Foro de elhacker.net

Seguridad Informática => Bugs y Exploits => Mensaje iniciado por: siwosx en 31 Mayo 2021, 14:34 pm



Título: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: siwosx en 31 Mayo 2021, 14:34 pm
Hola.

Soy consultor de desarrollo de software. Hace poco, por un tema personal, estaba apuntado a una academia que para enviarnos la documentación, usan un sistema que cada vez que quieres abrir un PDF se comprueba que tienes permiso (que has pagado la cuota mensual de la academia). Los PDF están cifrados y solo se pueden abrir con un visor gratuito que te proporcionan. Si se intentan ver con un visor PDF normal te sale una imagen que te dice que está protegido.

Ahora viene la cuestión.
He conseguido saltarme la protección de los PDF para evitar tener que usar su visor y poder seguir viéndolos/imprimiéndolos sin pagar la cuota de la academia. Este software de protección no pertenece a la academia, es de una empresa española que entre otras cosas ofrece este servicio de protección de documentos.

Yo no quiero hacer nada ilegal, ni voy a publicar cómo lo he conseguido. He visto en varios foros que hay gente que quiere saltarse la protección.

Me gustaría saber como de legal es que yo pida una retribución económica a la empresa. No quiero que se piense que es un soborno o una amenaza. La idea es hacerles ver que yo, como aficionado a la seguridad informática, si he podido crear un software para saltarme su protección, cualquier profesional de la seguridad podrá hacerlo y puede que con peores intenciones que las mías.

En la retribución que quiero pedirles yo podría firmar un acuerdo para no publicar mi herramienta que invalida su protección. También les daría la herramienta y les aportaría posibles soluciones al fallo de seguridad

¿Lo que digo es legal y moral? ¿Cómo lo veis?

Gracias a todos y un saludo.


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: el-brujo en 31 Mayo 2021, 18:14 pm
Citar
Me gustaría saber como de legal es que yo pida una retribución económica a la empresa.

El dinero lo cambia todo.... Además muy difícil acordar un precio "justo" de algo de una auditoria que ellos no han pedido. Suena más a soborno o amenaza jeje

Si quieres sacar algún beneficio económico de reportar la vulnerabilidad lo complica bastante, si implemente quieres que te hagan algo de caso pues mandar un e-mail sería lo más sensato y esperar como reaccionan (cuál es su respuesta). Si no responden puedes insistir, si te ignoran del todo o te responden encima de malas maneras (suele suceder) puedes incluso publicar la herramienta y explicar lo sucedido, pero entonces no te enfades si te demandan xD

Realmente proteger un documento no es tan fácil, siempre hay alguna manera de copiar el texto, sea simplemente haciendo una foto y usando reconocimiento OCR, por ejemplo.

Hace ya bastantes años que es fácil desproteger un PDF que no tiene permisos para imprimir y/o copiar, mandándolo a una impresora virtual del navegador, por ejemplo:

Desproteger y desbloquear un archivo PDF
https://blog.elhacker.net/2015/02/desproteger-y-desbloquear-archivos-pdf-sin-programas.html


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: Danielㅤ en 31 Mayo 2021, 23:45 pm
Hola, podrías enviar un email comentandoles tu descubrimiento, que has creado una herramienta para saltar sus protecciones, es recomendable que también le envíes un video de demostración para que comprueben que lo que les decís es cierto. En el email le podes decir que querés una ayuda económica a cambio de que les digas como lo has logrado, en cuanto a enviarles la herramienta no creo que les importe mucho, lo que a ellos les importa es saber donde tienen el o los bugs para poder corregirlos.

Ahora ellos en todo caso lo tomarán como una gratificación más que una ayuda o retribución económica.
Ahora hay que ver que dicen ellos, puede que no les importe mucho o directamente no les importe para nada, pero ten cuidado en decirles como lo hiciste no vaya ser que después no te envíen el dinero.

