Portada
mis comunidades
otras secciones
#3:
Me parece que su detención más bien tiene con publicar sus andanzas en internet que con haber descubierto un fallo de seguridad e informar de él de forma responsable.
Contarle al mundo en tu blog cómo has hackeado a fulano y a mengano y que tienen puesto de password de la base de datos las credenciales por defecto... quizá no es la mejor idea de "informar responsablemente".
No estamos hablando de que hayas encontrado un fallo en un software y lo hayas publicado en full-disclosure saltándote cualquier tipo de publicación resposable; que lo más que va a pasar es que alguien se cabreará. Hablamos de que has encontrado un fallo en una implementación concreta de un sistema, y que se lo hayas contado o no, luego has contado públicamente cómo lo has explotado. Cuando haces eso la gente se cabrea. Incluso aunque no lo publiques en tu blog, mucha gente se cabrea igual y algunos amenazarán con denunciarte.
Contarle al mundo en tu blog cómo has hackeado a fulano y a mengano y que tienen puesto de password de la base de datos las credenciales por defecto... quizá no es la mejor idea de "informar responsablemente".
No estamos hablando de que hayas encontrado un fallo en un software y lo hayas publicado en full-disclosure saltándote cualquier tipo de publicación resposable; que lo más que va a pasar es que alguien se cabreará. Hablamos de que has encontrado un fallo en una implementación concreta de un sistema, y que se lo hayas contado o no, luego has contado públicamente cómo lo has explotado. Cuando haces eso la gente se cabrea. Incluso aunque no lo publiques en tu blog, mucha gente se cabrea igual y algunos amenazarán con denunciarte.
#1:
Hombre, digo yo que lo habrán detenido por publicarlo en internet, no por informar responsablemente. De todas formas, y por muy buena intención que tuviera este hombre, si no trabajaba para la empresa -directa o indirectamente- lo que hizo fue hackear un servidor privado. Que si yo fuese la compañía se lo agradecería y primaría, pero entiendo que es su derecho denunciar. Es como si tú llegas un día a tu casa y te encuentras a un tío esperándote en el salón para decirte que tu ventana no cierra bien. Lo hará con buena intención, pero no deja de ser un allanamiento.
Comentarios
Me parece que su detención más bien tiene con publicar sus andanzas en internet que con haber descubierto un fallo de seguridad e informar de él de forma responsable.
Contarle al mundo en tu blog cómo has hackeado a fulano y a mengano y que tienen puesto de password de la base de datos las credenciales por defecto... quizá no es la mejor idea de "informar responsablemente".
No estamos hablando de que hayas encontrado un fallo en un software y lo hayas publicado en full-disclosure saltándote cualquier tipo de publicación resposable; que lo más que va a pasar es que alguien se cabreará. Hablamos de que has encontrado un fallo en una implementación concreta de un sistema, y que se lo hayas contado o no, luego has contado públicamente cómo lo has explotado. Cuando haces eso la gente se cabrea. Incluso aunque no lo publiques en tu blog, mucha gente se cabrea igual y algunos amenazarán con denunciarte.
#3 Pero es que es necesario que se sepa, porque la gente tiene que ser libre de escoger a esos irresponsables o no. De otra manera no lo sabría nadie, y puede que esos datos ya hubiesen sido obtenidos por alguien ilegítimo. Da lo mismo si es culpa del fabricante o del usuario, pero hay que informar, si encima lo hace responsablemente tras informar al afectado, qué más quieren...
#5 es cierto que deberían al menos moralmente agradecerlo pero no deja de ser un ataque sin consentimiento del propietario. Yo creo como otros, que ha sido por el hecho de publicarlo cuando en realidad no debería.
#5 Piensa por un momento que tú tienes una empresa física. Nada muy elegante: una correduría de seguros... por ejemplo.
La correduría de seguros tiene dos puertas. Una de acceso general y otra trasera en el patio. Tú necesitas, por pone un caso, que por las noches la empresa de limpieza entre a limpiar la cocina de la oficina pero no quieres darle una llave de tu puerta principal. Así que en secreto (security through obscurity) les dejas acceso por el patio, desde donde en principio sólo pueden acceder a limpiar la cocina, que es el único sitio donde dejas sin conectar la alarma.
