[HACK] Descubiertos varios fallos de seguridad en Iberia.com

Leonardo Nve leonardo2 at ono.com
Tue Jun 29 02:49:43 CEST 2004 

No me puedo aguantar. Para no enrollarme me limito a contestar el mail
de Carlo Veira, con esto es suficiente para saber mi opinión y las
razones de la misma.



>   - respeto del descubridor a la empresa: que se ponga en su lugar.

Esto es como has puesto, lo primero

>   - el descubridor no debe perseguir hacer daño a la empresa y a los
> usuarios  sino ayudar a solucionar el problema.

Esto puede ser dificil en muchos casos ya que las aplicaciones en
grandes empresas son terriblemente complicadasy sin conocerlas no puedes
dar una solución aceptable. Se pueden llegar a "conocer" si se les hace
una auditoria formal, pero en este caso implicaría que el descubridor ya
va (a mala leche) a por la empresa.


>   - diligencia y agradecimiento por parte de la empresa: al fin y al cabo,
>     le están haciendo un favor y no está pagando por ello.

No creo que hacer público que Iberia tiene un fallo sea un favor para la
misma, ya no es solo la imagen de la empresa, sino que seguro hay
desaprensivos que empiezan a explotarlo nada más se haga público.

>   - no solucionar el problema no es una opción: solucionarlo es un derecho
> de  los usuarios.

Me parece evidente.

>   - si el descubridor no va recibir ningún tipo de agradecimiento, lo menos
>     que se le puede ofrecer es remunerar su reputación. Publicar la noticia
>     y el parche simultáneamente son un método justo y razonable, aunque tan
>     imperfecto como el propio software.

Me remito a los puntos 2 y 3.

>   - compromiso de mantener la debida confidencialidad para minimizar el daño
>     (no olvidemos que el daño ya está hecho: la vulnerabilidad siempre  existió).

La publicación de la vulnerabilidad ha dañado la imagen de la empresa,
permite que otros dañen sus sistemas y los clientes de Iberia se pueden
ver dañados por los posibles intrusos, ya que sus datos pueden ser
robados y a saber que se puede hacer con sus reservas,

El daño no es la vulnerabilidad, el daño se produce CUANDO se explota
esa vulnerabilidad.

>   - no es una opción 'matar al mensajero': el descubridor está prestando un
>     servicio desinteresado. 

Depende del "mensaje" que se de, en un campo más general, la ley
estipula que "mensajes" se pueden dar y cuales no.

-- 
Leonardo Nve <leonardo2 at ono.com>

More information about the hacking mailing list