Skip to content

VulnDisco Pack Professional. De compras por el lado oscuro

Publicado por Sergio Hernando el 14 julio 2006

Desde luego que lo que no se ve en Internet, no se ve en ningún lado.

gleg

La última la protagonizan la gente de GLEG Ltd, o así se hacen llamar, y su estupendo VulnDisco Pack Professional. ¿Y de qué va este pack? Muy sencillo, es un pack con vulerabilidades, muchas de ellas presuntas 0day, que puedes adquirir por unos módicos $10100 (que incluye tres meses de actualización y soporte), costando $2500 cada trimestre adicional de actualizaciones y "soporte".

Volvemos a la doble vertiente de la seguridad. Esta gente dirá que sí, que el pack está pensado para usuarios que se quieran documentar sobre exploits, para prevenir sus efectos en sus redes y organizaciones, pero la realidad es que el pack será mayoritariamente adquirido por usuarios con ganas de rentabilizar esos $10.100 a costa de atacar a la gente. Entre otras muchas vulnerabilidades, el comprador de VulnDisco Pack Professional tiene acceso a vulnerabilidades para:

* [0day] Lotus Domino Server overflow
* [0day] Arkeia Backup Server buffer overflow
* [0day] Eudora WorldMail stack overflow
* [0day] Eudora WorldMail heap overflow
* [0day] CommuniGate Pro Server heap overflow
* [0day] Pragma Fortress stack overflow
* [0day] ProFTPD overflow
* [0day] MySQL stack overflow
* [0day] xtacacsd overflow
* [0day] Mercury/32 stack overflow
* [0day] eXtremail overflow
* [0day] Fedora Directory Server DoS
* [0day] Kerio MailServer DoS
* [0day] FreeBSD remote kernel DoS
* [0day] Lotus Domino Server overflow
* [0day] OpenSSL heap overflow
* [0day] Samba heap overflow
* [0day] Eudora WorldMail overflow
* [0day] ProFTPD overflow
* [0day] MySQL overflow
* [0day] CommuniGate Pro Server overflow
* [0day] Helix Server overflow
* [0day] Novell eDirectory exploit
* [0day] Kerio MailServer remote exploit
* [0day] Solaris remote kernel DoS
* [0day] FreeBSD remote kernel DoS
* [0day] MS Active Directory DoS

Yo estoy muy en contra de la comercialización de vulnerabilidades. Las fallas deberían ser comunicadas a los fabricantes, y no vendidas. Para mí, es muy ruín callarse una vulnerabilidad que puede provocar daños muy serios, con el único fin de poder vender ese conocimiento y llenarse los bolsillos.

Seguramente sea legal dedicarse a este mercadeo, pero para mí es poco ético y desde luego, no es la idea que yo tengo de la investigación sobre seguridad. El año pasado, se preguntaba mi amigo Dancho Danchev cómo de realista era el mercado de las vulnerabilidades. Así de realista se presenta.

Be Sociable, Share!

Categoría/s → Seguridad

Un comentario
  1. 16 julio 2006

    Pues bien parece un material de “doble uso” y que para cubrirse las espaldas seguro que se excusan de toda responsabilidad respecto al use que le de el comprador… Si es que hay gente para todo. Buff…

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS