[HACK] Descubiertos varios fallos de seguridad en Iberia.com

Sergio de los Santos s.delossantos at forzis.com
Thu Jun 10 01:42:23 CEST 2004 

On Tue, 8 Jun 2004 11:33:09 +0200, Crono <crono at phreaker.net> wrote:

Hablo como autor de la noticia, no como implicado en el descubrimiento. No  
quiero levantar la polémica, sino matizar algunos puntos que pudiesen  
haber quedado confusos.


> ¿Que protocolo? Yo no conozco ningún protocolo, es más, no deberias ni
> de intentar descubrir ningún fallo en ninguna página: Iberia no te ha
> contratado en ningun momento para eso.

Hablo de protocolo en sentido figurado. Todos los integrantes de la lista  
sabemos que los descubridores de problemas de seguridad suelen investigar  
los sistemas y encontrar fallos ya sea por curiosidad o simple azar, y que  
el "procedimiento de facto" (si prefieres esta palabra) es notificar a la  
empresa primero para más tarde hacerlo público.

Sin ir más lejos, el colaborador de la lista Vicente Aceituno describe  
aquí:http://www.kriptopolis.com/more.php?id=A109_0_1_0_M

la existencia de un "proceso formal" propuesto el año pasado.

Por poner un ejemplo reciente, iDefense (empresa con experiencia en  
vulnerabilidades) hacía público hace unas semanas un fallo de seguridad en  
los routers 3com. En su página describen la secuencia de medidas tomadas  
ante el descubrimiento:

02/18/04  Exploit acquired by iDEFENSE
03/08/04  iDEFENSE Clients notified
03/11/04  Initial vendor notification - no response
03/30/04  Secondary vendor notification - no response
05/27/04  Public Disclosure

Y para no iniciar una discusión ya gastada y cansina, recuerdo que en su  
momento se habló de este tema largo y tendido en esta misma lista:  
http://mailman.argo.es/pipermail/hacking/2003-March/001415.html "[HACK]  
Que hacer cuando se accede a un sistema"

donde todos expusieron distintas e interesantes formas de abordar el  
problema.

> (habría que ver a quien se lo comunicaste), el descubridor ya esta
> legalmente autorizado a publicar el fallo de seguridad, ¡¡incluso está  
> en la obligación!!.

Pienso que es interesante para todos los usuarios de iberia.com conocer  
que su servicio es deficiente. Si no se hiciesen públicos los fallos de  
seguridad, todos los productos y sistemas serían todavía más inseguros (y  
sé que suena a gran tópico). Sugiero que es más bien una obligación  
"moral", no digo en ningún momento que esté "autorizado" y mucho menos  
"legalmente".

> judiciales contra ti, por vulnerar y PUBLICAR secretos (como son esas
> contraseñas)y por acceder a un sistema de control/gestion privado usando  
> contraseñas
> identificativas que no te pertenecen.

El autor del descubrimiento no ha publicado ninguna contraseña explícita  
ni ha afirmado en ningún momento que el acceso se haya realizado a través  
del conocimiento o utilzación de contraseñas ajenas.

>
> No quiero que se vea en este e-mail una crítica hacia Hugo o Toni, sino

Como corrijo en otro mensaje, Toni, a día de hoy, ya no tiene nada que ver  
con infohacking.

Y para terminar, pienso que el descubridor deja claras sus intenciones con  
una nota final en "http://www.infohacking.com/iberia/index.html".

Saludos.

-- 
Sergio de los Santos.
http://www.forzis.com
 

More information about the hacking mailing list