[HACK] Code Red

Bernardo Quintero bernardo at hispasec.com
Thu Aug 9 23:40:08 CEST 2001


> > bueno hacer paralelismos con situaciones comunes... imagina
> > que me pongo a cachear a todo el mundo que encuentro
>
> Pero lo que se plantea no es escanear, sino ir directamente a los
> servidores que nos han atacado y parchearlo, la idea de David A. Pérez
> era parchearlo y reiniciar la máquina, lo cual ya es portarse muy bien
> ya que lo lógico el entrar y apagarla, y siguiendo con los

Perdón... me había perdido el hilo inicial de la discusión, ahora con lo
que comentas y la respuesta de David ya tengo más claro por donde
van los tiros.... efectivamente yo me había ido a por la idea del escaneo.

Si bien está mucho mejor el planteamiento de parchear algo que
está demostrado que está mal o que, como comentais, está dando
la "lata", sigo pensando que no es correcto actuar sin consentimiendo
del afectado.

Por un lado, no tenemos la seguridad de que la acción que vamos a
realizar en la máquina afectada no interfiera de mala manera, por
ejemplo por algún tipo de incompatibilidad entre el parche genérico
que estamos utilizando y algún software especial que tenga instalado
la máquina... imaginemos, en el mejor de los casos, que causamos un
DoS durante el fin de semana y que sus clientes se quedan sin servicio...
vale que ellos son responsables de tener un sistema vulnerable... pero
la denegación de servicios y los daños asociados nos los comemos
nosotros.

Por otro lado, aunque con la idea de hacer el bien, no dejamos de
estar entrando en un sistema de forma ilegal para llevar a cabo unas
acciones sin consentimiento del propietario. (Vale con que si se me
está quemando la casa mientras estoy fuera agradeceré que venga
alguien a apagar el fuego... el caso es que cuando hablamos de
sistemas que algo se esté quemando no es tan obvio... lo que para
nosotros puede ser un incendio para el dueño podía ser un pequeño
incidente que no iría a mayores y que no justifica que hayamos entrado
echando agua en el parqué...)

Tampoco me situo en un NO rotundo, la idea es cuando menos
interesante... si bien, para proteger el proyecto, evitar responsabilidades,
y posibles daños a terceros, optaría por una solución intermedia que
conlleve notificación y autorización por parte del afectado. Por ejemplo,
tras detección de la máquina afectada se busca en el registro pertinente
a nombre de quién está y se le envía un email, o uno cada 15 minutos
si se quiere ser mas agresivo, donde se explica tanto el problema como
la solución y se le invita a pinchar en un enlace o a realizar un reply del
mensaje para que se active nuestro parcheo remoto.

Esta claro que se pierde tiempo y efectividad, pero evitas muchos problemas.

>(el paralelismo de escanear con cachear no me parece muy acertado)

Puede ser... probemos con otro ejemplo, sería algo así como tener a un
tío alrededor de mi casa comprobando todas las ventanas, puertas... a
ver cuantas entradas/salidas tengo, tipo, tomando medidas, cerradura,
etc.. ¿Te parece mejor? ;)

Saludos,
Bernardo




More information about the hacking mailing list