[HACK] Que hacer cuando se accede a un sistema

Angel Protector angelprotector at hotmail.com
Mon Mar 24 13:01:05 CET 2003 

>From: "Bernardo Quintero" <bernardo at hispasec.com>
>Date: Thu, 20 Mar 2003 22:03:14 +0100
>
>Creo que sería interesante ahondar más en este aspecto. De
>manera independiente a las implicaciones legales, ¿hasta que
>punto es ético acceder a un sistema?. Es decir, entiendo que
>se descubran vulnerabilidades sin acceder al sistema y sin
>premeditación (aunque puede haber gente que no lo entienda,
>es deformación profesional, a todos nos habrá pasado
>simplemente navegando... donde algunos ven una simple URL,
>para otros será una vulnerabilidad evidente), pero ¿hasta
>donde debemos llegar?
>

Buena pregunta estimado colega... lo cierto es que imagino
esa franja imaginaria, como bastante borrosa...

>Ahora, pongamonos en el lado de la empresa. Por ejemplo,
>somos los responsables de la web de un hospital. Alguien
>visita la web... y descubre que en un formulario es posible
>la inyección de código contra la bb.dd. Si simplemente ha
>comprobado que potencialmente es posible la inyección de
>código y lo reporta, deberíamos estar agradecidos. Ahora,
>si la intrusión ha ido más allá, y con fines de  "comprobación
>o prueba de concepto" me adjunta como ha tenido acceso a una
>bb.dd. de usuarios con información sensible... la cosa cambia,
>y podríamos llegar a denunciar el hecho por atentar contra el
>hospital y la privacidad de los usuarios del sistema.

Sin lugar a dudas, la prueba de concepto que describes en tu
ejemplo, esta directamente relacionada con un delito. Mientras
que el hecho de que nuestra agudez visual determine que tal
o cual URL, pasa variables a una DB en forma indiscriminada y
que esta situacion podria ser utilizada para inyectar, por
ejemplo, sentencias SQL, NO puede ser considerado un delito,
aunque... cuantos de nosotros somos capaces de pasar por uno
de estos URL's y no probar al menos con una " ' " ?????

>En fin, que plantearía otro debate en estos términos, donde
>se sitúa el límite legal y, sobre todo, ético, a la hora de
>detectar y analizar vulnerabilidades en sistemas sin ser un
>trabajo a demanda de la empresa afectada.

Mmmm haber.. utilizare un ejemplo que accarreo hace ya algun
tiempo... que opinarian ustedes si alguien pasa por vuestra
casa se asoma a la ventana y ve que esta está semi abierta,
debido a esto, entra... y deja una nota sobre nuestra mesa
que dice "Hi.. soy Angel... solo pasaba por aqui y vi que tu
casa era vulnerable a un ataque de OpenWin (Ingenioso no :).
Si necesitas ayuda no dudes en contactarme"?????????????
da pavor no es cierto.... Ok ok.. todos sabemos que quizas
el ejemplo no sea aplicable a Internet... pero... da que
pensar...

Haber.. en resumen.. mi opinion es que salvo en algunas
circunstancias (Las menos...) no creo que el Hacking sin
demanda sea etico, esto no quita que en la realidad fisica
sea necesario y la mayoria de las veces bienvenido, asi
como tampoco quita que a medida que nos adentramos mas y
mas en un sistema, la etica termina cayendo en el olvido.

>Saludos,
>Bernardo

Bernardo! un gusto

Angel Protector
Raregazz Security Team
[http://www.raregazz.org/]


_________________________________________________________________
Charla con tus amigos en línea mediante MSN Messenger: 
http://messenger.yupimsn.com/

More information about the hacking mailing list