Sin embargo, cuando un día vas al trabajo a las 9 de la mañana, abres la puerta y te encuentras que en tu despacho hay sentado un tipo que ha entrado en tu oficina por la noche y que viene a informarte muy responsablemente que:
1. Ha descubierto que la puerta trasera del patio estaba abierta
2. Ha entrado a la cocina a hacerse un café
3. Ya que estaba ha probado a ver si el pin de la alarma era 1234
4. Ha desactivado la alarma porque el pin era 1234
5. Y una vez que estaba desactivada ha ido al archivo de clientes (que no tenía llave) se ha hecho unas fotocopias del mismo y que de paso ha añadido algunos registros "para probar".
Pero la cosa no queda ahí, después de contártelo, se va a su blog y le cuenta a todo el que tenga interés en leerlo que "SEGUROS HIPNOSAPO" deja la puerta trasera del patio abierta por las noches, que el pin de la alarma era 1234, que el archivo de clientes no tenía llave, que ha tenido acceso al mismo y que lo ha modificado ligeramente.
Según tú la actuación de esta persona es impecable. Según yo lo veo, si lo que quieres es hacer una actuación responsable y te encuentras en un caso así, no deberías ir mucho más allá de informar del primer fallo de seguridad que encuentras. ¿Qué ha sido? ¿Has encontrado credenciales por defecto en acceso al SGBD en su software? Lo reportas y sigues un proceso de difusión coordinado con él. Nada de contar en blogs que has accedido con esas credenciales, nada de capturas de pantalla donde se ve que tienes acceso a la base de datos, nada de "mira como puedo insertar datos en la base de datos", etc.
#9 Internet es diferente del mundo físico, tu ejemplo no sirve.
#11 Claro que sí, Internet son unos y ceros. Lo que hagas aquí no afecta a nadie
#13 Sí afecta, pero no aplican los mismos casos que en el mundo físico, los problemas son otros, son diferentes y se deben tratar de manera diferente.
#14 Para ti la perra gorda.
#15 Gracias.
#17 De nada. Si no quieres entender que la actuación de esta persona está bastante lejos de lo que se entiende como "responsible disclosure" tampoco tiene sentido seguir discutiendo.
#18 Vaya, mentiste, pensé que me dabas la razón... Esto hace llorar al niño Jesús.
#9 Impecable no, casi de santo. La gente tiene derecho a saber que una empresa que supuestamente protege a buen recaudo tus datos (o tu dinero, o las fotos de platos de pulpo a la gallega que te manda tu cuñado, o lo que sea), deja por las noches la puerta abierta y usa como pin de la alarma 1234.
Pero a esta gente no le molesta que alguien entre en su servidor. Seguro que si hubiese entrado hubiese robado lo que le hubiese dado la gana y después hubiese extorsionado a la empresa por dinero, todo se habría solucionado sin enterarse nadie de nada, pero a esta gente lo que le molesta es que se sepa que son unos ineptos.
#21 Pues nada, dedícate a hackear empresas y a contarlo en internet que es lo que hay que hacer y la información tiene que ser libre y todo eso. Por mi parte, 0 problemas. Cuando os levanten en peso por ello, montáis una plataforma de afectados por el internet y en paz. Con un poco de suerte el que la funde llega a alcalde de alguna ciudad importante.
Pero te repito lo mismo que a@hipnosapo, lo que ha hecho esta persona está muy lejos de lo que se entiende por responsible disclosure. Esta persona ha hackeado un sistema y lo ha contado en su blog con capturas de pantalla ejemplificantes bajo su nombre y apellidos. Ahora lo han trincado. Y luego vendrán las lágrimas. Que queréis mezclar todo en uno, perfecto.
Pero son dos acciones totalmente independientes. Para que nos aclaremos más: una cosa es que yo encuentre un fallo en Wordpress y otra cosa es que con el fallo reviente wordpress.com para demostrar lo bueno que soy, lo bien que funciona el fallo que he encontrado y lo mal que lo hacen ellos. Y no contento, lo cuento en mi blog.
#23 ¿Cuando la empresa ya ha corregido públicamente el error? Sí, la gente tiene todo el derecho a conocer todos los detalles de las malas prácticas que las empresas cometen con tus datos.
