[HACK] Descubiertos varios fallos de seguridad en Iberia.com

Carlos Veira Lorenzo cveira at e-motions.org
Thu Jun 17 11:32:24 CEST 2004 

Hola a todos,

Aquí va mi granito de arena :)

En mi opinión se trata de una cuestión de equilibrio de derechos.
Particularmente soy partidario del Full Disclosure respecto a cualquier tipo
de vulnerabilidades, pero no creo que eso sea incompatible con el respeto
mutuo de los derechos de los usuarios y las empresas que padecen las
vulnerabilidades.

Sinceramente, no tengo claro que una legislar fuera la solución para una
cuestión de procedimiento. La experiencia demuestra que cada situación está
hecha de muchos detalles particulares: desde los que la empresa es
claramente negligente, hasta los casos en los que no tiene medios para una
solución rápida de corto plazo, hasta los casos en los que los usuarios
abusan manifiestamente de la empresa aprovechándose de sus vulnerabilidades.
En USA hay muchos casos publicados en la prensa especializada, para quien
tenga interés: tanto de casos aislados, como de todas las combinaciones
posibles que alguien pueda imaginarse.

Con todo, creo que no debemos perder la perspectiva:

  a. el software lo crean personas y las personas humanas comenten errores
     y nadie es culpable por ser humano.

  b. las empresas gestionan recursos escasos y esa es, además, la naturaleza
     de la Economía como Ciencia. Por tanto, nadie es culpable por no tener
     recursos inmediatos para resolver un problema y nadie externo a la
     compañía es quién para decir, sin conocimiento, cómo puede/debe
repriorizar
     sus recursos. A lo más que puede llegar cualquier organización es a una
     adecuada gestión del riesgo y las incidencias.

Partiendo de esta base, creo que lo que se puede pedir es:

  - respeto del descubridor a la empresa: que se ponga en su lugar.
  - el descubridor no debe perseguir hacer daño a la empresa y a los
usuarios
    sino ayudar a solucionar el problema.
  - diligencia y agradecimiento por parte de la empresa: al fin y al cabo,
    le están haciendo un favor y no está pagando por ello.
  - no solucionar el problema no es una opción: solucionarlo es un derecho
de
    los usuarios.
  - si el descubridor no va recibir ningún tipo de agradecimiento, lo menos
    que se le puede ofrecer es remunerar su reputación. Publicar la noticia
    y el parche simultáneamente son un método justo y razonable, aunque tan
    imperfecto como el propio software.
  - compromiso de mantener la debida confidencialidad para minimizar el daño
    (no olvidemos que el daño ya está hecho: la vulnerabilidad siempre
existió).
  - no es una opción 'matar al mensajero': el descubridor está prestando un
    servicio desinteresado. 
    
Sin duda alguna, es cualitativamente distinto el caso de las
vulnerabilidades del software, como paquete a instalar, a las de los
servicios que se explotan públicamente como servicios en la red. En este
caso existe una actividad económica en curso y el daño potencial a usuarios
y a la empresa pueden ser irreparables.

Si algo sabemos es que las Leyes siempre van por detrás de la realidad, y
mucho más en cuestiones tecnológicas. Una ley defectuosa sobre estos asuntos
podría tener efectos colaterales en cuanto a la vulneración de los derechos
de alguna de las partes (descubridor/empresa/usuarios) en casos particulares
así como efectos en la economía de las empresas y el mercado en general
(elevación de costes de producción, primas de riesgo, subidas de precios,
etc.).

Para mi, la gran pregunta es 'qué plazos son razonables' para solucionar el
problema y cómo se 'demuestra' que la empresa está siendo negligente en la
gestión de la incidencia y en la gestión de su riesgo (no asigna recursos ni
prioriza adecuadamente) vulnerando los derechos legítimos de los usuarios.

Los que defienden que nadie tiene derecho a investigar o 'meter las narices'
en el software de terceros alegando que violan sus derechos de Propiedad
Intelectual/Industrial, tienen su punto de razón desde el punto de vista
estricto de la Ley. Sin embargo, no es menos cierto que eso conduciría a la
'seguridad a través de la oscuridad' y, por otra parte, el Full Disclosure
de vulnerabilidades y su proceso de investigación no busca como objetivo
competir en el mercado con el objeto investigado, ni desvelar secretos
industriales a la competencia. Sencillamente cubre un hueco que el
fabricante no va a cubrir nunca por sí mismo y su valor para la comunidad es
incalculable.

Curiosamente, muchos fabricantes se adhieren a esos derechos de protección y
manifiestan que desensamblar, depurar y realizar cualquier tipo de
ingeniería inversa es ilegal. Sin embargo, ignoran todo eso cuando un
tercero ha descubierto una vulnerabilidad mediante esos medios y colabora
con ellos en la gestión de la incidencia. Este es, en mi opinión, otro
ejemplo más de cómo la Ley siempre va por detrás, desprotegiendo, en este
caso, al descubridor al que no le pasa nada porque el fabricante decide no
actuar legalmente contra él y, por el contrario, le da las gracias. En este
caso, los americanos son mucho más valientes que nosotros porque tienen un
marco regulatorio mucho más hostil para el descubridor y, sin embargo,
continúan luchando.

