domingo, noviembre 21, 2010

O todos bot o el spider al rio

Ayer, en los comentarios del post [Y lo que me he ahorrado], Ender me alertaba con buenas intenciones (gracias!), de las implicaciones que tendrá el nuevo código penal, cuando se ponga en práctica este mes de diciembre. Ya, cuando lei hace tiempo lo que se iba a aprobar, dejé publicado un post en el que dejaba claro que, con la entrada en ejecución de éste, nadie iba a avisar de los fallos de seguridad [Date por avisado].

Sin embargo, no deja de sorprenderme este artículo en concreto, que ayer diseccionaba Rubén Santamarta en 48bits [Código penal rima con hemoal] en el que dice:

"3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo...

Ajá! Eureka! Arrakatruki! Tengo la solución. Osea que cuando alguien ponga las medidas de seguridad como el gobierno de los USA en su servidor FTP basadas en un cartel que dice "CUIDADO CON EL PERRO QUE MUERDO", como aquel servidor que os puse en [Cuando salí de USA] donde la único que hay que hacer para vulnerar la seguridad es seguir un enlace... ¿se está cometiendo un delito? Pues se va a cagar Google, Bing, Exalead, los indexadores de blogs, y el pinche pelota que lance cualquier araña para hacer estudios de mercados o aplicaciones 2.0 en las que se mire lo cool que es un dispositivo.


Figura 1: Medidas de seguridad en el FTP de USA

De hecho, se me ocurren mil formas de montar un DDOS de casos que deban de ser de oficio solo con que existan "medidas de seguridad establecidas para impedirlo" de mierda.

Además, si miro los ficheros robots.txt [Funcionamiento de los robots] de casi todos los sitios pone:

User-agent: *

y luego con Disallow donde no se puede entrar, así que asumo que puedo entrar en todo el resto de contenidos porque me han invitado.

Si a esto le sumamos la coletilla del artículo, entonces he visto la luz...

"..o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años"

No,no, que yo solo pasaba por aquí, ¿quieres que me vaya? Pues me voy... avísame cuando esté dentro si te molesto, y nada, y me voy. ¿Esto quiere decir que si yo entro en un sitio, y nadie me dice que me vaya puedo estar dentro?

Lo que es increible, es que pretendan perseguir de oficio a quién avise, porque nada, se hace que las peticiones se den unos pirulos por algunos servidores en 3 o 4 países, pasando por bouncers, proxies, servidores TOR y luego se hace que sean los buscadores los que ataquen a las webs [Buscadores como armas de destrucción masiva] y listo, todo un caos.

En fin, que de todas formas, por si algún día pasa algo, y me véis haciendo una demo, recordad que me llamo Fermín y que este blog, a partir de diciembre se va a dedicar a enseñar como cocinar.

Saludos Malignos!

13 comentarios:

NeneLand dijo...

