tag:blogger.com,1999:blog-5399811056563385935.post6518460466101451498..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Steampunk, El siglo XIX acude al rescate de los hackersYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger16125tag:blogger.com,1999:blog-5399811056563385935.post-68739088856081474642012-03-09T22:51:38.206+01:002012-03-09T22:51:38.206+01:00A mi me recuerda a esos que iban por los polígonos...A mi me recuerda a esos que iban por los polígonos ofreciendote seguridad para que no te robaran y al final les pagabas para que no te robaran ellos.<br /><br />Se me ocurren un montón de negocios con este post. Por ejemplo seguir a la gente por la noche y hacer un amago de robo con navaja para que vean lo importante que es tener un guardaespaldas o por ejemplo entrar en las casa robar y luego volver con el botín para venderle una cerradura y por que no robamos un cohe y luego les vendemos un sistema de seguridad con GPS.Invitadonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-12432112556364143602011-01-26T15:58:10.300+01:002011-01-26T15:58:10.300+01:00Tambien existe un punto bastante "camuflado&q...Tambien existe un punto bastante "camuflado" en la creacion de estas leyes. <br /><br />Mientras estas nuevas leyes no han existido, los mangantes han estado entrando y saliendo de routers, ordenadores de usuarios y empresas a su antojo, y esta gentuza puede utilizar las nuevas leyes como una bonificacion a su reputacion soltando "perlas" que les queman en las manos las cuales han sido tipificadas como delitos.<br /><br />Me explico, personas con altos conocimientos de seguridad en redes que de repente se les ocurre hacer ciertas pruebas con routers y encontrar fallos de seguridad en los mismos los cuales han podido ser explotados durante años..soltar el tesoro que con tanto ahinco han ocultado al resto...vamos que el comportamiento de Esmeagol que han tenido durante años lo pueden utilizar para ganarse un respeto falseado ante la comunidad de expertos en seguridad.<br />Creo que me explicado muy bien y estos saben a quienes me refiero.<br />Es muy interesante como se pueden usar las leyes y los delitos para beneficio propio si o si, demostrando que tanto los de la ley como los del delito son la misma gentuza.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-77701489726056458722011-01-18T08:19:00.939+01:002011-01-18T08:19:00.939+01:00#Jorge Bermúdez
Y no digo que me parezca bien la l...#Jorge Bermúdez<br />Y no digo que me parezca bien la ley, creo que es un error que se considere delito la actividad que realizan estos blogs pero comprendo que hay cosas que tienen su lógica como eso que se comentaba que nadie va por ahí abriendo puertas para demostrar que no son seguras.<br /><br />Se que no todas las vulnerabilidades se pueden detectar en un laboratorio pero también pienso que es hora de que las empresas tomen medidas y empiecen a ver que no todo el mundo va por las buenas y que si sufren algún ataque se tengan que poner las pilas y no seamos nosotros los que las vamos poniendo sobre aviso. Se que no solo las empresas saldrán perjudicadas sino también los usuarios de dichas empresas pero, lamentablemente, parece que aquí las cosas funcionan así, hasta que no se sufren los problemas no se hace nada por resolverlos.fossiehttps://www.blogger.com/profile/04459507874163936269noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-35760707920522140312011-01-16T10:03:11.975+01:002011-01-16T10:03:11.975+01:00# Newlog, # Adama y # Fossie, sin perjuicio del ma...# Newlog, # Adama y # Fossie, sin perjuicio del mayor de los respetos por vuestras opiniones, no puedo estar de acuerdo con vuestra postura. Si he mencionado explicitamente tres blogs sobre seguridad, es porque en ellos he leído artículos que, bajo la nueva ley, reflejarían hechos punibles. Y lo siento mucho, pero encontrar una vulnerabilidad en la seguridad del chat de una conocida red social no creo que sea algo que uno se pueda montar "en su laboratorio". O demostrar que un montón de cámaras de seguridad conectadas a Internet no llevan más que la contraseña de serie.<br /><br />No estoy hablando de niñatos que intentan entrar en un sistema y enarbolan una excusa barata cuando son sorprendidos, sino de gente que voluntariamente expone en público sus hallazgos, con la finalidad de alertar sobre riesgos de seguridad. Y eso no siempre cae bajo la órbita de un contrato.Jorge Bermúdeznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-70476276298761109932011-01-16T01:03:39.660+01:002011-01-16T01:03:39.660+01:00# Alvaro: siento la tardanza en atender los coment...