Título: Legalidad en la intrusión? Publicado por: Bline en 23 Enero 2012, 17:15 pm Saludos compañeros, antes que nada he de decir que he usado el botón de buscar, pero la única palabra clave que se me ocurría era legal y con el tema de MU y la sinde no hay modo de sacar nada en claro, si ya hay un tema abierto sobre lo que procedo a comentar háganmelo saber y si algún admin lo lee, que cierre el post.
A lo que iba, ¿qué hay de legal en la intrusión? Imaginemos que encontramos una web con una vulnerabilidad y que empezamos a investigar y llegamos a los datos de los clientes, usuarios o el nombre de tu perro "charlie". Si no llegas a difundir estos datos, ni alterar la base de datos o entorno de trabajo, ¿se consideraría ilegal? Lo digo porque me imagino por ejemplo un banco ( físico, donde llevamos dinero pero nunca lo sacamos xD ) con dos puertas, en una hay un guardia de seguridad y en otra no hay nada. Ambas puertas conducen a una cantidad ingente de dinero, cualquier usuario del banco puede entrar por esa puerta, ver y llenarse los bolsillos de dinero ( ojalá.. ) pero se limitan a entrar, mirar e irse. ¿Podrían detenernos por ello? Es más o menos lo que me ha pasado a mí, es una empresa que no conozco de nada y, sinceramente, me gustaría reportarles el error porque hay conocidos que usan ese servicio. ¿Se lo tomarán a mal? :p Ahí queda la pregunta ( dejando atrás el código ético y blablabla ). Título: Re: Legalidad en la intrusión? Publicado por: el-brujo en 23 Enero 2012, 18:34 pm No es legal, sigue siendo una intrusión aunque no hagas uso de la información obtenida. Lógicamente no sería tan grave, porque no has hecho ningún mal uso de la información, y recuerda que siempre la última palabra la tiene el juez.
Hay muchas opiniones al respecto qué hacer cuando se encuentra una vulerabilidad, repotar, callar, denunciar, avisar, cuánto tiempo esperar a que lo arreglen, full disclosoure o no, etc. Deberia publicar una vulnerabilidad muy seria? http://foro.elhacker.net/foro_libre/deberia_publicar_una_vulnerabilidad_muy_seria-t328814.0.html ¿Security Through Obscurity o Full Disclosure? http://foro.elhacker.net/hacking_avanzado/iquestsecurity_through_obscurity_o_full_disclosure-t36775.0.html FAQ de Advisories http://foro.elhacker.net/bugs_y_exploits/faq_de_advisories-t247917.0.html Como dar el reporte de una vulnerabilidad? http://foro.elhacker.net/nivel_web/como_dar_el_reporte_de_una_vulnerabilidad-t231936.0.html Título: Re: Legalidad en la intrusión? Publicado por: Bline en 24 Enero 2012, 10:11 am Gracias brujo, has sido de gran ayuda. Tras leerme las páginas al final me decidí por consultar a la GDT. Les envié un correo consultando mi caso y estoy a la espera de una respuesta a ver si al final les mando el reporte o no.
Pd: tu avatar no era azul? qué de tiempo que no te veía xD |