Pero como ya he dicho no les molesta que alguien entre en su servidor, les molesta la mala publicidad.
Ahora que se jodan, se ha descubierto el error y lo que hacen si alguien quiere informar sobre él. Ojalá les cueste mucho dinero.
#24 Te vuelvo a decir que mezcláis acciones. Una cosa es el descubrimiento de un error en el software que es más que razonable publicar un advisory, incluso hacer un full-disclosure si no te atienden. Y no va a pasar nada. Nadie te va a demandar por eso. Se publican todos los días.
El software fulanito tiene un overflow en tal cadena, el software menganito una inyección de SQL cuando recibe tal parámetro desde usuario y el de antoñito tiene una condición de carrera que permite evadir un proceso de autenticación. Eso pasa todos los días y no todas las publicaciones que se hacen son responsables y las que se hacen a las malas, tampoco pasa nada. Incluso Google lo hace a las malas cuando el fabricante pasa. Y a nadie le alarma.
Pero vuelvo a decirte, eso es una cosa. Y otra cosa muy diferente es que luego tú llegues y con el bug que has encontrado te hagas un exploit y accedas a los sistemas del fabricante (o a un tercero) para demostrar lo listo que eres. Y no contento con ello, además lo cuelgues en tu blog.
Son dos acciones totalmente independientes. Por la primera, como mucho, alguien te va a insultar y acordarse de la madre que te parió. Por la segunda, más cuando firmas con tu nombre y apellidos, tienes papeletas para acabar ante un juez.
Y si estás en un modelo SaaS tienes que tener mucho cuidado con qué pruebas y cómo lo pruebas. No es lo mismo demostrar una vulnerabilidad accediendo a datos propios de tu usuario, para verificar la existencia del fallo, que hacerlo a datos de terceros. Y cuando haces el disclosure no es lo mismo decir que PEPE tiene una inyección SQL en sus sistema, que la has descubierto y que tiene CVE-2016-0101 ... que poner un vídeo de cómo has hackeado a PEPE colgado en youtube.
#26 Te remito a lo que he dicho en #25. Juntáis dos acciones como si fuesen una. Pero para mí son clarísimamente dos e independientes.
Si seguimos con el ejemplo "tonto" de las llaves y la alarma. El fallo de seguridad es dejar la puerta del patio abierta. Y si hago una publicación responsable informo de ese fallo a la empresa, me coordino con ella y cuando está resuelto publicamos un advisory diciendo "seguros pepe se deja la puerta del patio abierta por las noches". Le asignamos un CVE, lo difundimos y contamos que la puerta ya está cerrada. Fin.
Si yo, aprovechando que sé que la puerta del patio está abierta, entro y me dedico a acceder a información privada, manipularla, buscar otros fallos internos del sistema, etc. No tiene nada que ver con lo primero. Estoy hackeando el sistema, estoy sacando información y si me pillan me pueden empapelar. Y si además lo publico en un blog con detalles, tengo todas las papeletas.
#23 Sentencia de cárcel para el hacker que informó de un fallo en TETRA
Sentencia de cárcel para el hacker que informó de ...
securityaffairs.co#28 Vuelves a enfocarlo exactamente igual de mal. Y, sinceramente, cansa. No sé si es por desconocimiento del proceso técnico que hay tras una investigación de seguridad o simplemente por querer llevar la razón. Pero te vuelvo a repetir: en ambas noticias mezclas dos conceptos y dos acciones independientes.
Por enésima vez: una cosa es la investigación de vulnerabilidades que deriva en el descubrimiento de un bug y otra, bien distinta, es la explotación de la vulnerabilidad en un sistema ajeno tras el descubrimiento del bug. Y recalco, si para investigar algo tengo que joder el sistema a un tercero, y no tengo su consentimiento, hay que andar con muchísimo ojo. O hacerlo igualmente y aceptar a las consecuencias.
Pero vamos, todo el que se dedica a esto sabe dónde está la línea y sabes que si la pisas (o te la saltas) te expones. Puedes hacerlo o no hacerlo. Es decisión de cada uno.
Y en última instancia si eres un kiddie que va con la recortada disparando a lo que se mueve y te trincan... pues qué quieres que te diga. ¿Es una pena? Pues sí, porque probablemente al que trincan sea el que menos daño hace... pero responsabilizarte de lo que haces es lo menos que debes hacer.
