17 enero 2012

GatoVolador VS Ayuntamiento de Elche

GatoVolador es un estudiante de informática que vive en Elche, apasionado de las nuevas tecnologías que, aparte de mantener su blog, ha lanzado iniciativas tan interesantes como 'tencuidado.es' una web que se dedica a denunciar (con un caustico sentido del humor) los tejemanejes de los famosos 'call-tv', espacios de videncia, concursos a través de 905 y demás faunas.

Hace un tiempo, el ayuntamiento de Elche lanzó la web 'visitelche', una web para promocionar el turismo en Elche en la que, a día de hoy, se puede ver un enorme banner con una cuenta atrás para el lanzamiento de la web. 

Hasta aquí, todo correcto, una simple maniobra de marketing para crear un 'hype' generando expectación. 

Estoy seguro que a muchos de vosotros ya se os habrá pasado por la cabeza la posibilidad de que, tal vez, se pueda 'destripar' la web y ver que lo que hay tras ese banner.

Bueno, GatoVolador lo hizo, se puso a curiosear y accedió a lo que será la futura web 'visitelche', además como punto extra, un amigo suyo encontró una vulnerabilidad de tipo XSS que permitía alterar el formato de la web original (alteración NO permanente, sin acceso no autorizado a ningún recurso del sistema y sin modificación de ningún fichero)

Después de publicar un post donde explicaba minuciosamente y con capturas de pantalla el proceso se ha encontrado con que, según diarioinformacion, el Ayuntamiento de Elche 'ha puesto en manos de la Guardia civil el caso' con idea de denunciarle. Mención aparte merecen los adjetivos que aparecen en el 'artículo' del 'periódico': 'pirata informático', 'gente que busca notoriedad'

Personalmente creo que no existe nada punible en la acción, no ha habido ningún daño. Revelar datos aun no públicos que podría haber encontrado cualquier spider, creo que al no existir un acceso no autorizado, es más una negligencia del webmaster. 

Respecto al XSS: ¿Es delito 'explotar' un bug de tipo XSS? A mi me parece que no, ¿qué opináis vosotros?

20 comments :

Invitado dijo...

Se supone que en lugar de publicarlo en un blog, lo primero que tendría que haber hecho es comunicarlo al afectado y darle un tiempo  para resolverlo (no todo el mundo por desgracia tendrá los conocimientos o gente necesaria con ellos para poder hacerlo rápidamente); si lo quiere publicar en unblog público, podría haber intentado "ofuscarlo" un poco sin  dar a conocer los datos reales.
Si no, la doble moralidad, ética, o como se quiera llamar, es un dilema al que pocos podrán contestar con una verdad absoluta. Ahora, si desde luego lo ha notificado, y encima lo denuncian, es para tirarse de los pelos, así luego pasan las cosas que pasan.
Como opino, es un dilema que admite muchos matices...

Miguel Angel Hernandez dijo...

Hola Yago,

Sinceramente no he acudido a la fuente a ver qué fue lo que escribió exactamente pero el artículo 197.3 introducido por la reforma del código penal mediante la Ley Orgánica 5/2010, de 22 de junio, que entró en vigor el 23 de diciembre del mismo año recoge:

"El que por cualquier medio o procedimiento y vulnerando las medidas
de seguridad establecidas para impedirlo, acceda sin autorización a
datos o programas informáticos contenidos en un sistema informático o en
parte del mismo o se mantenga dentro del mismo en contra de la voluntad
de quien tenga el legítimo derecho a excluirlo, será castigado con pena
de prisión de seis meses a dos años."
El problema no es el XSS porque como tu bien dices el XSS no implica nada de lo que expone este artículo (al menos en mi modesta opinión), el problema es que para detectar el XSS hay que previamenta haber vulnerado la página web estudiando su código y revelando información que el dueño de la misma no quería que se hiciera pública. Es ahí donde está el delito. La actuación diligente es, si se ha encontrado el bug, notificarlo al webmaster para que se corrija y cuando se haya solventado, entonces se publica si se quiere puesto que ya no tiene repercusión en la seguridad del sistema (esto en un caso general en el que la información está disponible públicamente, si no lo está como es este caso, mejor callarse y esperar a que salga públicamente). Aunque se que este comentario que voy a hacer es impopular, no estoy evidentemente de acuerdo con el primer comentario del periódico que señalas pero si con el segundo según tu comentas (no he indagado más de forma que esta opinión está sesgada por la información que tengo desde tu post). Por qué tengo que desvelar que he accedido a algo privado?, de esto solemos pecar mucho los que nos dedicamos a la seguridad informática y no es éste el único caso que he visto. No podemos vivir sin contar lo que hemos hecho y lo peor es que hay quien, desconociendo la legislación, hace públicas sus intrusiones sin conocer las consecuencias que esto les puede provocar. Recordemos todos que el desconocimiento de una ley no exhime su cumplimiento y como todos sabemos cada uno de nosotros conoce a la perfección la LOPD la LSSICE el ENS, el ENI, La ley 25/2007 La ley 11/2007, el RD 1720/2007 el código penal, el civil, el de circulación y nos hemos aprendido de memoria donde están los cuadraditos negros de nuestro código QR.

