[HACK] Que hacer cuando se accede a un sistema

Roman Medina roman at rs-labs.com
Thu Mar 20 11:09:03 CET 2003 

On Tue, 18 Mar 2003 15:06:13 +0000, you wrote:

 Hola.

>creo que esta es una muy buena pregunta para todos y sin duda todos 

 Sí, es buena pregunta.

>principio avice al administrador de esa base de datos y caso omiso hizo 
>hacia mì, luego de eso lo que hice fue informar a una persona de esa lista, 
>para lo cual tampoco ocurrio nada y eso creo que es debido a la falta de 
>cultura en cuanto a seguridad tenemos aqui en nuestro país y no me dejaran 
>mentir las personas de México que estan en la lista.

 ¿Por qué no lo hiciste público? Ten en cuenta que la pasividad /
neglicencia de algunos (el administrador, p.ej) afecta negativamente a
muchas personas (inocentes). Yo soy partidario del "full disclosure".
Si una empresa pasa de tí, publica el fallo, y verás como tarde o
temprano acaban arreglándolo, aunque sea por vergüenza, o simplemente
por la presión de sus propios clientes, avisados por tu anuncio. A una
empresa no le interesa este tipo de publicidad negativa asi que hará
lo posible por arreglar el fallo. Lo que no creo que debas publicar
son datos privados (nums. de tarjetas de crédito, la bbdd que has
conseguido bajarte, etc), sino guardarlo como pruebas, por si te las
piden o incluso te acusan de mentir. De hecho, si publicas datos
sensibles, creo que te podrían acusar de revelación de secretos y
cosas por el estilo, con lo cual podrías acabar tú metido en un buen
lío y con problemas legales.

 En breve publicaré el "advisory" que les mandé a un conocido ISP,
informando de fallos críticos. Me costó que me hicieran caso, pero al
final lo hicieron. De no haber sido así, lo habría hecho público, para
presionar. Ahora sin embargo, cuando lo publique, ya estará arreglado
el fallo, y el impacto será nulo (simplemente, algo
informativo-curiosidad).

>ahora bien, porque este tipo de empresas hacen trabajos de seguridad y no se 
>preocupan por la de ellos?

 Repito, hazlo público y quizás se preocupen algo más ;-)

 Saludos,
 --Roman

--
PGP Fingerprint:
09BB EFCD 21ED 4E79 25FB  29E1 E47F 8A7D EAD5 6742
[Key ID: 0xEAD56742. Available at KeyServ]

More information about the hacking mailing list