[HACK] Re: Re: Que hacer cuando se accede a un sistema

Roman Medina roman at rs-labs.com
Fri Mar 28 15:32:32 CET 2003 

On Fri, 28 Mar 2003 00:38:21 +0100, you wrote:

>Si con tan sólo meter una comilla puedes saber si potencialmente es posible
>la inyección, ¿por qué no avisar en este punto? (nadie te va a denunciar por

  ¿Porque muy probablemente no te harán ni puñetero caso? Es avisando
de cosas graves ("tu bbdd está al descubierto") y muchas veces ni se
molestan, ya me dirás que ocurriría cuando les digas: "nada, que si
poneis una comilla vuestra aplicación da error y a lo mejor hasta os
podrían entrar por ahí". ¿Resultado? La probabilidad de ser tenido en
cuenta disminuye muy drásticamente.

 Las empresas suelen ser muy incrédulas, en la mayoría de casos,
porque les interesa (o mejor dicho, creen que les interesa porque
realmente mejorar la seguridad debería interesar a todas). Al
programador de la aplicación defectuosa a menudo le interesa esconder
su error, ya sea por no quedar mal, o simplemente por ahorrarse el
tener que arreglarlo.

 Como anécdota, un fallo que reporté hace poco, me llevó varios
mails... primero, tratando de convencer al CAC de que me pasaran un
contacto técnico. Cuando finalmente lo consigo, dicha persona se puso
en contacto conmigo y escribió algo así como: "hola, me han dicho que
querías reportar un posible problema de seguridad...". Es decir,
parten de la incredulidad, y como no le muestres hechos... Yo le mandé
un completo advisory, donde entre otras cosas iba incluido un script
en perl que aprovechaba el fallo para ejecutar de forma cómoda
comandos remotamente en el servidor. Vamos, una especie de
pseudo-shell interactiva. Me imagino su cara al probar el programita.
Ni que decir que la siguiente contestación por su parte fue más que
suave y creo que hasta conseguí "asustarlos" para que auditaran TODOS
sus cgi's (otros quizás hubieran corregido el cgi defectuoso y listo).

>Lo que es cierto es que se pierde mucho la perspectiva de la ilegalidad de las
>acciones al estar uno sentado tranquilamente en su casa. Si extrapolas la
>situación a cualquier otro orden de la vida... seguramente verás motivos de
>ilegalidad.

 Ya se ha dicho muchas veces: no se puede extrapolar. Sencillamente no
es lo mismo, ni se le parece. No se puede comparar lo virtual con lo
real.

 Lo siguiente lo escribió Victor, pero lo contesto en el mismo mail
(pa'ahorrar):

>La seguridad es imposible en una sociedad en la que parte de la sociedad
>esta creando inseguridad y aqui me refiero a los que buscan bugs conel solo
>afan de buscarlos y de jode...

 :-!! Con todos mis respetos, una frase así denota un desconocimiento
supremo del mundo de la seguridad. Según tú, ¿los que
buscan/encuentran bugs son los responsables de la inseguridad? Dios
mío, párate a pensar lo que has dicho... Los únicos responsables de la
inseguridad son aquellos que hacen software a la ligera, que programan
sin tener en cuenta posibles fallos de seguridad y que en definitiva,
cuando hacen su programa/aplicación solo piensan en venderlo, y no en
como mejorarlo evitando fallos de seguridad. Estos son los primeros
responsables. En segunda fila, podríamos situar a aquellos que
dificultan la labor de encontrar dichos fallos ("security by
obscurity"). Precisamente, ¡la única forma de mejorar la seguridad es
buscar / encontrar fallos, y *reportarlos* para que éstos puedan ser
corregidos! (es decir, todo lo contrario a lo que tu has afirmado).

 Saludos,
 --Roman

--
PGP Fingerprint:
09BB EFCD 21ED 4E79 25FB  29E1 E47F 8A7D EAD5 6742
[Key ID: 0xEAD56742. Available at KeyServ]

More information about the hacking mailing list