# Alvaro: siento la tardanza en atender los comentarios, pero realmente estoy MUY liado. Resumiendo, el 197.2 habla de datos personales y familiares, pero sigue haciendo referencia a "datos reservados". Hacerse con una lista de nombres no incurre, a mi modo de ver, en ese animo subjetivo de vulneración del secreto. Por eso, la idea que mueve la ley es prescindir de todo ánimo subjetivo al describir la conducta, y ahí es donde se han pasado.Jorge Bermúdeznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-86384110032585857022011-01-13T10:25:10.338+01:002011-01-13T10:25:10.338+01:00Gotera. Patada en la puerta del vecino..encuentras...Gotera. Patada en la puerta del vecino..encuentras el escape y lo arreglas... bien!<br><br><br /><br />Gotera...Patada en la puerta del vecino del 5º-A..uuupss.. no era el del 5º-A....Patada en la puerta del 5º-B.....encuentras el escape y lo arreglas... y te encuentras con la denuncia del vecino del 5ºA....FAIL!<br /><br />das por supuesto que, aunque rompas algo por el camino vas a llegar a un fin "positivo" para el perjudicado...y por tanto este no va a denunciarte..<br /><br><br><br />y si no es asi? o si, aunque el fin sea correcto y encuentres un problema del que se beneficie, aun así, decida denunciarte?<br /><br />no me queda claro.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-87800534071417164782011-01-11T23:09:52.207+01:002011-01-11T23:09:52.207+01:00Hola,
soy un total ignorante en estos temas, así ...Hola,<br /><br />soy un total ignorante en estos temas, así que es probable que no diga más que chorradas, pero no quiero quedarme con la duda... ¿cómo se aplican en la práctica estas leyes? ¿Afectan sólo a ataques de sistemas situados en España o en cualquier parte del mundo? ¿Se persiguen por igual? ¿Tienen aplicación sobre ataques desde fuera del país? ¿Se persiguen igual? ¿Depende de la legislación de cada país de origen?...<br /><br />Aunque el simil del lockpicking me parece válido desde un punto de vista ético, no me lo parece desde el punto de vista de la aplicación real de la ley. Para el caso de lockpicking hay que estar físicamente en el lugar atacado y, si el atacante es detenido antes de huir del país, parece obvio que no hay contradicciones en las leyes a aplicar (aunque seguro que es más complicado que esto). Si consiguiera huir, dependiendo del destino, la cosa ya no es tan sencilla ni siquiera en este caso en el que el delito se ha cometido en el mismo país....<br /><br />Por tanto, en los casos en los que atacas desde un país que no reconoce estos delitos, me parece casi imposible que esta ley pueda servir de nada. ¿Qué se hace en estos casos? ¿Se le declara la guerra a esos países (como si te lanzaran un misil)? ¿Virtual o física?<br /><br />Mi sensación es que esta ley hace que unos 6000 millones de personas puedan atacar impunemente cualquier sistema español, es decir, todos menos los 40 millones de españolitos, que a priori seríamos los más afectados por esos problemas de seguridad. Otro debate sería si también somos a priori los más interesados en explotar esos sistemas ;-).<br /><br />Saludos!!ramandinoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-68250612088417716442011-01-11T21:14:39.443+01:002011-01-11T21:14:39.443+01:00Pues yo estoy totalmente de acuerdo con Newlog. Es...Pues yo estoy totalmente de acuerdo con Newlog. Es que si la ley no fuera así sería jauja. Imagínate que pillan a alguien entrando en un sistema sólo que no llega a pasar todos los sistemas de seguridad. Podría alegar que es solo para ayudarles, aunque su intención fuera hacer daño.<br /><br />La idea del resquicio legal la veo un poco cogida por los pelos aunque como no soy abogado no sé si funcionaría.<br /><br />Un saludo!Adamahttps://www.blogger.com/profile/16563015695835992024noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-42293114017153968472011-01-11T15:28:15.616+01:002011-01-11T15:28:15.616+01:00El comentario de Newlog me parece apropiado, aunqu...El comentario de Newlog me parece apropiado, aunque quizás demasiado simplista, ya que entiendo que hay investigadores de vulnerabilidades software o servicios abiertos al público cuya labor de investigación es la búsqueda de vulnerabilidades, lo que entiendo que iría en contra del código penal... Así que, sin ser lego en la materia, el "cuasicontrato de gestión de negocios ajenos" me parece una buena solución...Joseba Enjutohttps://www.blogger.com/profile/18377573571989848760noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-85220752658413932802011-01-11T11:28:07.239+01:002011-01-11T11:28:07.239+01:00Esta complicado el tema este y, pese a que me joro...Esta complicado el tema este y, pese a que me jorobe, es cierto lo que dice Newlog, nadie va por ahí abriendo las puertas ajenas para verificar que son inseguras :( Supongo que tendremos que acostumbrarnos a hacer pruebas en casa y si descubrimos algo hacerlo público en nuestros blogs pero sin mencionar ninguna aplicación/web/empresa en cuestión y que ya sean las empresas las encargadas de contactar con sus informáticos y ver si tienen ese problema o no.