#29 Tienes que dejar la actitud IRC, ya no se lleva. Siempre que hay una noticia de seguridad hay un listo como tú en actitud "No tenéis ni puta idea porque no sois del mundillo o sois unos newbies", creo que lo llevo viendo desde los 90, para algunos es como un ritual de iniciación...
Yo solo te he puesto una noticia, objetiva, tú quieres que todos pensemos que tu opinión es la verdad. El proceso de responsible disclosure no tiene una definición en el diccionario, cada caso es un mundo diferente, no voy a entrar en el eterno debate del carnet de hacker y polleces así.
Y por último, se te nota que no llevas mucho tiempo en esto, si tuvieses más experiencia abandonarías la actitud de "no tienes ni puta idea", tranquilo, a todos nos ha pasado.
#9 Imaginate que eres un cliente de esa empresa que le deja las llaves al de la limpieza. Y nadie le dice nada a nadie, pero toda tu información está a la venta en la deep-web.
Esa es la alternativa. Los clientes tienen derecho a saber a quien contratan, sobre todo, cuando les dan tiempo a que solucionen el problema.
#3 Ojo: él lo publicó después de que la propia empresa corrigiese el fallo y publicase una nota explicándolo.
Hombre, digo yo que lo habrán detenido por publicarlo en internet, no por informar responsablemente. De todas formas, y por muy buena intención que tuviera este hombre, si no trabajaba para la empresa -directa o indirectamente- lo que hizo fue hackear un servidor privado. Que si yo fuese la compañía se lo agradecería y primaría, pero entiendo que es su derecho denunciar. Es como si tú llegas un día a tu casa y te encuentras a un tío esperándote en el salón para decirte que tu ventana no cierra bien. Lo hará con buena intención, pero no deja de ser un allanamiento.
#1 No, según la noticia lo han detenido por haber tenido acceso a dichos datos confidenciales de pacientes.
#1 ejemplo perfecto.....más claro imposible. También es cierto que para algunos, toda detención que haga la policía nunca está justificada.
#2 si ha estas alturas de la evolución de Internet te crees lo que digan los medios, mal vas.
#6 Gracias por el consejo, padre, jamás lo olvidaré.
Me reitero en que el titular es erróneo.
De hecho, el original es diferente: Armed FBI agents raid home of researcher who found unsecured patient data
Ese titular va a la raíz, que es el acceso a la información privada.
Y el subtítulo lo remata:
Prosecutors allegedly say he exceeded authorization in viewing unsecured FTP server.
El acceso a la información privada en el servidor es definitivamente el motivo de la detención.
Algo que se explica en la misma noticia:
In a blog post of his own, Shafer later discussed the FTP lapse and a separate Eaglesoft vulnerability involving hard-coded database credentials.
The FBI agent reportedly told Shafer that Patterson Dental, a parent company of Eaglesoft, was claiming Shafer had exceeded authorized access when viewing the publicly available data.
La "notificación responsable no fue de hecho lo que ha provocó las acciones del FBI sino un artículo en su blog explicando detalles técnicos del servidor que implicaban el acceso potencial a información sensible.
Han ido a por él tras el artículo un artículo en su blog que es prueba circunstancial del acceso a esa información privada.
Titular erróneo.
1. Es detenido tras acceder a historiales médicos aprocechando un fallo de seguridad [ENG]
2. Es detenido tras publicar en Internet un fallo de seguridad que permitía acceder a historiales médicos [ENG]
Si se hubiese limitado a a "informar responsablemente" no le hubiese pasado. Probablemente.
#16 Ya, pero fíjate que pone "tras" no "por"... Y en parte, si no lo hubiese hecho (informar), ellos quizá no hubiesen sabido quién había sido, ya que dudo que hiciesen un forense esa gente, pero la acusación sería la misma, ya que habla de su acceso, no de que publicase el "fallo". Y eso lo supieron porque él se lo dijo "responsablemente".
Lo ideal, al menos en España, es avisar varias veces a la empresa. Si pasan de ti, pues a la Agencia de Protección de Datos. Que para algo está.
#4 exacto.