[HACK] Que hacer cuando se accede a un sistema

Bernardo Quintero bernardo at hispasec.com
Thu Mar 20 22:03:14 CET 2003 

>A quien se reportariais el problema? A la empresa, a la agencia de
>proteccion de datos? a la policia? Alguno se plantearia la
>posibilidad de vender la informacion?
>
>Salu2,
>
>David A. Pérez

Supongo que todo el mundo estará de acuerdo en que, en primer
lugar, hay que avisar a la empresa afectada. El mecanismo no difiere
mucho de cuando reportas una vulnerabilidad en un software, depende
de la habilidad de la empresa en la respuesta (sobre todo en que de
alguna u otra forma responda) el que la cosa no pase a mayores y se
solucione.

El debate creo que se plantea en la conveniencia, cuando, y en que
términos, debe de hacerse público datos al respecto.

La mayoría de avisos públicos suelen darse por:

- Falta de respuesta de la empresa al aviso
- Intereses propagándisticos por parte del que reporta el problema
- Notificación técnica de la vulnerabilidad por ser algo nuevo y interesante
  para la comunidad a nivel de estudio (podrían detectarse otras
  vulnerabilidades asociadas, prevenirla en futuros desarrollos, etc..)

En cualquier caso, no son excluyentes... puede (suele) darse alguna
combinación. Particularmente no me he encontrado con empresas que
no respondan, tal vez porque voy con el paraguas de "Hispasec". De
hecho, nos suele ocurrir que actuemos de "intermediarios" entre gente
que descubre problemas y empresas afectadas, porque solemos obtener
respuestas con bastante facilidad, y suele ser bastante positivos para
todos los implicados. Lo mismo es el miedo escénico a aparecer en
"una-al-dia" si no se responde ;) (broma... no utilizamos "una-al-dia"
para estas cosas).

En el caso de la falta de respuesta por parte de la empresa, bien es
cierto que hay algunas que consideran que haciéndose los suecos van a
evitar el que se haga público el problema y la posible mala imagen que
pueda repercutir de ello. Consiguiéndo con esta actitud exáctamente el
efecto contrario. Aunque también habría que plantearse la crítica por
el otro lado, y ver como se lleva a cabo el aviso... porque hay de todo,
como en botica :), y a veces es comprensible que no respondan a
ciertos mensajes.

El interés propagandístico en los avisos públicos es algo evidente, hoy
por hoy es una forma de reconocimiento en la comunidad. Idem con
la descripción técnica, la utilidad del "full disclosure" es evidente a nivel
de (in)formación.

Al respecto, escribí algo en "una-al-día":
04/04/2002 La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia/1257

Aunque aparezcan intereses encontrados (la empresa intentando evitar
la publicidad, mientras que el descubridor busca publicarlo), hay soluciones
interesantes. Por ejemplo, la tan criticada Microsoft, creo que tiene una
buena política al respecto. Incluyen un apartado de "Acknowledgments"
en sus boletines de seguridad donde agradecen la ayuda al descubridor
de la vulnerabilidad, a cambio el descubridor no debe hacer público
detalles antes del aviso oficial (y parche) de MS. Así todos contentos,
el descubridor tiene un reconocimiento oficial, y MS tiene tiempo de
desarrollar la actualización para dar la solución y evitar una ventana de
tiempo entre aviso y parche en la que los usuarios se encuentren
desprotegidos.

Aunque hay ciertas semejanzas, bien es cierto que en el caso de "accesos
a un sistema" la cosa tiene sus diferencias. De entrada, tal y como lo
plantea David, "que hacer cuando se accede a un sistema", me parece
peligroso. Se da por hecho de que quién descubre el problema ha
accedido al sistema, lo cual (pese a que nos pese) ya puede ser motivo
de delito.

Creo que sería interesante ahondar más en este aspecto. De manera
independiente a las implicaciones legales, ¿hasta que punto es ético
acceder a un sistema?. Es decir, entiendo que se descubran vulnerabilidades
sin acceder al sistema y sin premeditación (aunque puede haber gente
que no lo entienda, es deformación profesional, a todos nos habrá pasado
simplemente navegando... donde algunos ven una simple URL, para otros
será una vulnerabilidad evidente), pero ¿hasta donde debemos llegar?

Ahora, pongamonos en el lado de la empresa. Por ejemplo, somos los
responsables de la web de un hospital. Alguien visita la web... y descubre
que en un formulario es posible la inyección de código contra la bb.dd.
Si simplemente ha comprobado que potencialmente es posible la
inyección de código y lo reporta, deberíamos estar agradecidos. Ahora,
si la intrusión ha ido más allá, y con fines de  "comprobación o prueba
de concepto" me adjunta como ha tenido acceso a una bb.dd. de usuarios
con información sensible... la cosa cambia, y podríamos llegar a denunciar
el hecho por atentar contra el hospital y la privacidad de los usuarios del
sistema.

En fin, que plantearía otro debate en estos términos, donde se sitúa el límite
legal y, sobre todo, ético, a la hora de detectar y analizar vulnerabilidades en
sistemas sin ser un trabajo a demanda de la empresa afectada.

Saludos,
Bernardo

More information about the hacking mailing list