jueves, 17 de abril de 2014

Cómo reporto algo sin...¡Ir a la Cárcel!

Ayer me llegó un correo de un chaval que me pedía exactamente eso, cómo reportar una vulnerabilidad, ya que no sabía. El tema de reportar una vulnerabilidad a una persona o empresa es muy delicado, y más con la Ley Orgánica 5/2010 -que me he leído entera-y que permitiría una persona, denunciar a un hacker que se ha preocupado por su seguridad, es más el hacker INOCENTE, podría acabar en la cárcel.

Con todo esto, le conteste a este chaval, con que en mi Blog "encontraría" una respuesta, por eso viene el post de hoy-aunque ya aviso que DEPENDE, el que estés haciendo un delito-aunque no llegue a serlo- de la persona que te juzgue y decida si vas a la cárcel, te llevas una sanción económica o se ve que efectivamente eres inocente después de la pasta que te puedas gastar en abogados.

El Código Penal

"Juan Carlos I
Rey de España

A todos los que la presente vieren y entendiren
Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley orgánica"

Antes de nada, debo decir que no soy un profesional de derecho y pido disculpas de los posibles errores que pueda cometer al decir mi visión sobre esta Ley, es más acepto cualquier tipo de crítica-constructiva- para mi mejor entendimiento de dicha ley y que no cometa algún error y me auto-condene en un posible Juzgado por mis acciones éticas.

Dicho esto y que ya se ha visto el comienzo de esta ley, y que sustituyó a la antigua Ley Orgánica 10/1995, tocan ver partes del código penal en las que ya aunque nosotros nos preocupemos por ejemplo en la seguridad de la web del tipo del Kiosko, nos puedan sancionar con una castigo sin llegar a realizar ningu delito.

"1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años."

Leído esto entonces saltan las dudas como la de "Bueno pero si lo único que hago es encontrar una vulnerabilidad tipo Blind SQL Injection o LDAP Injection y entro pero no hago nada, solo que sé la contraseña del administrador, no estoy haciendo nada delictivo porque yo no estoy dañando, ni borrando, ni deteriorando,ni alternando, ni suprimiendo, ni dejo de hacer inaccesibles daros o programas; yo sólo he visto un agujero en una pared de una casa en mitad de la calle y he entrado para ver primero si había alguien habitando, por si se le cae la casa encima". Esta es una de las justificaciones que incluso a día de hoy en alguna charla doy, por que no es falso, yo no rompo, borro nada, yo sólo estoy VIENDO un usuario y una contraseña de Twitter, por ejemplo. Pero claro está, esto no queda aquí, hay mucho más (una cosa que está claro es que ya los ataques DDOS, son un delito, porque borras y dañas un sistema).

"3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos o parte del mismo..."

Aquí entra la parte en la que yo-como no entiendo muchas palabras-busco en el Diccionario de La Real Academia Española, la palabra vulnerar y me responde que significa lo siguiente:

Siguiendo con el ejemplo que ya conté como el de "rafa1" y sus acusaciones erróneas al Malvado, yo si veo el usuario y contraseña de una persona, porque he creado una "wifi trampa" como poner la contraseña de la red como nombre de esa red, con lo que quedaría así "Wifi de contraseña 11111",entonces yo tengo casi que la obligación de saber quién está en mi red wifi, por si es un asesino y yo tengo caprichos personales como el quererme mantener con vida-si es que no puedo ser tan egoísta...-y si le hago un simple Man In The Middle a la red IPv6, con SLAAC.


El Médico Informático

Esto de los hackers, es comparable a los médicos, ya que los médicos buscan enfermedades en un cuerpo humano y los hackers se van a encargar de buscar vulnerabilidades (enfermedades) en un sistema (un cuerpo), por el cuál si un médico-que se preocupa por tu seguridad- se encarga de buscarte enfermedades para un mejor funcionamiento de tu cuerpo, y a esas personas que les encuentran las enfermedades, cuando salen de consulta, no van de inmediato a denunciar a la policía ¿porqué sí a los hackers?

Conclusiones

Como conclusiones, podemos sacar que reportar cualquier vulnerabilidad a alguien es muy complicado debido a la personas que se enfadan  porque te preocupas por su seguridad y te amenazan con denunciarte como el caso del ya hablado "rafa1". Las causas que se pueden dar cuando se reporta algo a una persona,  son varias y no suelen acabar muy bien del todo como:

-Si se le reporta directamente al admin, se enfadará y te realizará una amenaza de denuncia a la Policía.
-Si se le reporta al desarrollador, la respuesta será más o menos la misma ya que no se llegan a enfadar del error, si no del mensaje, y eso de asumir que se a creado una línea de código con un bug, pues no les suele sentar muy bien.
-Si te da igual las consecuencias, pues puede ser que te hagan una visita o te envíen una cartita la Policía para que des unas explicaciones.
-No reportar nada, pero con la posibilidad que al no decir ese fallo, alguien malo, se aproveche y le puedan hacer un dallo a una persona.

Por eso es mejor, si se reporta algún tipo de bug, es mejor hacerlo en la Inteco o a la Policia y ya ellos van a mantener tu anonimato y se lo reportaran directamente al dueño del bug, ya que a ellos no les van a poder amenazar con una denuncia ni nada por el estilo.

Saludos Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...