[HACK] Re: Re: Que hacer cuando se accede a un sistema
Bernardo Quintero
bernardo at hispasec.com
Sat Mar 29 15:44:04 CET 2003
> Ya se ha dicho muchas veces: no se puede extrapolar. Sencillamente no
> es lo mismo, ni se le parece. No se puede comparar lo virtual con lo
> real.
Román, estoy de acuerdo contigo en que las extrapolaciones entre lo
real y lo virtual son malas y desaconsejables, así como que las comparaciones
entre los ataques físicos e informáticos suelen ser bastante desafortunados.
Ahora bien, no estoy de acuerdo en que la informática sea virtual, entendiendo
como tal que tiene existencia aparente y no real. Vale que cuando se juega al
commandos estamos en un mundo virtual, un mundo simulado, pero mis
documentos o mis transacciones vía Internet son reales. En definitiva, no
debemos confundir virtual, simulación, o irreal con informática.
A efectos prácticos, a mi me repercute igual que me roben 1.000 euros de
forma física (de mi cartera) o con un troyano metido en mi ordenador a
través de la banca electrónica. El mismo daño pueden hacerme accediendo
a documentos sensibles de forma supuestamente "virtual" (un acceso no
autorizado a mi ordenador a través de Internet), o teniendo acceso a esos
documentos en forma de papel asaltando mi oficina, etc, etc.
En definitiva, que cuando se hacen "prácticas de hacking" con sistemas de
terceros no estamos jugando a la playstation, y que puede tener
repercusiones muy reales.
En cuanto a mi creencia de que es preferible tener un contacto preliminar
con el afectado antes de ahondar, te pongo un ejemplo concreto y virtual :)
Yo seré la empresa afectada y tú el que descubres la vulnerabilidad.
Tengo un servidor con historiales clínicos de pacientes que da servicios de
extranet. He tenido en cuenta la seguridad en el diseño, una empresa externa
me ha auditado el sistema, pero a los 4 meses tú, alguien externo,
descubres una vulnerabilidad en el diseño, no conocida, que tanto a mí como
a la empresa ha pasado inadvertida. (No creo que sea negligencia, tú has
sido más "listo" o has tenido esa chispa de genialidad que nosotros no, nadie
puede garantizar al 100% la seguridad).
Empiezas a trabajar en el xploit como prueba de concepto, para tener algo
"sólido" con que avisarme. Durante esas pruebas, mis sistemas de IDS o
monitorización detectan algo extraño, analizo los datos, te rastreo, y llego
a la conclusión de que estás intentando entrar en mis sistemas de forma
no autorizada, poniendo en peligro los datos de pacientes, datos clínicos,
de confidencialidad crítica.
En ese momento, mi obligación es denunciarte.
¿Ves a donde quiero llegar?
Yo no se quién eres, a que te dedicas, ni tus intenciones, no se si quieres
hacerme un favor o hacer chantajes a mis usuarios, por descontado mi
sistema de monitorización tampoco puede diferenciar a un hacker de un
criminal :)
Estoy de acuerdo en que hasta que no lo ven, no se lo creen. Pero en cualquier
caso creo que es mejor un contacto en el primer momento, presentándote y
explicando el problema potencial. Seguramente sus respuestas, desde la
incredulidad, te darán pie a hacerle otras demostraciones más fuertes, y en ese
momento (gracias a los contactos previos) no te verán como una amenaza.
Todo lo anterior desde la perspectiva de la ética y pensando en evitar
problemas a quién descubre la vulnerabilidad.
De manera independiente, también creo que es necesario tener una bases
sólidas sobre lo que está permitido y no, de forma que proteja nuestros
derechos (los de todos). ¿Acceder en un sistema privado y ajeno debe
ser ilícito? ¿O tenemos que esperar a ver que hace en el sistema, o que
hace con los datos posteriormente, para decidir si es ilícito o no?
Saludos,
Bernardo
More information about the hacking
mailing list