Un saludo.

@security4dev dijo...

Yo soy partidario del responsible disclosure, que ya se ha tratado en la rootedcon el pasado año:
http://www.securitybydefault.com/2011/03/full-disclosure-si-o-no-rooted2011.html

Pienso que se debería de haber avisado al desarrollador y ante la duda pués a través de un CERT. Una vez corregido, pués publicarlo.

Optar por contar la historia con tantos pelos y señales es un riesgo innecesario (aunque no tengo por qué pasar nada) ... en ese caso siempre es mejor optar por pastebin.

Saliendo sólo un poco del tema, recomendar la charla de chema alonso de "Default Passwords, adelante por favor": http://www.slideshare.net/chemai64/default-passwords-adelante-por-favor ... que también se trata si es delito o no entrar en un sistema con las claves por defecto, cosa que casi cualquiera podría hacer.

kmlreverser dijo...

Venga pero que pretendemos proteger por leyes las estupideces que tienen los programadores por no declarar los tipos de datos en las variables de la pagina web, así como realizar comprobaciones en la web. Además no se a vulnerado ningún Sistema lo unico que se realizo a sido un enlace malicioso que altera la web desde el navegador.

Me revienta cuando los que dictan leyes no conocen el campo en el que las dictan. Forma tu personal en seguridad y no pasara eso.

kmlreverser dijo...

En eso estoy contigo. Pero no lo hizo con malicia digamos solo lo publico. No tiene la culpa de que el bug estuviese hay.

Colmillos dijo...

XSS, por explotarlo?
En el ejemplo que nos meciona Yago, No, pero si son XSS usados para el robo de identidad o similares, Si.

Porque no?, en el ejemplo no esta realizando ningún delito.

Porque si?, si se usa de forma fraudulenta, hablamos de un delito. (formularios falsos, etc con el objeto de robar datos de clientes o se beneficia de la imagen de la web).

Luego esta la que responsabilidad que tienen los dueños del site web, (mas polemica). Hay fallos que por defecto nos devuelven datos sin llegar a ser explotados, ejemplos: http://www.spainun.org/pages/viewfull.cfm?ElementID=33%2778


Ahora pasamos a la opción de reportar fallos a los administradores, donde NO son soluccionados y pone en peligro los datos de miles de clientes, usuarios, etc. Al final hay que hacerlos publicos, para que los soluccionen, ejemplo policia.es.


Yago, en el tema de los periodistas..."'pirata informático', 'gente que busca notoriedad'", es mejor no comentar nada, la gente que se mueve en este mundillo saben diferenciar, el sensacionalismos, noticia real o noticia de relleno.


Finalizando, este tipo de POST, pregunta es para generar un debate bastante importante, desde los distintos perpectivas: Afectado, denunciante, empresa creadora y usuario.

Carlosbg dijo...

Es lo que tiene mezclase con la mafia valenciana...

Seguro que la web la han dado a dedo a una empresa X, por un dineral X y cobrando unas comisiones X. Como todo lo que se hace en esa comunidad.

Pero el problema es que un chaval consiga ver un contenido vacio..

Welcome to Valencia!

y lo digo con conocimiento y causa, que soy alicantino para mi desgracia..

Pepelux dijo...

Yo no le veo el problema. Una denuncia no quiere decir que se tenga razón. Si sólo se ha publicado un xss y no se ha accedido al sistema, es como si te denuncian por decir que viste una casa vacía a la que olvidaron cerrar las ventanas.

Otra cosa es se haya entrado ilegalmente ... pues publicar en un Blog, en ese caso, es un poco inconsciente.

Por cierto, cuanto alicantino guarro hay por aquí xDDD

Román Ramírez dijo...

Aunque puedo comulgar con la comunicación responsable... llega un momento en que te agota reportar, una y otra vez al fabricante o al responsable los agujeros que tiene y que su reacción sea no hacer nada o, peor, echarte encima sus perros de la guerra y criminalizarte.

Aparte, no hay ley que diga que debes publicar de ninguna forma y os recuerdo que todavía es legal hacer investigación de seguridad (ya llegará, ya, que los políticos y los lobbies empresariales tienen sus propia agendas con todos estos temas).

Un detalle más, un XSS no persistente y probado EN MI PROPIO NAVEGADOR no es una intrusión de ninguna manera. Tengamos cuidado cuando afirmamos qué es y qué no es algo que traspasa la barrera de la legalidad.

Obviamente hay que tener sentido común y cierta sensibilidad. Si ves que la parte a la que has reportado tiene un comportamiento razonable, reconoce el problema y trata de solucionarlo pues creo que hay que darle margen.

Por otro lado, empresas que pasan sistemáticamente de reparar sus problemas lo único que merecen es que publiques directamente y de forma completa todos los detalles; y no me valen las excusas de "inseguridad" de sus clientes. Claramente es su responsabilidad reparar agujeros que te reportan y no trasladarle la culpa al investigador que te hace el trabajo (y por el que probablemente te vas a ahorrar mucho dinero).

StopSopa dijo...

Estoy de acuerdo contigo pero quisiera añadir unas cosas mas:
tendrían que ser tolerantes puesto que el chico no ha destrozado nada y tanto vosotros como yo sabemos que si no dice nada podía haberse cargado la web y aquí no se entera ni cristo... Que se gasten mas dinero al crear una web que se preocupen por la seguridad que por ahorrarse unas perras luego pasa lo que pasa. Me revienta que vayan diciendo que has cometido un delito en cuanto ellos son los primeros en cometerlos, sino mirar como va el país...

Asdf dijo...

Explotar un XSS no persistente, no es delito.
Explotar un XSS persistente, podría ser si genera un daño a algún activo (como es la imágen de la organización).
Hay que diferenciar delito penal (acción tipicamente antijuridica y culpable) a delito civil (todo lo que genere un daño).

Invitado dijo...

Lo que me pregunto es en qué estaba pensando cuando lo publicó ¿Qué pensó que pasaría? ¿Una felicitación?

Parece que aquí hay bastantes letrados... pero quien lo va a juzgar es un juez que va a interpretar la ley. Así que la broma le puede salir por un pico, por lo de pronto va a tener la angustia de que a lo mejor le mete un puro. No entiendo qué es en lo que estaba pensando.

No sé si es delito, pero por si acaso yo no publicaría algo así sin haber estado en contacto con el responsable. Si fuera yo el responsable no me gustaría nada, te dejan en evidencia en público, una cagada fenomenal. Da igual que lo hayas hecho mal, la mayoría de la gente tiene orgullo y eso es un golpe. Seguro que quiere sangre, así son muchos humanos ¿eso no lo sabía nadie?

El que lo publicó sí que me parece más bien un irresponsable y pensando mal, diría que fue para intentar ganar notoriedad, hacerse nombre e intentar ganar una perras... demasiado inocente. Sino es por eso la pasta, el chico es un inocente total. Supongo que así quedará como aviso a navegantes.

Y para algunos comentarios que he visto: si dejo la puerta de mi casa y las ventanas abiertas de par en par y me roban mis cosas siguen robando y siendo un delito. Vale que no tenga agravantes como forzar la puerta o intimidación, pero el delito sigue estando ahí.

No vale eso de que no tenía clave. Si dejo mi coche abierto en la calle por un descuido y veo alguien dentro, fijo que llamo a la policía.

Invitado dijo...

Lo que me pregunto es en qué estaba pensando cuando lo publicó ¿Qué pensó que pasaría? ¿Una felicitación?

Parece que aquí hay bastantes letrados... pero quien lo va a juzgar es un juez que va a interpretar la ley. Así que la broma le puede salir por un pico, por lo de pronto va a tener la angustia de que a lo mejor le mete un puro. No entiendo qué es en lo que estaba pensando.

No sé si es delito, pero por si acaso yo no publicaría algo así sin haber estado en contacto con el responsable. Si fuera yo el responsable no me gustaría nada, te dejan en evidencia en público, una cagada fenomenal. Da igual que lo hayas hecho mal, la mayoría de la gente tiene orgullo y eso es un golpe. Seguro que quiere sangre, así son muchos humanos ¿eso no lo sabía nadie?

El que lo publicó sí que me parece más bien un irresponsable y pensando mal, diría que fue para intentar ganar notoriedad, hacerse nombre e intentar ganar una perras... demasiado inocente. Sino es por eso la pasta, el chico es un inocente total. Supongo que así quedará como aviso a navegantes.

Y para algunos comentarios que he visto: si dejo la puerta de mi casa y las ventanas abiertas de par en par y me roban mis cosas siguen robando y siendo un delito. Vale que no tenga agravantes como forzar la puerta o intimidación, pero el delito sigue estando ahí.

No vale eso de que no tenía clave. Si dejo mi coche abierto en la calle por un descuido y veo alguien dentro, fijo que llamo a la policía.

Invitado dijo...

Pues yo creo que el chaval no merece ni de lejos la supuesta denuncia, que le han puesto, que la habrán puesto mas por meter miedo que por otra cosa.

Vamos ya es el colmo, que haya gente que hable de delito por este caso, ni es delito, ya que el un XSS no explota ninguna vulnerabilidad en el servidor ( ficheros sistema procesos o lo que fuere ), habrá que reaclararlo porque algunos iluminados les encanta hablar sin saber y/ó sin leer, no se ha accedido a ningún dato privado.

Lo único reprochable al chico podría llegar a ser el no avisar al administrador de la existencia del fallo, un fallo que se podría asemejar mas a una anécdota de "agujero" a un butrón en una oficina bancaria, pero reprochable, no imputable.

Y por último si el señor administrador de la página se a sentido ofendido por que alguien ha enseñado sus verguenzas, que lleve un buen cinturón o su equivalente en este caso, mejorar en matería de seguridad.

Lord Voldemor dijo...

Si yo voy a una casa y me pongo a jugar con una ganzúas y de modo inesperado abre la puerta, y en lugar de entrar en el domicilio la vuelvo a cerrar, ¿es delito?.

No llego a entrar a la cocina, no cambio ningún mueble de sitio, no cojo nada, y además no se lo digo a nadie. ¿Es delito?.

A ver Yago Jesus, me parece una estupidez que un XSS pueda considerarse punible, pero siendo sinceros si un juez lo estima oportuno condenarlo...hombre "no toques, pa que tocas". xD

Román Ramírez dijo...

Hombre, la comparación es bastante absurda, ¿y si me pongo a jugar, con esas mismas ganzúas, sobre un candado que he *comprado*, en mi propia casa y descubro una técnica que me permite abrir cualquier candado como ese en menos de diez segundos?

Hay que hacer comprender a los juristas la diferencia entre "toco en mi navegador" y "entro en un servidor ajeno".

Y vuelvo a reiterar lo que siempre comento: que yo descubra agujeros en cómo funciona un candado es algo BUENO. Si a eso le sumo que luego publico los resultados, ya veríamos si entra dentro de lo "responsable".

Y defino "responsable" como no publicar de forma aberrante pero, además, sí publicar cuando ves que el fabricante/proveedor no tiene ninguna intención de reparar el agujero que has detectado.

Moralmente es una forma de avisar a la gente de que su solución tiene riesgo y que su fabricante no tiene interés en resolverlo.

¿Hay un XSS no persistente y que puedo detectar en local en mi propio navegador y discutimos sobre si cárcel o no? Estamos peor de lo que imaginaba.

Invitado dijo...

Plas plas plas.
( Entiendase aplauso, no bofetada :$ )

Juan Aguilera dijo...

Es que con un XSS no ha accedido a contenido que el webmaster no quería que se accediera. No ha entrado al servidor ni ha averiguado una contraseña por fuerza bruta, solo ha mirado el código fuente de la página, y ese código fuente todo webmaster sabe que es público, por lo tanto no veo ningún delito ateniendome a la reforma que aludes.

Miguel Angel Hernandez dijo...

Hola,

Lo que yo he entendido de aquí es que el código de la página no era público, había una especie de portal que anunciaba su próxima publicación y el XSS no se ha encontrado en ese portal promocional por llamarlo de alguna forma sino en la página que iba a ser publicada y que se mantenía en el mismo servidor, ésta es la que yo he interpretado que fue accedida sin consentimiento y en base a la que he expuesto mi comentario. Si no fue así, el malentendido es mio. 

Un saludo.

Miguel Angel Hernandez dijo...

Aclaro de nuevo, el problema no esta en el XSS reflejado. Esta aquí:

"Bueno, GatoVolador lo hizo, se puso a curiosear y accedió a lo que será la futura web 'visitelche', además como punto extra, un amigo suyo encontró una vulnerabilidad de tipo XSS que permitía alterar el formato de la web original"

No soy abogado ni nada por el estilo, simplemente soy aficionado a la lectura legal por lo que toca a mi profesión y es ahí donde veo el problema no en el XSS. A ver si ahí os cuadra con lo que pongo más arriba o simplemente yo no interpreto bien que también es posible, como no.

Un saludo.