[HACK] Que hacer cuando se accede a un sistema

Angel Dezkarriado/StrCpy angel_dezkarriado2k at hotmail.com
Tue Mar 18 18:22:03 CET 2003 

    Como bien dijo la contertulia Espinoza, es un tema trillado en el cual
habrá muchísimas opiniones distintas que, seguramente servirán de forma
excelente a los propositos del amigo que inicio el thread, aunq seguramente
a muchos no les gustará tocar los mismos temas una y otra vez.

    En lo personal, las veces que me ha tocado lidiar con este tipo de
situaciones he recibido respuesta. Sino siempre sastisfactoria, respuestas
al fin.
    El primer caso, que no me veo en libertad de comentar de forma demasiado
explícita se dió con un importante web-site, miles de usuarios y la
posibilidad de realizar transacciones (además de una base de datos que
contenía hasta el nro de documento de sus usuarios). No se realizó una
intrusión profunda, sino que tras un pequeño analisis de un software
propietario (el site en sí) y al descubrir errores que daban lugar a la
intrusión y acceso a la base de datos se les informó.
    La empresa en cuestión tomó medidas respecto DE ESTOS errores, y solo de
estos. Consecuentemente no fué el único contacto que tuve con ellos, ni yo
ni otros conocidos que luego me enteré pasaron por lo mismo. Hubo posibles
reuniones y la posibilidad de asentarse laboralmente con ellos... pero creo
que era más por callarnos que realmente una preocupación por la seguridad.

    En contraparte a esta poca preocupación, un extremo es el caso de
web-mail.com.ar (sevicio gratuito de netizen, sobre el cual trabajan más de
un servicio de webmail gratuito: ubbi entre ellos). Se les informó
reiteradas veces del acceso TOTAL a los datos de sus usuarios (datos entre
los cuales se encontraban datos de 3ros, mantenidos por las listas de
contacto 'online' de este servicio).
    Si bien se recibí respuesta (no pronta, sino tras "sugerir" que se iba a
hacer pública esta información -algo que por cierto, nunca hice... quizá
algún día me levante de malas y arme el informe... si alguno quiere hacerlo
es un pequeño analisis que bastaria para "poner todo de cabeza"), no ha
habido ninguna modificación en torno a este tema.
    Se mando un mail a 10 usuarios al azar de los cuales tampoco recibí
respuesta.
    Ahhhhh... como último comentario digo que el servicio es 100% propicio
para distribuir virus por su naturaleza despreocupada...

    En conclusión, para mí lo primero sería advertir a los responsables y
brindar la información disponible para facilitarles la posible solución. De
no haber respuesta, hacer pública la información. El problema con
información tan sensible es que se puede acusarnos de negligencia, pero se
resolvería rápido -quiero suponer, nunca me ha sucedido- siendo evidente que
no es nuestra responsabilidad sino de la entidad en cuestión.

    Ah, Noe, el personaje en cuestión -fué, de hecho, en hackindex- era
MasterSys.
    A pesar de mi respeto por el sujeto, estuve completamente en desacuerdo.

    Slds a to2.
    Angel Dezkarriado/StrCpy

More information about the hacking mailing list