Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: Bline en 23 Enero 2012, 17:15 pm



Título: Legalidad en la intrusión?
Publicado por: Bline en 23 Enero 2012, 17:15 pm
Saludos compañeros, antes que nada he de decir que he usado el botón de buscar, pero la única palabra clave que se me ocurría era legal y con el tema de MU y la sinde no hay modo de sacar nada en claro, si ya hay un tema abierto sobre lo que procedo a comentar háganmelo saber y si algún admin lo lee, que cierre el post.

A lo que iba, ¿qué hay de legal en la intrusión? Imaginemos que encontramos una web con una vulnerabilidad y que empezamos a investigar y llegamos a los datos de los clientes, usuarios o el nombre de tu perro "charlie". Si no llegas a difundir estos datos, ni alterar la base de datos o entorno de trabajo, ¿se consideraría ilegal?

Lo digo porque me imagino por ejemplo un banco ( físico, donde llevamos dinero pero nunca lo sacamos xD ) con dos puertas, en una hay un guardia de seguridad y en otra no hay nada. Ambas puertas conducen a una cantidad ingente de dinero, cualquier usuario del banco puede entrar por esa puerta, ver y llenarse los bolsillos de dinero ( ojalá.. ) pero se limitan a entrar, mirar e irse. ¿Podrían detenernos por ello?

Es más o menos lo que me ha pasado a mí, es una empresa que no conozco de nada y, sinceramente, me gustaría reportarles el error porque hay conocidos que usan ese servicio. ¿Se lo tomarán a mal? :p

Ahí queda la pregunta ( dejando atrás el código ético y blablabla ).


Título: Re: Legalidad en la intrusión?
Publicado por: el-brujo en 23 Enero 2012, 18:34 pm
No es legal, sigue siendo una intrusión aunque no hagas uso de la información obtenida. Lógicamente no sería tan grave, porque no has hecho ningún mal uso de la información, y recuerda que siempre la última palabra la tiene el juez.

Hay muchas opiniones al respecto qué hacer cuando se encuentra una vulerabilidad, repotar, callar, denunciar, avisar, cuánto tiempo esperar a que lo arreglen, full disclosoure o no, etc.

Deberia publicar una vulnerabilidad muy seria?
http://foro.elhacker.net/foro_libre/deberia_publicar_una_vulnerabilidad_muy_seria-t328814.0.html

¿Security Through Obscurity o Full Disclosure?
http://foro.elhacker.net/hacking_avanzado/iquestsecurity_through_obscurity_o_full_disclosure-t36775.0.html

FAQ de Advisories
http://foro.elhacker.net/bugs_y_exploits/faq_de_advisories-t247917.0.html

Como dar el reporte de una vulnerabilidad?
http://foro.elhacker.net/nivel_web/como_dar_el_reporte_de_una_vulnerabilidad-t231936.0.html


Título: Re: Legalidad en la intrusión?
Publicado por: Bline en 24 Enero 2012, 10:11 am
Gracias brujo, has sido de gran ayuda. Tras leerme las páginas al final me decidí por consultar a la GDT. Les envié un correo consultando mi caso y estoy a la espera de una respuesta a ver si al final les mando el reporte o no.

Pd: tu avatar no era azul? qué de tiempo que no te veía xD