[HACK] Re: Re: Que hacer cuando se accede a un sistema (Jesus Cea Avion)

MNTGE mntge at indra.es
Thu Mar 27 12:24:17 CET 2003 

On Wed 26 Mar 2003 20:28, you wrote:

Gracias al (correcto) resumen de Román podemos llegar a la repuesta mejor 
adaptada a nuestro entorno, es decir la "legislación española/año 2003".

Si admitimos que la actividad de hacking tiene una componente ética que 
consiste en proteger a terceros de la incompetencia o desidia, el mejor 
comportamiento para todos (incluido tú) es:

1) Descubres la falla.

2) No te quedas con ningún dato que te comprometa (por supuesto, se supone 
que no hay intereses espúrios). Olvidate de la APD (si tiene que elegir entre 
tú y la empresa, ya sabemos la elección).

3) Avisas ANONIMAMENTE a la empresa, y adviertes que en paralelo le das 
máxima difusión a la falla.

4) Efectivamente, poco después (horas o dias, queda  a tu juicio) le das 
ANONIMAMENTE máxima difusión a la falla. Máxima difusión, técnica y 
socialmente (para eso sirve la "Interné").

5) Provocas efecto multiplicador. Solicitas a todas las personas con 
conciencia social de hacking que verifiquen la falla (explica a la gente bien 
todas las precauciones necesarias para su anonimato), y que procedan como tú 
has hecho.

6) Te olvidas completamente de este tema, y te dedicas a otra cosa, mariposa. 
La responsabilidad de los "daños colaterales" es exclusivamente de la 
empresa. Acabas de cumplir con una obligación social, al menos desde la 
perspectiva hacker.

Saludos,


>  Suponte ahora 2 casos:
> 1) Descubres una falla de este tipo, avisas a la empresa y a la vez
> denuncias a la APD. La empresa tapa el agujero sin decir ni mú, niega
> que el agujero haya existido (para salvaguardarse las espaldas) y
> encima te denuncia a tí por difamación y calumnias.
>
> 2) Descubres un fallo, guardas una muestra de la bbdd con la intención
> de tener pruebas, avisas a la empresa y luego denuncias a la APD. La
> empresa niega todo e incluso te acusa a ti de mentir, pero tu tienes
> pruebas esta vez. El dilema es que si dices que las tienes, a lo mejor
> te pueden acusar de tener "secretos" (aunque no los hayas publicado).
> Si argumentas ante un juez que precisamente guardaste los ficheros
> como pruebas, y los sueltas en el juicio, ¿podrías salir tb mal
> parado? ¿O se podría demostrar claramente que las intenciones eran
> buenas cuando guardé la bbdd en mi HD?
>
>  No se si se ve a donde voy... ¿es que "el bueno" siempre sale mal
> parado?
>
>  Saludos,
>  --Roman

More information about the hacking mailing list