elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Es legal...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Es legal...  (Leído 2,679 veces)
NeoB

Desconectado Desconectado

Mensajes: 69


Ver Perfil
Es legal...
« en: 2 Julio 2013, 18:24 pm »

Si un amigo mio encuentra una vulnerabilidad en una web y anda escaso de efectivo, ¿es legal/ilegal pedir dinero por la vulnerabilidad?
En línea

Randomize
Colaborador
***
Desconectado Desconectado

Mensajes: 20.599


Beautiful Day


Ver Perfil
Re: Es legal...
« Respuesta #1 en: 2 Julio 2013, 20:32 pm »

Ilegal.

Los bugs se comunican a las entidades pertinentes (recuerda que te pueden sancionar por ello).
En línea

ivancea96


Desconectado Desconectado

Mensajes: 3.412


ASMático


Ver Perfil WWW
Re: Es legal...
« Respuesta #2 en: 2 Julio 2013, 21:40 pm »

¿Ilegal?

Perdonad que me meta con esta pregunta medianamente "filosófica":
-Si una web tiene un bug, el que encontró ese bug, ¿no podría decir que ese bug "era parte del desarrollo normal" de la web? En caso de que le denunciasen me refiero.
Por ejemplo, una vulnerabilidad de tipo XSS, podría decirse que "creía" que era parte de la web.

Me gustaría que me desmintieseis esta afirmación.
En línea

Randomize
Colaborador
***
Desconectado Desconectado

Mensajes: 20.599


Beautiful Day


Ver Perfil
Re: Es legal...
« Respuesta #3 en: 2 Julio 2013, 21:51 pm »

Citar
Los bugs se comunican a las entidades pertinentes


Es un... "Señores administradores de la web, he encontrado a fecha de hoy (se hace uno una fotico con el periódico del día) un fallo de seguridad con respecto a lo que sea y se los comunico para que en la brevedad posible subsanen dicho fallo"...


Es un... "Señor agente de guardia de la Guardia Civil me gustaría comunicarle que la web http://www.tengounbug.*** tiene un fallo de seguridad en el acceso, o lo que sea, de los usuarios", FIRMADO UN INTERNAUTA ANÓNIMO.


Por que como uséis tan solo una vez (o dos  :rolleyes:) el bug (honeypot) en vuestro beneficio se os va a caer el pelo al ver la denuncia que si os pondrán A VOSOTROS los administradores de dichas webs...

¿A quedado clarito?

En línea

ivancea96


Desconectado Desconectado

Mensajes: 3.412


ASMático


Ver Perfil WWW
Re: Es legal...
« Respuesta #4 en: 2 Julio 2013, 21:55 pm »

No desmiente mi frase anterior.
En línea

Randomize
Colaborador
***
Desconectado Desconectado

Mensajes: 20.599


Beautiful Day


Ver Perfil
Re: Es legal...
« Respuesta #5 en: 2 Julio 2013, 22:05 pm »

Citar
-Si una web tiene un bug, el que encontró ese bug, ¿no podría decir que ese bug "era parte del desarrollo normal" de la web? En caso de que le denunciasen me refiero.


Tu frase célebre  :¬¬


Una web tiene un bug, hasta aquí vamos bien, pero ese bug es encontrado, y aquí es cuando empieza el problema... El bug hay que reportarlo por mucho que se diga que es o no es del código de la web, y reportarlo a los administradores o autoridad pertienente antes de que te digan que tú has usado el bug, haya habido, o no, pérdida de datos...

Te recuerdo el caso de un universitario que encontró un bug en la plataforma de la gestión académica de su universidad y por reportarlo lo expulsaron (ehhhh, man, que formaba parte de la web y todo), lo más inteligente hubiera sido el reporte anónimo para no pillarse los dedos; la noticia sólo hay que buscarla por la web...


 
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Es legal...
« Respuesta #6 en: 2 Julio 2013, 22:24 pm »

No es ilegal en ninguna parte del mundo, de hecho no hay ley contra ello.

Busca mas información sobre políticas de full disclosure, Google tiene su propia política, Apple tiene otra, Microsoft tiene otra y así.