Ya tenia pensado responderte en tu anterior post, pero aprovecho esta ocasión para hacerlo por partida doble.
Vamos por partes.
Yo creo que para poner en práctica las medidas penales contra quien entre en un sitio sin autorización sera necesario definir muy clarito que es eso de "vulnerar las medidas de seguridad". Amos a ver. Se supone que vulnerar una medida de seguridad es saltarsela, es decir, vulnerar una puerta es entrar por encima de la puerta o por debajo, pero si te dejas la puerta abierta yo no estoy vulnerando nada. Si te dejas una webcam con la clave por defecto y yo la pongo es que tengo tu permiso para entrar, eso es como si en una puerta pones "la llave esta bajo el felpudo". Si entro es porque tu me has dejado entrar. Si no quieres que entre no me digas que la llave esta bajo el felpudo. Si no quieres que entre en tu webam no me digas las claves (dejas las claves por defecto es igual a decirmelas). Si yo uso fuerza bruta o algún tipo de medida para averiguar la clave o provocar un fallo del firm de la cámara eso si es vulnerar la seguridad. Si pones una clave por defecto y quieres dejar claro que solo quieres que entren fulanito y menganito tendrás que poner un aviso : "Entrada permitida solo a fulanito y menganito". Que alguien haga algo de luz legal sobre esto, please.
Luego el tema de las webcams en Internet. La LOPD solo regula este tema en caso de que se produzcan grabaciones. En caso de que sea solo para visualización esta permitido que no haya carteles de aviso incluso que se ponga en la calle (pero claro, luego demuestra que no lo estas grabando). Aparte el tema de la grabación de la calle. Según la ley las medidas de seguridad adoptadas y las ubicaciones de las cámaras de seguridad han de ser proporcionales al riesgo protegido. Se permite poner una cámara en la calle (incluso con grabación) siempre que este orientada a la fachada, aunque impepinablemente pille algo del resto de la calle, eso si, has de poner un cartel avisandolo si grabas). De las misma forma en caso de cámaras en el interior de establecimientos. Si para grabar / ver la puerta de entrada has de grabar/ver parte de la calle no hay problema legal. Siempre es fácil ver si la cámara esta puesta para grabar la calle o solo la pilla inevitablemente.
Como curiosidad os diré que la LOPD permite que una cámara esta orientada hacia la calle, incluso con grabación, si es imposible usar esa grabación para identificar a una persona concreta. Por ejemplo, imagínate que tienes una tienda de surf en Tarifa y pones una webcam en tu web orientada hacia la playa, pero debido a la resolución de la imagen y la distancia hacia las personas es imposible identificar a nadie, tan solo ver si hace buen tiempo o si hay buenas olas. Teóricamente esa cámara seria legal. También cuidado con poner una webcam en una web, pues aunque tu no la grabes no puedes asegurar que algunos de los que entran en tu web no hace una grabación de dicha cámara, con lo cual TU estarías incumpliendo la LOPD ... curioso cuanto menos. De todas formas, os digo que no soy ningún experto, así que nadie me mande un correo enfadado desde "el trullo". :-)
Gracias y buen trabajo.

Anónimo dijo...

¿Y si se habla algo de esto en la RootedCon?

Bueno tal vez por Marzo ya sea demasiado tarde.

Espero que ninguno que tenga algún paper/charla preparado para la RootedCon deje de venir porque está entre rejas.

P.S Quién hace la ley, hace la trampa :)

Anónimo dijo...

Hey, queréis un reto hackers? Me podríais conseguir la contraseña de un usuario de la web santignasi.fje.edu??

Anónimo dijo...

ajajjajajajaaa

osea que estamos todos diciendo que hay que tener cuidado y noseke y nos vienes diciendo que si nos saltamos un server.... no seras de la guardia civil.... porque dicho asi no se me ocurre otra razon para dar TANTO el cante ajjajajajajajjajaj

No creo que pudiera hacerlo, anonimo, pero aunque pudiera..... jajajajajajaj

Anónimo dijo...

Para identificarme seré AAA.

No, soy un alumno de esta escuela y el lunes tengo un examen importantisimo, sí mañana pero da palo mover el ratón para cambiar lunes por mañana. Ok, pues si alguien quisiera escribir el password de un usuario en concreto, perfecto, el usuario es leido de arriba abajo

x
a
v
i
e
r
.
g
a esto para distraer y qe el no lo pueda encontrar por internet
r
i

Gracias

Anónimo dijo...

Me sabe mal decir su nombre por aqui, pero bueno, que más da, en el fondo yo mismo tambien debo estar en muchos sitios que desconozco. Ale!

Mario dijo...

Sospecho que esto es solo el principio, y la proxima movida va a ser prohibir la creacion e incluso el hosting de "herramientas de hacking".

Preparense para cuando sea ilegal tener un link al nmap en tu pagina!

Ender dijo...

# NeneLand:

Yo soy completamente "técnicoless", como dice Chema. El comentario que le puse en el anterior post es bajo un punto de vista jurídico, porque esa es mi profesión, las leyes.

Pues bien, desde ese punto de partida, te aseguro que si dejas tu coche abierto en la calle, y alguien se lleva lo que haya de valor en su interior, está cometiendo un hurto. Y si dejas la ventana de tu habitación abierta, y alguien se cuela por ella para coger tu portátil, por ejemplo, está cometiendo un robo con fuerza, en su modalidad de escalo. Esto no son opiniones, son ejemplos extraídos de la jurisprudencia del Tribunal Supremo.

