[HACK] Descubiertos varios fallos de seguridad en Iberia.com

Sergio Pozo Hidalgo sergio.pozo at infonegocio.com
Wed Jun 16 16:38:59 CEST 2004


Hellwalker wrote:
> 
> A mi no me parece tan esteril esta discusión Sergio, sobre todo si se
> mantiene el buen tono y, salvo la copia del mensaje de Infohacking (que
> tampoco debemos de considerar demasiado porque ha sido una respuesta
> particular que no iba dirigida a este foro) nadie se ha salido 'por 
> peteneras'.
> Considero, además, que el aspecto legal de la seguridad
> informática es tan importante (y estimulante) como el técnico.

Realmente, desde mi humilde punto de vista, sí que me parece estéril la 
discusión. Pero no porque el aspecto legal no sea interesante, que 
evidentemente lo es, sino más bien porque el 75% de los mensajes (de 
nuevo, a mi criterio) no aportan demasiado. No entremos ya en si aportan 
o no al tema legal, porque por las respuestas que se han dado, no parece 
que haya ningún abogado y/o especialista en temas legales relacionados 
con este asunto. Te invito a repasar la lista de mensajes enviados, si 
tienes algo de tiempo libre.

> Yo estoy de acuerdo con el mensaje anterior de Bernardo: el usuario
> tiene todo el derecho del mundo a conocer estas cosas y creo que
> moralmente el descubridor tiene la responsabilidad de denunciarlo. Peor
> sería que sintiera la debilidad de explotarlo ¿no te parece?

Por supuesto, el usuario tiene derecho a saberlo. Totalmente de acuerdo. 
Pero ¿de qué forma tiene derecho a saberlo el usuario? ¿A la vez que se 
enteran millones de usuarios más que no sabemos si lo van a explotar de 
inmediato? ¿Cómo sabemos que el denunciante no lo ha aprovechado para 
explotarlo? ¿Cómo sabemos que ha liberado el fallo justo al descubrirlo? 
No pequemos tampoco nosotros de ingenuos ¿no?

A esto me refería con lo que decía de que el tema había derivado. Este 
tema, desde mi punto de vista, debe tratar no de si se debe saber o no, 
sino de qué forma debe decirse, a quién y en qué momento. Y llegado el 
caso, si es moralmente (ya que hablas de moral) correcto hacer pública 
dicha información, que NO beneficia a nadie y que sí perjudica a muchos.
Cuando digo que no beneficia a nadie, quiero decir que la inmensa 
mayoría de los usuarios NO sabrán nada de esto probablemente nunca, 
entre otras cosas porque no conocen el alcance que tiene un fallo de 
seguridad de este tipo. Piensa por un momento en el tipo de usuario que 
compra en iberia, e intenta clasificarlos, a ver qué porcentaje estimas 
que sale que puede llegar a leer esta noticia Y darle importancia.
No debemos olvidarnos nunca de QUIÉN es el usuario.

> Ahora bien, si nos centramos en como se ha desarrollado este caso
> concreto y sólo con los datos que se han expuesto en este foro creo que
> el descubridor del fallo ha obrado de forma un tanto precipitada.  Y no
> me meto en si lo ha hecho buscando reconocimiento, irritado por la falta
> de respuesta o simplemente por que ha creído que era lo correcto. Lo
> cierto y verdad es que yo creo que hubiera sido más correcto insistir en
> la denuncia a título privado o publicar algo menos explícito para ver si
> así los responsables de Iberia se decidían a tomar cartas en el asunto.

Ahora mismo no voy a meterme en si es más o menos correcto lo que esta 
persona hizo, porque no soy quién para juzgarlo, sobretodo porque no 
conozco ni a la persona ni a las circunstancias. Si lo conociera, 
probablemente tampoco lo juzgara. No más polémica, gracias.

> No sabía nada del protocolo propuesto por Vicente (y que se ha mencionado
> en un correo anterior) y no puedo opinar acerca de si cubre o no estos 
> casos,
> pero la verdad es que no sería mala idea disponer de unas aputas de cara a
> actuar ante este tipo de casos

Pautas no, lo que hacen falta son leyes y estándares. En este caso, más 
leyes que estándares.

Bueno, espero haber contribuido de alguna forma u otra a presentar de 
una forma más clara mi postura.
Un saludo a todos y todas.

Sergio Pozo
QUIVIR-LabIS2 Research Group
http://www.lsi.us.es/~quivir




More information about the hacking mailing list