Es verdad que la seguridad por obscuridad no es seguridad, pero lo que ha hecho el autor de este artículo es nada menos que sin seguir un verdadero procedimiento de auditor de seguridad, publicar una falla descubierta en la página del Ministerio de Educación argentino revelando la forma de aprovecharse del fallo. Un ejemplo de como no se debe proceder en casos como este. Juzguen ustedes. Via Barrapunto.
Bien, creo que a lo que se refiere osi es que puedes denunciar la falla, dar pruebas de que el agujero existe (para que los responsables tomen cartas en el asunto) pero lo que no es de recibo es que publicites los pasos exactos para acceder (por lo que cualquier kiddie podría hacer un desbarajuste) y mucho menos publicar direcciones, teléfonos y contraseñas de la base de datos accedida.
Quiero decir, que está bien denunciar el fallo, pero lo que me parece excesivo es la descripción pormenorizada y serializada del acceso, así como el publicitar información privada de usuarios (que los pobres no tienen culpa de nada).
Yo lo veo bien. A saber cuanta gente más lo ha descubierto, no ha dicho nada, y ya ha vendido los datos por ahí. Este señor en cambio ha publicado el error y al menos ya se ha descubierto la cosa. Antes de publicarlo él sencillamente estaba pasando lo mismo pero no había conocimiento de ese problema y a saber cuanto tiempo más hubiera seguido esa vulnerabilidad. ¿Qué se podría haber esperao? Bien ¿Y?. Repito, mejor esto que no haberlo publicado. ¿Os creeis que solo él descubrió el fallo? A saber el tiempo que llevan dando vueltas esos datos por ahí.
Una aclaración a por qué el título del envio: Tú tienes un servidor web en tu máquina o hosting, un buen día alguien descubre que cometiste un pequeño error en un simple archivo (todos somos humanos y podemos llegar a cometer errores así) y en ese simple e inocente archivo, ese visitante curioso se da cuenta que están las claves de tu base de datos.. El, buena gente, te envía un correo, pero da la casualidad que no estas disponible, estas de vacaciones.. Sin embargo ese visitante decide que al no tener respuesta tuya, no te importa la seguridad de tu sitio, por lo que en vez de esperar o mejor, informar por ejemplo, al departamento u oficina de seguridad informática de tu región o a la polícia (es común ya un area de delitos informáticos) simple y sencillamente publica el fallo, y lo peor, da las instrucciones paso a paso. Vuelves a la semana y aterrorizado descubres que tu servidor tiene un gran problema....
¿Verdad que no te gustaría? Bien, por eso la dureza de mi título.
Soy el autor de esta "irresponsabilidad". Resulta que luego de la publicacion en BarraPunto, el problema se arreglo rapidamente (antes pasaron 2 dias sin ninguna respuesta de nadie). Incluso se contacto conmigo el ArCERT, lo que demuestra que el metodo del "full disclosure" aumenta la velocidad de respuesta. Como dice davidcg, el problema ya era conocido, yo no invente nada, de hecho aclaro que encontre la clave del servidor MySQL en un mensaje en una lista publica (la lista de SOLAR), incluso en mi blog alguien me acuso de plagio porque otro ya habia publicado esa noticia en una pagina de H/P/C/etc, incluso con un pedazo de dump de la base de datos. Con esto ultimo quiero decir que quien queria hacer danio, ya podia hacerlo, lo
SIGUE MENSAJE ANTERIOR:
lo que hice fue llamar la atencion a los responsables, y por suerte lo logre. Aclaro que antes de eso, use un formulario de contacto y ademas escribi varios emails utilizando los datos obtenidos en la base MySQL (hasta me meti en las cuentas de email para alertar a los usuarios del problema).
Comentarios
Bien, creo que a lo que se refiere osi es que puedes denunciar la falla, dar pruebas de que el agujero existe (para que los responsables tomen cartas en el asunto) pero lo que no es de recibo es que publicites los pasos exactos para acceder (por lo que cualquier kiddie podría hacer un desbarajuste) y mucho menos publicar direcciones, teléfonos y contraseñas de la base de datos accedida.
Quiero decir, que está bien denunciar el fallo, pero lo que me parece excesivo es la descripción pormenorizada y serializada del acceso, así como el publicitar información privada de usuarios (que los pobres no tienen culpa de nada).
Más información en el hilo de barrapunto
http://barrapunto.com/ciberderechos/06/01/12/0051227.shtml
Yo lo veo bien. A saber cuanta gente más lo ha descubierto, no ha dicho nada, y ya ha vendido los datos por ahí. Este señor en cambio ha publicado el error y al menos ya se ha descubierto la cosa. Antes de publicarlo él sencillamente estaba pasando lo mismo pero no había conocimiento de ese problema y a saber cuanto tiempo más hubiera seguido esa vulnerabilidad. ¿Qué se podría haber esperao? Bien ¿Y?. Repito, mejor esto que no haberlo publicado. ¿Os creeis que solo él descubrió el fallo? A saber el tiempo que llevan dando vueltas esos datos por ahí.
Una aclaración a por qué el título del envio: Tú tienes un servidor web en tu máquina o hosting, un buen día alguien descubre que cometiste un pequeño error en un simple archivo (todos somos humanos y podemos llegar a cometer errores así) y en ese simple e inocente archivo, ese visitante curioso se da cuenta que están las claves de tu base de datos.. El, buena gente, te envía un correo, pero da la casualidad que no estas disponible, estas de vacaciones.. Sin embargo ese visitante decide que al no tener respuesta tuya, no te importa la seguridad de tu sitio, por lo que en vez de esperar o mejor, informar por ejemplo, al departamento u oficina de seguridad informática de tu región o a la polícia (es común ya un area de delitos informáticos) simple y sencillamente publica el fallo, y lo peor, da las instrucciones paso a paso. Vuelves a la semana y aterrorizado descubres que tu servidor tiene un gran problema....
¿Verdad que no te gustaría? Bien, por eso la dureza de mi título.
Soy el autor de esta "irresponsabilidad". Resulta que luego de la publicacion en BarraPunto, el problema se arreglo rapidamente (antes pasaron 2 dias sin ninguna respuesta de nadie). Incluso se contacto conmigo el ArCERT, lo que demuestra que el metodo del "full disclosure" aumenta la velocidad de respuesta. Como dice davidcg, el problema ya era conocido, yo no invente nada, de hecho aclaro que encontre la clave del servidor MySQL en un mensaje en una lista publica (la lista de SOLAR), incluso en mi blog alguien me acuso de plagio porque otro ya habia publicado esa noticia en una pagina de H/P/C/etc, incluso con un pedazo de dump de la base de datos. Con esto ultimo quiero decir que quien queria hacer danio, ya podia hacerlo, lo
SIGUE MENSAJE ANTERIOR:
lo que hice fue llamar la atencion a los responsables, y por suerte lo logre. Aclaro que antes de eso, use un formulario de contacto y ademas escribi varios emails utilizando los datos obtenidos en la base MySQL (hasta me meti en las cuentas de email para alertar a los usuarios del problema).