que esto deberia asi, de todos modos, etc.)
>>
>> Por otro lado, siempre que se proponen ideas, no faltan palabras de
>> "apoyo" -- pero las ideas se realizan con horas-hombre. Por eso mencione
>> que, de no contar con voluntarios que tomen la responsabilidad en
>> cuestion, tal vez alguno de los grupos que mencionaste podrían ahcer el
>> trabajo (aunque no se si hacen ese tipo de cosa).
>>
>> Mi comentario no apunto a ir en conra de la idea, sino mas bien a evitar
>> que esto termine antes de empezar, digamos.
>>
>>
>>
>> > Vamos a verlo desde otro lado: Capaz alguien se ponga las pilas y
>> > dedique algunas horas a esto así rompemos el status quo.
>> >
>> > En la lista hay un montón de gente con la capacidad de poner esto en
>> > marcha, y si bien en alguna medida todos somos consultores, los invito a
>> > coordinar algo que quizás en un futuro se transforme en un negocio pero
>> > que hoy debe ser atendido, y se transformó en un tema del que todos
>> > hablan, pero que casi nadie pone en carpeta.
>>
>> Independientemente de este proyecto, la problematica tiene mucho que ver
>> con la falta de inversión en seguridad.
>>
>> Todo este analisis del que estamos hablando es un analisis que deberian
>> hacer los ISPs, y pagar por el, antes de desplegar sistemas.
>>
>> Esta claro que este tipo de analisis puede tal vez estar fuera de la
>> economia de una pequeña cooperativa, etc.
>>
>> Pero en el caso de CPEs vulnerables, por ejemplo, muchos de ellos
>> pertenecen a Telefonica de Argentina (ver:
>> <https://twitter.com/4Dgifts/status/934784817329332224>). Y me parece
>> que empresas como esas (y otras tantas), estan en condiciones de pagar
>> por dicha consultoria, mas que depender de la buena voluntad de un grupo
>> de voluntarios.
>>
>> Toda empresa u organizacion con finies de lucro, minimamente, debería
>> estar inviertiendo en seguridad. De no haber inversion, se mitiga el
>> sintoma, pero no el problema.
>>
>>
>> --
>> Fernando Gont
>> SI6 Networks
>> e-mail: fgont en si6networks.com
>> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>>
>>
>>
>>
>>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171205/e2fe9f04/attachment.html>


Más información sobre la lista de distribución Lista