Si la empresa donde encontraste la vulnerabilidad no tiene ninguna política sobre full disclosure expuesta en su mismo sitio WEB entonces podrás hacer lo que estimes conveniente con lo encontrado y será absolutamente legal.

El tema del full disclosure es un tema larguiiiiiiiisimo y ampliamente discutido por muchas grandes compañías, actualmente este tema está a nivel "filosófico" tal como dijo implícitamente ivancea96 ya que puedes publicar a quien sea lo descubierto o puedes decirselo por correo de forma interna y ambas maneras son 100% legales.

Si lo que quieres es simpatizar con el dueño de la empresa y obtener un trabajo entonces hablale por interno a traves del correo del gerente de la empresa, no del webmaster o del contacto técnico ya que el administrador del sitio no va a querer perder su trabajo, haces todo un informe bien detallado sobre como sacar provecho de dicha vulnerabilidad y es muy muy muy importante que mensiones que nada de sus sistemas fue comprometido durante el análisis ni penetraste en sus datos confidenciales pero que alguien mas si podría hacerlo.

Con esto no podrá realizar ninguna acción legal contra ti y quedará en un dilema moral sobre si dejar su agujero de seguridad abierto o llamarte para que lo arregles.

Cuando tu entras a un sitio WEB estas viendo un sistema a nivel de "vista" o sea solamente el código que se interpretará en tu navegador, en este caso el html, javascript etc y es de código abierto, por tanto nadie te puede prohibir algo que es público, por algo la página está en un servicio público WEB.

Lo que no puedes hacer y si está penado por la ley en algunos paises es entrar y destruir, modificar cosas, obtener datos ocultos que pueden ser la base de datos, datos personales de personas, etc... todo aquello que pueda traer un problema de privacidad de datos.

Todo lo demás que sale por el servidor es público, por lo tanto no es privado.

Por ejemplo:
Encontrar un XSS es legal.
Encontrar una backup de datos personales con tarjetas de crédito y descargarlos y venderlos o publicarlos es ilegal, si lo descargas no es ilegal porque estaba público, si lo descargas a traves de un LFI por ejemplo es ilegal porque te aprobechaste de un agujero de seguridad para obtener un dato privado del servidor, no era público.
En línea

ivancea96


Desconectado Desconectado

Mensajes: 3.412


ASMático


Ver Perfil WWW
Re: Es legal...
« Respuesta #7 en: 2 Julio 2013, 22:32 pm »

Gracias WHK y Randomize. Quedó bastante claro desde los dos puntos de vista xd
Siento haber "desvirtuado" el post original, NeoB.
En línea

@synthesize
Wiki

Desconectado Desconectado

Mensajes: 640


Another Brick in the Wall


Ver Perfil WWW
Re: Es legal...
« Respuesta #8 en: 3 Julio 2013, 00:13 am »

Tiro de hemeroteca:

"- Eso es Ilegal - (Marge Simpson) - Eso que lo decida el Juez - (Homer Simpson)"

 :P
En línea

NeoB

Desconectado Desconectado

Mensajes: 69


Ver Perfil
Re: Es legal...
« Respuesta #9 en: 3 Julio 2013, 13:36 pm »

Muchas gracias a todos.
Gracias WHK y Randomize. Quedó bastante claro desde los dos puntos de vista xd
Siento haber "desvirtuado" el post original, NeoB.
No hay nada que perdonar hombre!

De nuevo, gracias a todos por las respuestas.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Revientan y ridiculizan la campaña "Si eres legal, eres legal"
Noticias
YaTaMaS 8 4,527 Último mensaje 3 Mayo 2011, 17:58 pm
por charlichin
Es legal?
Dudas Generales
Hack-11 7 4,634 Último mensaje 11 Mayo 2011, 17:02 pm
por skapunky
Es legal?
Dudas Generales
NorteaComputer 5 3,886 Último mensaje 3 Agosto 2011, 13:59 pm
por ANTRUCK
es legal ?
Hacking Wireless
GADUARD2 9 4,745 Último mensaje 3 Enero 2012, 18:38 pm
por Seaworth
¿Es legal?
Dudas Generales
TickTack 7 4,103 Último mensaje 11 Mayo 2021, 19:09 pm
por Machacador
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines