tag:blogger.com,1999:blog-21555208.post8519229448165789915..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: ¿Quién es responsable?Chema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-21555208.post-73390673865583896902010-06-30T15:30:04.717+02:002010-06-30T15:30:04.717+02:00Eso de programar gratis está fatal, GPL y perrofla...Eso de programar gratis está fatal, GPL y perroflautas... hay que gastarse la pasta en empresas que SI saben qué hacen. <br /><br />Y cobran porque después ya ves que te encuentras con los programas de perroflautas.<br /><br />Eso sí, ser un free beta-tester mola.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-82027515676721394112010-06-30T10:36:22.777+02:002010-06-30T10:36:22.777+02:00Algunos lo llaman "Amor al arte" :-)Algunos lo llaman "Amor al arte" :-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-63835034004976360132010-06-29T17:35:26.913+02:002010-06-29T17:35:26.913+02:00full-disclosure FTW! Porque tendrías que trabajar ...full-disclosure FTW! Porque tendrías que trabajar gratis para las empresas de software? Si descubres un fallo en una aplicación, tu eres libre de hacer lo que quieras... otra cosa seria que lo usaras para hacer cosas ilegales, pero hacerla publica es una solución tan valida como avisar al vendor.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-36009576143323986272010-06-29T15:29:11.137+02:002010-06-29T15:29:11.137+02:00Lo de las web puede ser hasta peligroso...Sobre to...Lo de las web puede ser hasta peligroso...Sobre todo ahora con el nuevo código penal, con sus artículos 137 y 264, ¿no puedes buscarte un lío serio si informas al propietario de una web vulnerable y se lo toma a mal?<br /><br />En cuanto a informar primero al fabricante antes de hacerlo público, me parece lo correcto...Claro que si trabajas en Google y descubres una vulnerabilidad en el HSC a lo mejor no te mueve lo correcto sino otra cosa...No sé por qué se me ha venido esto a la mente ahora.<br /><br />Saludosunam1noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-80990565767257989942010-06-29T13:29:23.736+02:002010-06-29T13:29:23.736+02:00@Scan
Seguro que no has sido el único. Alertas de ...@Scan<br />Seguro que no has sido el único. Alertas de un fallo y el que recibe el mail se tira el pisto no solo con el hallazgo sino con la solución.<br />Y mientras te comes los mocos...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-60553500687869443042010-06-29T13:08:22.665+02:002010-06-29T13:08:22.665+02:00Buenas, pues yo comentare mi experiencia pero es p...Buenas, pues yo comentare mi experiencia pero es parecida a la de Scan.<br /><br />Yo actualmente no me dedico a la seguridad si no al desarrollo, pero como muchos de nosotros, soy un vicioso de la seguridad y siempre ando a ver que rompo. La cosa es que en un proyecto para el gobierno de Aragon, encontre un fallo muy importante en Crystal Reports XI, curiosamente ese mismo fallo valia para el resto de versiones (r2, 2008...), resumiendo te hacias con la cuenta de administrador del servidor, y de eso pues elevación de privilegios, robo de información.... Se lo comente a mi jefe de proyecto y las implicaciones que podia tener eso para todos los datos de nuestra aplicación, me dijo que seguridad era cosa de los de sistemas, los de sistemas que no sabian ni que era Crystal Repors pero que tampoco les importaba, le mando un mail al comercial de SAP asignado a mi empresa, que a el le venia dando igual pero que oye, felicidades por descubrirlo, que hable con la gente de desarrollo sap.....les mande un correo tambien a ellos y los reyes magos por si colaba...<br />Conclusión, a dia de hoy sigue siendo un fallo que esta funcionando. Lo mas curioso es que gracias a la foca saque un monton de servidores de crystal reports y reporte un monton fallos de seguridad de empresas, entre ellas el gobierno argentino que incluso me pidio consejo para securizar el servidor!!<br /><br />Aun asi coincido totalmente que reportar fallos a webs es perder el rato, yo a menos que sea un fallico muy cantoso no en plan 1=1 ni me molesto...y ni aun asi....pero vamos que en cuanto ves el minimo fallo yo soy de los que enciendo el portatil con las 400 distribuciones y aplicaciones malignas y me pongo a juguetear antes de reportar....por documentarme ehhh! jaja<br /><br />Saludos!tmetohttps://www.blogger.com/profile/13332834788130905010noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-19660849067670735242010-06-29T11:46:39.459+02:002010-06-29T11:46:39.459+02:00He aquí la cuestión...reportar o no una vulnerabil...He aquí la cuestión...reportar o no una vulnerabilidad??<br />Estoy en mi casa navegando por una web y descubro ciertos fallos en la web gracias a mi constante curiosidad. Les aviso mediante un mail que aportan desde la web sobre el fallo? Qué beneficios puedo sacar ayudándoles a nivel particular? Avisarlo mediante los cuerpos de seguridad... qué procedimiento lleva?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-3261051553273217662010-06-29T11:03:28.492+02:002010-06-29T11:03:28.492+02:00lol, vaya un cabrón está hecho tu ex-jefe...lol, vaya un cabrón está hecho tu ex-jefe...Newloghttp://www.overflowedminds.netnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-64268921839171213862010-06-29T10:29:08.963+02:002010-06-29T10:29:08.963+02:00La única vez que he encontrado un fallo de segurid...La única vez que he encontrado un fallo de segurida "xungo" lo hablé con mi jefe, me hecho una bronca del copón, luego a escondidas reportó él el fallo y se llevo el reconocimiento...<br /><br />Por suerte ya no trabajo ahí...Scanhttps://www.blogger.com/profile/12373513416115668567noreply@blogger.com