Foro de elhacker.net

Hola; el caso es que, bueno, hace relativamente poco (y, por puro aburrimiento, la verdad) vi una cosa interesante por internet, en la cual algunas empresas tipo Google ofrecian una cantidad de varios miles de dolares (minimo) a la gente por encontrar fallos nuevos dentro de sus diversas aplicaciones.
Entonces, la idea que me gustaria proponer seria, bueno, comentar un poco la posibilidad de crear una sección o un tema con chincheta sobre eventos legales tipo torneos para hackers en los cuales la gente ha de acceder en X tiempo a ciertos sistemas, o, por su defecto, cosas de estas relacionadas en las que ofrecen dinero por encontrar fallos en aplicaciones.
No se, y, francamente, yo no dispongo de la experiencia necesaria y/o demas conocimientos para acceder a este tipo de cosas, pero, por otra parte, quizas haya mas gente por el foro que pueda estar interesa en este tipo de cosas, no se, vamos, creo yo.
Ademas, esto que comento creo recordar que no es nada ilegal (u algo asi), y mas teniendo en cuenta que empresas tipo Google ofrecen cantidades bastante altas de dinero (varias decenas de miles de dolares minimo) a cambio de encontrar fallos en sus aplicaciones.
No se, ¿os parece bien esta idea que comento en este tema, o bien seria "inapropiada" por motivos variados?.
Muchas gracias por vuestra atencion.
Saludos.

Buscar fallos de seguridad y reportarlos a una empresa no es buena idea. Primero de todo porque aunque no se haga de mala fé, en la intrusion o manipulación de datos puedes eliminar información importante con sus consecuencias.

Segundo, puedes sin querer perjudicar a la seguridad de la empresa rebajando su proteccion, por lo que otros atacantes con muy malas intentciones puedes casualmente aprovecharse.

Tercero, en ésta vida exíste lo que se llama libertad, y la libertad de uno acaba donde empieza la de otro. Por regla en internet se debería pensar lo mismo, la libertad de una red y lo que ocurre en ella acaba donde empieza otra red. Así que nada de jugar a los mercenarios como hace mucha gente.

No es raro ver gente que cuenta que ha recibido una denuncia o no han recibido una compensación económica por encontrar algún fallo sin permíso de la empresa afectada,  pues normal.

Pues eso mismo es lo que (según creo) dice crazykenny... Que cuándo las empresas decidan hacer eventos de este tipo, se avise por el hilo correspondiente. Un hilo en el que esté prohibido comentar si no es para avisar de algún evento así.
Yo lo veo bien aunque a priori no vaya a poder hacer nada.

Saludos ;)

Bueno, pues, muchas gracias por vuestras respuestas, y, con respecto a lo que has comentado, skapunky;
Entiendo perfectamente lo que quieres decir, y, bueno, este tema no lo he abierto con la intentencion de perjudicar y/o realizar ciertas acciones que puedan perjudicar a otros
Por otra parte, este tema lo comento por ciertos eventos que creo haber visto a traves de Google en el cual, y, si mi memoria no me falla, creo que te llegaban a pagar 100.000 dolares por encontrar fallos, pero, por lo que entendi (o haber entendido), creo que se habian de encontrar en "entornos controlados"; vamos, en una especie  de eventos (u algo asi).
Por otra parte, y, ya que estamos, creo que tambien seria interesante el mero hecho de, bueno, poder facilitar informacion sobre conferencias hacker y eventos relacionados, pero, obviamente, tambien lo comento en temas hacker que no tengan como objetivo perjudicar a nadie en ningun sentido y en cosas como las explicadas en este mensaje.
A ver, entiendo que a mas de uno le puedan (o no) interesar estas cosas independientemente de su nivel, pero que vamos, tambien creo que esto que comento es una posibilidad para estar informado en cuanto a tematica variada sobre hacking (y mas sobre "hacking etico" por el hecho de que mas de uno tiene una idea equivocada de lo que es un hacker), y demas cosas, aunque ya lo digo; esto es solo una idea.
Muchas gracias por vuestra atencion.
Saludos.

Perdon pero tranquilamente podes reportar el fallo a la empresa misma , sin hacerlo publico,con los detalles para poder arreglarlo. Luego que lo arreglen , se hace publico el fallo que habia.

Con respecto a "se puede eliminar informacion" , no creo que alguien que busque fallos en alguna empresa sea tan tonto para no saber lo que esta realizando. Ademas , se podria contactar a la empresa y pedir permiso.Ellos podrian hacer un backup por las dudas y dar el ok cuando se puede intentar acceder. Se beneficiarian bastante ya que tendrian a mucha gente trabajando en la seguridad de su aplicacion(Como hace facebook) pagando casi nada comparado a lo que deberian pagar si contratan a esa gente. Ademas solo pagan si se encuentra algo.

Para cerrar el tema, no se necesita una sección de esto.Simplemente busca en la red que hay varias empresas que te permiten realizar esto y pagan(ej Facebook , Google). Hace poco a un brasilero le pagaron 33k usd porq encontro una falla en facebook (RCE) , que a mi criterio , no es nada lo que le dieron , comparado a lo que le hubiesen dado en el mercado negro.

La mayoría de empresas te dará largas "riendose" de ti... Pero como hagas algo y les molestes no dudaran en denunciar. Hay mucho inútil suelto...

Salud ;)

@__libc_start_main

Una empresa no va a hacer backups solo porque alguien quiera probar la seguridad de su red. Por otro lado si que hay riesgo de perdida de datos o problemas que pueden derivarse de las pruebas.

Cuando una empresa realiza una auditoria se hace un pliego de condiciones, y uno de los puntos es la información ya que ésta no debe ser dañada. Para ello se harán backups o se evitará realizar ciertas pruebas.

Lo de pagar por la seguridad, lo puede hacer google o facebook, pero una empresa dedicada en otro sector no tiene ningún interés en ello. Cada empresa piensa y es diferente.

Yo es que los torneos hackers...

Ya veo, y curiosa tu respuesta, Randomize.
Y, la verdad, acostumbran a hacerme gracia tus respuestas, y, aunque a veces pueden ser algo molestas para algunos y/o para quien escribe el tema (cosa no digo con mala intencion), pues, francamente, me gusta tu sentido del humor.
Muchas gracias por vuestra atencion.
Saludos.

Rando es un clásico del foro, ya cuando había entrado yo hará 7 años o por ahí, él llevaba tiempo.

Siempre fue muy diver, y aplica bastante bien la definición de su nick :3

Es cierto, el próximo 10 de octubre hará unos diez años aquí dentro (aunque la verdad es que son unos meses más, borré mi cuenta y la volví a crear esa fecha).

He tenido mis vaibenes...

He visto pasar a mucha gente y pese a que ahora no soy staff, por digamos cabezonerías mías, hay gente aquí dentro que quita sombreros blancos, negros y grises.


Crazykenny, relájate, no vayas pidiendo perdón como lo haces, tómate un par de birras y postea un poco...  ;D ;D ;D

Yo si pudiera tomar alcohol ahora lo haría, tengo un virus intestinal y ando de baja de ahí mi presencia en horas que no son mías...




Edit:

Hace nueve casi me mata una peritonitis cangrenosa de la que aún tengo restos y es que me faltan unos 9 centímetros cuadrados de las biopsias del estómago donde tuvo que ser albergarda dicha "m i e r d a" para poder sobrevivir. Del uno al diez me quedé en un 9.5 de irme al otro barrio.

Al salir del hospital tenía que utilizar un palo para encender mi primer PC.