Ahora... en el caso que a esa gente no les importe o no quieran darte dinero, lo que harían algunas personas en esa situación sería vender la herramienta en algún sitio web o en la deep web para que por supuesto algún interesado la compre, pero obviamente esto además de no ser ético, también es ilegal.


Saludos


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: siwosx en 1 Junio 2021, 09:59 am
Gracias por vuestras respuestas.

Lo que creo que voy a hacer es contactar con ellos para ver si tienen interés en el problema. Y a partir de ahí ver los siguientes pasos.

Puedo grabar un vídeo, pero en realidad creo les "impresionará" más ver que me dan un PDF protegido y yo les devolvería en muy poco tiempo una versión del PDF que se puede imprimir sin problemas y que tiene el texto buscable, es decir, que no son capturas de pantalla.

Si luego quieren que hablemos de algún tipo de compensación por mí no habría problema en facturarles, que puedo hacerlo legalmente.

Lo que tengo claro es que no voy a hacer nada ilegal o inmoral. Si no les interesa en agujero de seguridad, la cosa se quedará ahí. No creo que yo sea el único ni el primero en en

Saludos


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: Machacador en 1 Junio 2021, 15:57 pm

Lo que tengo claro es que no voy a hacer nada ilegal o inmoral. Si no les interesa en agujero de seguridad, la cosa se quedará ahí. No creo que yo sea el único ni el primero en en


La cuestión es que ellos no te contrataron a ti para buscarle agujeros a su asunto... tu actuaste por cuenta propia violando algo ajeno y allí está el inconveniente... y como esto no fue una casualidad de alguien sin arte ni parte, sino que tu eres un usuario interesado... o sea...

Suerte.

 :rolleyes: :o :rolleyes:


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: Danielㅤ en 1 Junio 2021, 17:10 pm
La cuestión es que ellos no te contrataron a ti para buscarle agujeros a su asunto... tu actuaste por cuenta propia violando algo ajeno y allí está el inconveniente... y como esto no fue una casualidad de alguien sin arte ni parte, sino que tu eres un usuario interesado... o sea...

Suerte.

 :rolleyes: :o :rolleyes:

Claro eso también puede pasar, lo pueden tomar como un tipo de extorsión, porque vos les vas a comentar que sabes cómo saltar/violar las medidas de seguridad que ellos brindan y que les estás pidiendo dinero a cambio para que les digas como lo hiciste así puedan saber dónde tienen su o sus bugs y corregirlos, pero ellos al saber que vos tenés algo que los puede perjudicar, pueden no querer acceder a tu pedido económico, ya que no lo estarías haciendo por ayudarlos ni tampoco sin ánimos de lucro, al contrario les pedís dinero a cambio e incluso hasta creaste una herramienta para saltarte su seguridad, que ellos pueden pensar que si no te dan el dinero, vos en venganza la podes compartir y aunque no se los digas, pueden pensar eso.

Es algo parecido al Modus operandi de los Ransomware, que cifran archivos ajenos y después te piden dinero a cambio para que recuperes tus archivos, aquí es algo parecido, vos tenés algo de ellos que es una vulnerabilidad descubierta y les pedís dinero a cambio para decirles como solucionarla, y con el hecho que incluso has creado un software para hacer ese trabajo, más van a pensar que podes compartir o vender ese programa.

Vos decís que no queres hacer nada ilegal, pero el pedirles dinero es anti ético y haber creado una herramienta para violar, saltar y burlar su seguridad es ilegal.


Saludos


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: siwosx en 1 Junio 2021, 17:18 pm
Te aseguro que el haber creado la herramienta no es ilegal. Si la hubiera publicado sería discutible, pero ya he dejado claro mis intenciones. Lo de pedir dinero por algo que quizás les interese no es anti-ético porque no hay un "o sino ...". Yo les ofrezco un servicio que creo que les puede venir bien y ellos deciden si lo quieren o no. Si no lo quieren, todos nos quedaremos igual.