Que se pueda hacer algo física o técnicamente, no significa que sea legal hacerlo. Por ejemplo, un experto en artes marciales podría ir por la calle dando palizas al 99 % de la gente con la que se cruzase, y luego soltarles aquello de: "Es que si no actualizas tus medidas de seguridad personal, me estás invitando a hacerlo". Absurdo, ¿verdad?

El hecho de que alguien sea negligente en sus medidas de seguridad, no significa que los demás estén autorizados a vulnerarlas. Por lo tanto, aunque se trate de una contraseña por defecto, utilizarla para acceder a donde nadie te ha permitido acceder es un delito desde el 23 de diciembre.

Soy muy crítico con la redacción de ese artículo en la reforma del Código Penal. Había que hacer algo, porque hasta ahora, lo cierto es que la inmensa mayoría de las intrusiones informáticas eran impunes con la Ley en la mano. Pero se ha hecho de forma muy chapucera, a la buena de Dios, y sin consultar a quienes luego debemos trabajar con esas leyes, seamos juristas o técnicos.

Ender dijo...

Chema, precisamente uno de los aspectos que más me desagradan de la reforma legal es el que tú comentas: las repercusiones que tiene sobre los expertos en seguridad que compartís con la comunidad vuestras investigaciones de campo. Es un trabajo encomiable, y lamentaría que se perdiera.

Respecto de la cita del artículo que haces, lo de "mantenerse" en un sistema sin consentimiento es el resultado de un "copy & paste" bochornoso: el que se hace del artículo 202, que regula el allanamiento de morada. Lee, lee. A mí, francamente, me parece una conducta imposible de darse en la práctica. Quiero decir, si una intrusión en un sistema informático es detectada, el administrador del sistema debe tener privilegios suficientes para expulsar al intruso, aunque éste se resista. Y si el intruso ha conseguido suplantar los privilegios del administrador y hacerse con el control absoluto del sistema, un apagado físico del mismo lo deja fuera. Es decir, no cabe la posibilidad de "mantenerse en contra de la voluntad". O al menos, eso me parece desde mis escasos conocimientos.

Por cierto, ese tipo de letreros de "cuidado con el perro" no se consideran medidas de seguridad, por lo que si los ignora una araña de búsqueda, no se considera intrusión. Y, al menos en teoría, un desbordamiento de buffer, tampoco, a menos que toda la arquitectura de un sistema se considere una medida de seguridad en sí misma. En fin, que el nuevo artículo del Código me parece una chapuza total.

NeneLand dijo...

#Ender :
Muchas gracias por tus aclaraciones, ya os decia que no soy experto en temas legales, pero me parece una suprema estupidez que nadie pueda acusarte de nada por entrar en un sitio si sabes el password. En fin supongo que lo haran "por nuestro bien". Sinceramente prefiero pensar eso a que lo hacen porque no tienen ni puñetera idea sobre lo que estan legislando.
Thks de nuevo Ender ... Nos vemos por aqui.

mariposa dijo...

un saludo y sigue en la brecha.. cuidadin con los "gurus","superheroes" y demas "white hats"



NeTK.

Kuñao dijo...

El asunto se resume en, si tu haces con cualquier web, software o lo que sea, que no esta tipificado en el aviso legal como uso apropiado, se considera delito.

Caso claro, el típico XSS para hacer un alert se considerará un delito, y si vas tu, y le dices al dueño de la web, que tiene ese fallo de seguridad, en un ataque de nervios, con la ley en mano te van a meter un buen cuerno.

Los Banners amenazadores, simplemente son para decirte, si no eres administrador de esto, deja de tocar los cojones, y desde un punto de vista legal son validos.

Al igual que una finca sin vallar, pero con un cartel de finca privada, prohibido el paso, es ilegal estar dentro, independientemente de las medidas de seguridad.

El caso de Tuenti que puso Chema, si lo hace cuando se apruebe la ley, Tuenti te podría meter un buen puro, y lo peor es que tendría las de ganar.

Uxío dijo...

Como todo, supongo que tendremos que esperar a que se implante dicha ley y ver si van a darnos tanto el palo como esperamos, si van a permitir excepciones (gente que hace esto para enseñar y ayudar, como Chema) o si se lo van a tomar todo a la tremenda y nos van a meter a todos en un saco. Habrá que andarse con ojo...

Eleven Paths Blog

Seguridad Apple

Entradas populares