Así se podría llamar la película porque hoy en día, reportar una vulnerabilidad en un sistema ajeno, puede ser considerado como una actividad «extrema» o de riesgo (para quien reporta). Lo que no deja de ser curioso es que muchos, nos empeñemos en seguir haciéndolo en medio de una época de intentos continuados de fiscalización/criminalización del conocimiento en Hacking, seguridad o como se quiera denominar.
Claramente, sería una mala película en vista de los «teasers» que nos llegan desde «algún lugar de Europa» (ENG). Sin duda, estaría llena de amarillismos y excesos proteccionistas «apuntando» al lado incorrecto por parte del legislador de turno.
Pero no, esta vez va de «Hacking old school», la sinopsis es simple. Un hashtag muy potente y activo en Twitter (ahí vamos mal con lo de «old»;) despierta el interés de quien reporta, un servidor web mal configurado permitiendo el listado de directorios, junto a un CMS vulnerable y todo ello visible a través del navegador (quedaría mejor para maquillar el guión un «después de un análisis súper complejo, bla, bla, bla…» pero no).
Quien lo ve, evaluando el gran peso del site junto al contexto y situación (no doy más datos ya que aún no han podido solventarlo aunque todo ha ido bien), decide enviar un e-mail con su nombre y correo real reportando los bugs y más o menos un par de horas después, recibe la siguiente respuesta;
MIL GRACIAS DAVID
Te lo digo sinceramente, como sólo lo usamos xxxxxxx lo tenemos
descuidado pero tomo nota.Un saludo y espero poder devolverte el favor
xxxxxx
Sólo diré para terminar la historia que no hacía falta pero se agradece. También os digo desde aquí que el «favor» (fueron dos minutos…más enviar el mail) está devuelto con creces. El motivo es simple, aparte de todo y dándome igual si uno se dedica al Hacking o la (IN) Seguridad profesionalmente o no, estamos en esto porque nos gusta y también por la gente. Hoy sois vosotros y mañana puedo ser yo perfectamente, aquí no se libra nadie y también agradecería ser avisado.
Gracias a vosotros por poner algo de color a un panorama tan gris, también por ayudarme a no perder las buenas costumbres. Sí amigos, (aún) hay vida ahí fuera.
Rastreador
Y si el bug lo has descubierto «revolviendo» un poco más ¿cómo lo reportas?
Sinceramente, a mi me da miedo que pueda traerme problemas legales.
dabo
Hola amigo, gracias por pasarte. Realmente creo que si no es ya o bien algo muy evidente o «por encargo» (del cliente) yo no me metería en camisas de 11 varas y en último extremo si crees que «tienes que hacerlo» por los motivos que sean, yo lo haría ya de forma anónima.
Por otro lado, siempre puedes tirar de algún contacto que sabes que respetará la fuente y que haga de intermediario sabiendo que ese contacto no tendrá problemas. Pero que vaya, con estos temas hay que andarse con mucho ojo, no sea que reportes un bug y al final el que más dañado salgas seas tú…
Un abrazo ;)
Joss
De verdad a que extremos hemos llegado que «ayudar al vecino» informando de un bug pueda traerte problemas legales. Menos mal que los que os dedicáis a la seguridad tenéis bastante más sentido común (entre otras muchas cosas) que los políticos que persiguen estas cosas.
No puedo resistirme a un offtopic Dabo: punto 3 del contrato social de Debian: «No ocultaremos los problemas. Mantendremos nuestra base de datos de informes de error accesible al público en todo momento. Los informes de error que los usuarios envíen serán visibles por el resto de usuarios de forma inmediata.» :D Ahora búsquense las 7 diferencias. Saludos.
dabo
Hola Joss ;) Sí, realmente las situaciones que se pueden dar son complejas dependiendo de cómo hayas obtenido la información. En mi caso, después de años reportando temas (algunos serios) por una mala experiencia / falta de profesionalidad de alguien (por no pensar mal) casi me veo en una situación un tanto delicada y entre nosotros, se me habían quitado las ganas hasta lo de hoy.
Y en el fondo el post va de eso, de no perder las ganas de hacerlo bien ni la confianza en que «al otro lado» (de la pantalla) hay gente que merece la pena y que se involucra.