Un ransomware te crea un problema y luego te pide dinero para resolverlo. Yo no he creado el agujero de seguridad, yo lo he encontrado y seguramente más gente lo haya hecho porque lo he sacado yo sin ser un experto en seguridad.

Supongo que lo que dices es opinión y como tal la respeto, aunque no la comparto.


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: EdePC en 1 Junio 2021, 17:25 pm
Es cosa de ir a su Web y leerse los términos de servicio, algunos suelen ser muy estrictos por ejemplo:

Citar
- Intentar descifrar, descomponer o realizar ingeniería a la inversa de cualquier software que consista o haga parte de los nuestro servicios .

- Sondear, escanear o probar la vulnerabilidad de cualquier sistema o red.

- Violar o burlar de otra manera las medidas de seguridad o autenticación, invadir la privacidad de otros usuarios y buscar contraseñas de acceso y los datos privados, así como modificar los archivos de otros usuarios, sin la autorización previa.

También podrías buscar igualmente si tienen algún sistema de recompensas, beta tester, bug reporting, o algo relacionado, si es así, entonces puedes comunicarte con ellos bajo ese contexto.


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: Danielㅤ en 1 Junio 2021, 18:45 pm
Te aseguro que el haber creado la herramienta no es ilegal. Si la hubiera publicado sería discutible, pero ya he dejado claro mis intenciones. Lo de pedir dinero por algo que quizás les interese no es anti-ético porque no hay un "o sino ...". Yo les ofrezco un servicio que creo que les puede venir bien y ellos deciden si lo quieren o no. Si no lo quieren, todos nos quedaremos igual.

Un ransomware te crea un problema y luego te pide dinero para resolverlo. Yo no he creado el agujero de seguridad, yo lo he encontrado y seguramente más gente lo haya hecho porque lo he sacado yo sin ser un experto en seguridad.

Supongo que lo que dices es opinión y como tal la respeto, aunque no la comparto.

Qué pasaría si tú PC fuese comprometida/hackeada y te robarían tu herramienta para hacerla publica? Supongamos que el hacker la comparte y las personas que vos querés hacer negocio se enteran, a quien crees que le harán problemas? A quien crees que van a buscar? Al hacker? Si el hacker no creo esa herramienta, el creador fuiste vos y esa gente va a buscar al autor/creador de ese software y si a vos te la robaron tendrías que hacerte responsable por haberla creado.

Además tú software es una herramienta que entra en la rama de Hacking tool (herramienta de hackeo) y es considerada como un tipo de malware.

En cuanto a lo otro sí es anti-etico porque pedís dinero a cambio sin intenciones alguna de ayudar desinteresadamente a esas personas, y no, no es un servicio porque no es algo propio tuyo, si bien el descubrimiento es tuyo, pero no el software de protección, además como dijo el compañero Machacador ellos no te pidieron ni te dieron permiso explicito de hacer una revisión de vulnerabilidades en su software, vos lo hiciste por tu propia cuenta.


Saludos


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: Xyzed en 2 Junio 2021, 06:26 am
Hola.

La cuestión es que ellos no te contrataron a ti para buscarle agujeros a su asunto... tu actuaste por cuenta propia violando algo ajeno y allí está el inconveniente.

Tiene razón @Machacador.
Depende de la organización/empresa, cada una tiene su gente y aunque le reportes el incidente, hay una gran probabilidad de que te ignoren indirectamente. Tomarán cartas en el asunto pero de forma interna y ya.

Por eso es importante pensar a fondo siempre antes de actuar, eso me hace recordar a una frase que leí en alguna firma de aquí: "nunca digas TODO lo que piensas, ni enseñes TODO lo que sabes". Porque puedes llevarte la mala pasada de redactar un mensaje especificando y ser completamente ignorado.

Saludos.


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: Serapis en 2 Junio 2021, 16:37 pm
No estoy de acuerdo en que sea ilegal testar un programa o acceso para investigar si es vulnerabe.