Un saludo,
Carlos.

____________________________________________
Carlos Veira Lorenzo
DeepZone Digital Security - www.deepzone.org
cveira at deepzone.org


-----Original Message-----
From: hacking-bounces at argo.es [mailto:hacking-bounces at argo.es] On Behalf Of
Sergio Pozo Hidalgo
Sent: miércoles, 16 de junio de 2004 16:39
To: http://www.argo.es/~jcea/artic/hack-faq.htm
Subject: Re: [HACK] Descubiertos varios fallos de seguridad en Iberia.com

Hellwalker wrote:
> 
> A mi no me parece tan esteril esta discusión Sergio, sobre todo si se 
> mantiene el buen tono y, salvo la copia del mensaje de Infohacking 
> (que tampoco debemos de considerar demasiado porque ha sido una 
> respuesta particular que no iba dirigida a este foro) nadie se ha 
> salido 'por peteneras'.
> Considero, además, que el aspecto legal de la seguridad informática es 
> tan importante (y estimulante) como el técnico.

Realmente, desde mi humilde punto de vista, sí que me parece estéril la
discusión. Pero no porque el aspecto legal no sea interesante, que
evidentemente lo es, sino más bien porque el 75% de los mensajes (de nuevo,
a mi criterio) no aportan demasiado. No entremos ya en si aportan o no al
tema legal, porque por las respuestas que se han dado, no parece que haya
ningún abogado y/o especialista en temas legales relacionados con este
asunto. Te invito a repasar la lista de mensajes enviados, si tienes algo de
tiempo libre.

> Yo estoy de acuerdo con el mensaje anterior de Bernardo: el usuario 
> tiene todo el derecho del mundo a conocer estas cosas y creo que 
> moralmente el descubridor tiene la responsabilidad de denunciarlo.
> Peor sería que sintiera la debilidad de explotarlo ¿no te parece?

Por supuesto, el usuario tiene derecho a saberlo. Totalmente de acuerdo. 
Pero ¿de qué forma tiene derecho a saberlo el usuario? ¿A la vez que se
enteran millones de usuarios más que no sabemos si lo van a explotar de
inmediato? ¿Cómo sabemos que el denunciante no lo ha aprovechado para
explotarlo? ¿Cómo sabemos que ha liberado el fallo justo al descubrirlo? 
No pequemos tampoco nosotros de ingenuos ¿no?

A esto me refería con lo que decía de que el tema había derivado. Este tema,
desde mi punto de vista, debe tratar no de si se debe saber o no, sino de
qué forma debe decirse, a quién y en qué momento. Y llegado el caso, si es
moralmente (ya que hablas de moral) correcto hacer pública dicha
información, que NO beneficia a nadie y que sí perjudica a muchos.
Cuando digo que no beneficia a nadie, quiero decir que la inmensa mayoría de
los usuarios NO sabrán nada de esto probablemente nunca, entre otras cosas
porque no conocen el alcance que tiene un fallo de seguridad de este tipo.
Piensa por un momento en el tipo de usuario que compra en iberia, e intenta
clasificarlos, a ver qué porcentaje estimas que sale que puede llegar a leer
esta noticia Y darle importancia.
No debemos olvidarnos nunca de QUIÉN es el usuario.

> Ahora bien, si nos centramos en como se ha desarrollado este caso 
> concreto y sólo con los datos que se han expuesto en este foro creo 
> que el descubridor del fallo ha obrado de forma un tanto precipitada.
> Y no me meto en si lo ha hecho buscando reconocimiento, irritado por 
> la falta de respuesta o simplemente por que ha creído que era lo 
> correcto. Lo cierto y verdad es que yo creo que hubiera sido más 
> correcto insistir en la denuncia a título privado o publicar algo 
> menos explícito para ver si así los responsables de Iberia se decidían a
tomar cartas en el asunto.

Ahora mismo no voy a meterme en si es más o menos correcto lo que esta
persona hizo, porque no soy quién para juzgarlo, sobretodo porque no conozco
ni a la persona ni a las circunstancias. Si lo conociera, probablemente
tampoco lo juzgara. No más polémica, gracias.

> No sabía nada del protocolo propuesto por Vicente (y que se ha 
> mencionado en un correo anterior) y no puedo opinar acerca de si cubre 
> o no estos casos, pero la verdad es que no sería mala idea disponer de 
> unas aputas de cara a actuar ante este tipo de casos

Pautas no, lo que hacen falta son leyes y estándares. En este caso, más
leyes que estándares.

Bueno, espero haber contribuido de alguna forma u otra a presentar de una
forma más clara mi postura.
Un saludo a todos y todas.

Sergio Pozo
QUIVIR-LabIS2 Research Group
http://www.lsi.us.es/~quivir

_______________________________________________
Lista - http://mailman.argo.es/listinfo/hacking
FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
"una-al-dia" para estar siempre informado - http://www.hispasec.com/

More information about the hacking mailing list