Sobre el contrato social de Debian de off topic nada, esa filosofía que tanto aprecio en donde la información fluye de esa forma, accesible por todos, pudiendo solventar con naturalidad los bugs, hace que sea la distro prioritaria para mi cuando monto un servidor. A esas cosas uno se acostumbra y claro, luego vienen los legisladores señalándonos con el dedo acusador…
Un abrazo campeón y gracias por el aporte ;)
Pingback:
Bitacoras.comLiamngls
El tema es siempre peliagudo, por un lado está como actuamos y por otro lado como pueden interpretar que hemos actuado.
Hagamos un ejercicio de comparación exagerando un poco, imaginemos que vivimos en un residencial de viviendas unifamiliares, planta baja, primer piso (cada cual que le ponga las plantas que quiera).
Supongamos que yo estoy en mi vivienda y observo que una ventana de la planta baja de mi vecino se puede abrir fácilmente desde fuera y acceder de ese modo a su vivienda. En el momento que informe al vecino tenemos la opción de que se lo tome bien y solucione el problema o que se lo toma mal, pero podría incluso pensar que hemos accedido a su vivienda y complicarse la cosa así que ahí ya entraríamos en la cuestión de ver cuanta confianza tenemos con el vecino y cuanto lo conocemos para advertirle o no hacerlo.
Aquí pasa algo parecido, salvando las enormes diferencias, cuando ves algo mal en un sitio y no sabes como van a reaccionar igual te compensa no meterte en berenjenales y evitar una mala reacción.
dabo
Hola bro ;) Sobre esto;
#Aquí pasa algo parecido, salvando las enormes diferencias, cuando ves algo mal en un sitio y no sabes como van a reaccionar igual te compensa no meterte en berenjenales y evitar una mala reacción.
Sí, al final creo que hay enormes paralelismos con la «vida real», muchas veces hay gente (salvando las distancias también) frente a hechos de dudosa ética / legalidad porque no quiere meterse en líos, ir a testificar en un juicio, etc. Pero en este medio las líneas son más delgadas y creo que bien yendo «de frente» y a las claras o de forma anónima, ante la duda recomiendo sí o sí reportar ese bug en pro tanto del propietario del dominio como de posibles terceros afectados.
Un abrazo ;)
RaiSe
Buenas.
Yo hace poco avisé a una empresa sobre un XSS y me enviaron un mail dándome las gracias. La verdad es que se agradece, aunque no es lo común. Lo más normal es que directamente pasen de ti y nunca arreglen el fallo, es triste pero a mí es lo que me ha ocurrido la mayoría de las veces.
Por otra parte, aunque se tomasen a mal que les avises del fallo no creo que puedan hacer nada, a no ser que después de detectar el bug hayas entrado hasta la cocina. Mientras no les ralentices el sistema o cosas así no tienen nada que hacer porque tú no has hecho nada, aparte de mirar desde el exterior.
Un saludo.
tat
Me alegra de la experiencia positiva, por dos razones:
1- Porque los que leemos el artículo aprendemos a informar y a saber ser informados (igual de importante).
2- Cuantas más buenas reacciones reciban nuestros queridos hackers más contribuirán a la comunidad. Y se que a ti te afectan estas cosas mucho :-)
Como digo, buenas noticias.
dabo
RaiSe, bienvenido al blog ;)
Totalmente de acuerdo, ciertamente todo depende de cómo o hasta cuánto hayas profundizado a la hora de localizar el bug, algunos como ha sido este caso, eran muy «visibles» y estaban muy expuestos. Donde solemos encontrarnos con ese «miedo al conocimiento» es cuando llegas más adelante. Lo curioso es que de ser así, es un claro síntoma de que el site te interesa y por eso reportas.
Así que con la nueva legislación en la mano, «tengan cuidado ahí fuera» amigos
Saludos y te sigo leyendo ;) # Off Topic, veo que le das a la pesca, como yo, espero que tengas más suerte, pronto tocan largas noches en la playa buscando a las Doradas cuando las aguas templen.
Tat amigo, sí, definitivamente me conoces bien, estos temas me afectan y mucho, en algunos momentos te vienes más abajo y te ves como señalado y en otros, como ha sido este caso (nos hemos cruzado algún mail más) dices aquello de «hey, no está todo perdido…
Por lo que sólo puedo añadir que me alegro mucho de haberlo hecho.
Un abrazo y gracias por pasaros !