[HACK] Descubiertos varios fallos de seguridad en Iberia.com

Hellwalker hellwalker at fastmail.fm
Mon Jun 14 21:12:57 CEST 2004 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


A mi no me parece tan esteril esta discusión Sergio, sobre todo si se
mantiene el buen tono y, salvo la copia del mensaje de Infohacking (que
tampoco debemos de considerar demasiado porque ha sido una respuesta
particular que no iba dirigida a este foro) nadie se ha salido 'por 
peteneras'.
Considero, además, que el aspecto legal de la seguridad
informática es tan importante (y estimulante) como el técnico.

Yo estoy de acuerdo con el mensaje anterior de Bernardo: el usuario
tiene todo el derecho del mundo a conocer estas cosas y creo que
moralmente el descubridor tiene la responsabilidad de denunciarlo. Peor
sería que sintiera la debilidad de explotarlo ¿no te parece?

Ahora bien, si nos centramos en como se ha desarrollado este caso
concreto y sólo con los datos que se han expuesto en este foro creo que
el descubridor del fallo ha obrado de forma un tanto precipitada.  Y no
me meto en si lo ha hecho buscando reconocimiento, irritado por la falta
de respuesta o simplemente por que ha creído que era lo correcto. Lo
cierto y verdad es que yo creo que hubiera sido más correcto insistir en
la denuncia a título privado o publicar algo menos explícito para ver si
así los responsables de Iberia se decidían a tomar cartas en el asunto.

No sabía nada del protocolo propuesto por Vicente (y que se ha mencionado
en un correo anterior) y no puedo opinar acerca de si cubre o no estos 
casos,
pero la verdad es que no sería mala idea disponer de unas aputas de cara a
actuar ante este tipo de casos

Salud!

Josemaria

- --
- -- José María Morales [ josemaria.morales at hispalinux.es ] --
- -------------------------- [ http://morales-vazquez.com/] --

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAzfhYnRO/e6LTTVcRApROAJ0VXYMwJ3lWM/KIZsGn3cyHG1bJpACfRgPw
vsZb3dPuRwG3nw+WQnWM+wM=
=SAJI
-----END PGP SIGNATURE-----


On Mon, 14 Jun 2004 17:14:06 +0200, "Sergio Pozo Hidalgo"

<sergio.pozo at infonegocio.com> said:
> Desde luego chicos esta conversación está derivando en argumentos nada 
> constructivos, algo que ya sabíais.
> 
> Mientras en este país sigamos discutiendo si full-disclosure o no, y 
> llegando a extremos como este con asuntos como este, lo llevamos claro 
> en temas de seguridad, especialmente si queremos a los profesionales se 
> nos tome en serio.

> Deberíamos estar discutiendo de WPA en vez de ensalzarnos en una 
> discusión que no conduce a nada como esta. Reflexionemos antes de 
> escribir, por favor, aunque sea sólo un poco.
> 
> Espero no levantar más polémica aún. Un saludo a todos y todas.
> 
> Sergio Pozo
> QUIVIR-LabIS2 Research Group
> http://www.lsi.us.es/~quivir
> 
> _______________________________________________
> Lista - http://mailman.argo.es/listinfo/hacking
> FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
> "una-al-dia" para estar siempre informado - http://www.hispasec.com/

More information about the hacking mailing list