Tampoco considero que sea ilegal solicitar un dinero a cambio de señalar el/los problemas hallados, especialmente si además se proveen posibles soluciones (alegando que la cuantía es por esto). Puedo estar más o menos de acuerdo en que sea o no ético.

Es cosa de ir a su Web y leerse los términos de servicio, algunos suelen ser muy estrictos por ejemplo:

- Intentar descifrar, descomponer o realizar ingeniería a la inversa de cualquier software que consista o haga parte de los nuestro servicios .
- Sondear, escanear o probar la vulnerabilidad de cualquier sistema o red.
- Violar o burlar de otra manera las medidas de seguridad o autenticación, invadir la privacidad de otros usuarios y buscar contraseñas de acceso y los datos privados, así como modificar los archivos de otros usuarios, sin la autorización previa.
Uno puede añadir lo que quiera (como por ejemplo: '- Llevar zapatos blancos') por que lo es o no legal no lo decide una empresa a base de señalar que no le gusta, para eso están los jueces.
La empresa lo más que podrá señalar al respecto es que si se enteran de que alguien incumple alguno de los detalles de una lista, darán aviso a sus abogados para perseguirlo... otra cosa es que luego el juez, lo acepte y en tal caso que finalmente ganen.

Claramente, la diferencia en todo el asunto, va a ser la forma de dirigirte a ellos.
Probablemente intentar decir eso de 'causalmente mirando tal cosa encontré un fallo en su seguridad...' no cuele si resulta que para encontrar ese fallo haya de ser muy específico, y por tanto no cabe la excusa de casualidad ninguna.

Yo simplemente les diría algo como: "He encontrado un fallo de seguridad en sus sistemas que permiten el acceso a ...lo que sea, que se detalla... Quería saber si están interesados en regular la situación pués me he esforzado en buscar una solución que resuelve e impide dicho acceso, llegando a algún acuerdo económico, donde les explico con detalle y paso a paso el fallo y luego la solución en los mismos términos. Quedando claro que ante su negativa, no habrá por mi parte posteriores acciones en ningún sentido (tampoco en volverles a contactar). Por último señalarles que igual que yo he encontrado este fallo ...explicas tus capacidades..., otros (mejor preparados, si crees que es el caso) también podrán encontrarlos sin demasiada dificultad".  
Tendrías que dejar claro, que la cuantía solicitada es por ofrecer la solución, para la cual has dedicado cierto tiempo, esfuerzo y dinero. A este razonamiento, ellos podrán entonces reclamar que les describas el fallo y ya buscarán ellos la solución y ahí tu siguiente movimiento es lo que delataría si tu actividad roza lo delictivo o no. Quizás ellos intentando proveer una solución vuelvan a dejar otro agujero de otra forma, de la que entonces tú no tendrías nada que ver.

Que decidan darte apoyo o no, va a depender primero de la personalidad con la que toques, y segundo con la cuantía económica que pretendas reclamar frente al costo de no asumir arreglarlo.

...y ante las dudas sería bueno consultar a un abogado especializado en estos casos. Aunque claro, si por su consulta te va a cobrar lo mismo que tu esperas cobrar a dicha empresa, pués pierde toda rentabilidad.


Título: Re: Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)
Publicado por: Danielㅤ en 2 Junio 2021, 17:40 pm
Por supuesto que todas son opiniones personales nuestras, pero yo en tu lugar no diría nada, simplemente lo tomaría como un aprendizaje y no querría ganar dinero con eso, es decir con ese descubrimiento, mira si tienes que como dice el compañero por las dudas consultar con un abogado, vas a tener que pagarle lo mismo que vos querés cobrar (los abogados no son baratos) y si esa gente no te  quiere pagar tú descubrimiento? entonces vas a tener una pérdida de dinero... porque nada te garantiza que ellos acepten tú propuesta.

De todas maneras si decides proponerles lo que tienes pensado, coméntanos para que podamos saber en que termina esto.


Saludos