[HACK] Descubiertos varios fallos de seguridad en Iberia.com

Vicente Aceituno aceituno at yahoo.com
Sat Jun 12 03:05:33 CEST 2004 

Aunque esta discusión parece cerrada, me gustaría
hacer alguna puntualización.

>Sin ir más lejos, el colaborador de la lista Vicente
>Aceituno describe  
>aquí:http://www.kriptopolis.com/more.php?id=A109_0_1_0_M
>la existencia de un "proceso formal" propuesto el año
>pasado.

Este proceso se refiere al descubrimiento de
debilidades en productos, no en sistemas. Por un lado
sería necesario adaptarlo a sistemas, y por otro si
Iberia no declara adherirse a un proceso, entonces no
el proceso simplemente no existe, dado que hay dos
partes implicadas, y no se ha producido ningún acuerdo
entre ellas ni explícito ni implícito. 

>Pienso que es interesante para todos los usuarios de
>iberia.com conocer  
>que su servicio es deficiente. Si no se hiciesen
>públicos los fallos de  
>seguridad, todos los productos y sistemas serían
>todavía más inseguros (y  
>sé que suena a gran tópico). Sugiero que es más bien
>una obligación  
>"moral", no digo en ningún momento que esté
>"autorizado" y mucho menos  
>"legalmente".

Creo que si Iberia no lo pide, no asunto de nadie
examinar la seguridad de sus sistemas. Triste pero
cierto. Es tanto la responsabilidad de Iberia como el
problema de Iberia.

Si en un futuro se demuestra la utilidad de adherirse
a un método de descubrimiento de debilidades, esto por
desgracia se dará por incidentes reales, y no por
avisos bienintencionados.

Esto de acuerdo con que la seguridad de un sistema es
mayor si se descubren y corrigen sus debilidades. Pero
cuando el sistema no es _nuestro_ sistema, tampoco es
_asunto nuestro_. La situación del proceso de
descubrimiento de debilidades, como dirían los
anglosajones es un Catch-22. Si te callas esta jodido,
y si dices algo estas jodido.

Saludos

Vicente Aceituno



=====
Para hacer tu ordenador de casa más seguro consulta mi página:
http://seguridaddelainformacion.net/

__________________________________________________
Do You Yahoo!?
Tired of spam?  Yahoo! Mail has the best spam protection around 
http://mail.yahoo.com

More information about the hacking mailing list