<br /><br />Todo eso esta muy bien pero me parece un paso atrás en cuanto a seguridad ya que "los malos" seguirán haciendo lo mismo y "los buenos" no podrán anticiparse.<br /><br /><br />Sobre lo del "cuasicontrato de gestión de negocios ajenos" (vaya nombrecito!) me ha parecido curioso y la verdad es que estaría interesante poder comparar un fallo de seguridad web con una fuga de agua porque estaría bien encontrar una vulnerabilidad de inyección sql en una web que te de acceso total al sistema y aprovechar dicha vulnerabilidad para corregir el problema y luego pasarle la factura a la empresa ;) Seria un puntazo jejefossiehttps://www.blogger.com/profile/04459507874163936269noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-7994582782799945122011-01-11T10:30:00.442+01:002011-01-11T10:30:00.442+01:00Buenas,
Dejando a parte que me ha parecido genial...Buenas,<br /><br />Dejando a parte que me ha parecido genial el bug que has encontrado en la ley, tengo que decir un par de cosas.<br /><br />Primero de todo, decir que para encontrar nuevas vulnerabilidades no es necesario acceder a sistemas ajenos. Ni mucho menos! Si hay algún experto en seguridad al que le apetezca hacer un test de intrusión gratis, que lo haga en su laboratorio. No creo que sea necesario ir a la empresa 'X' para entrar en su sistema y luego notificárselo.<br /><br />Por otro lado, si algún experto en seguridad está realizando un test de intrusión a una empresa, lo más normal es que haya un contrato de por medio en el que se puedan especificar todos los detalles necesarios.<br /><br />Ahora, si estás hackeando el sistema de una empresa sin su consentimiento... Ese es tu problema y, a mi en particular, no me extrañaría lo más mínimo que te denunciaran. Es más, lo veo normal. Si quieres aprender nuevas técnicas o quieres probar nuevos conceptos, déjate de tonterías y monta tu laboratorio.<br /><br />En mi opinión, esta ley no tiene nada de malo. Si entras en un sistema sin el consentimiento de su propietario, pues evidentemente estás haciendo algo mal! O es que la gente va por la calle con un kit de lock picking abriendo casas para demostrar lo inseguros que son sus cerrojos?<br /><br />Otro tema es que un sistema no tenga ningún tipo de medida de seguridad y accedas a él, pudiendo creer que el acceso es libre. Pero bueno, todo esto son matices que imagino que dependeran del caso, las circumstancias y las acciones realizadas.<br /><br />Saludos y buen artículo!Newloghttp://www.overflowedminds.netnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-44269623328187713672011-01-11T10:15:49.718+01:002011-01-11T10:15:49.718+01:00Excelente post y articulo!Excelente post y articulo!Meryhttps://www.blogger.com/profile/03069872413909565226noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-44957936595131779542011-01-11T09:59:41.978+01:002011-01-11T09:59:41.978+01:00Me ha gustado mucho el post porque se explica de f...Me ha gustado mucho el post porque se explica de forma clara.<br /><br />Enhorabuena :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-20119545871873891662011-01-11T09:46:33.948+01:002011-01-11T09:46:33.948+01:00Muy interesante el artículo, no me había preocupad...Muy interesante el artículo, no me había preocupado tanto la reforma del código hasta que lo he leido.<br /><br />Respecto al "cuasicontrato de gestión de negocios ajenos" no se si uno podría salvarse por ahí. El ejemplo que has puesto perjudica directamente a la persona que sufre la gotera, no se si esa "gotera virtual" afectaría siempre directamente al investigador que denuncia el fallo de seguridad.<br /><br />Dejo también el enlace a los artículos que mencionas:<br /><br />http://noticias.juridicas.com/base_datos/Privado/cc.l4t16.htmlFelipe Molina (@felmoltor)https://www.blogger.com/profile/06825771684215135896noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-61280098971729218972011-01-11T09:16:36.514+01:002011-01-11T09:16:36.514+01:00Buenas, Jorge
Como imagino que estarás pendiente ...Buenas, Jorge<br /><br />Como imagino que estarás pendiente de los comentarios aquí va uno.<br /><br />"Es decir, ciertos usos poco éticos de las técnicas de hacking ya estaban castigados por la ley penal. Pero faltaban por castigar otras muchas formas injustas de acceder a un sistema informático ajeno. Por ejemplo, cosas tan heavies como romper la seguridad de una gran empresa de tarjetas de crédito, y acceder a la lista de nombres de un millón de clientes, no encajaba dentro de ninguno de los delitos contemplados en nuestro Código"<br /><br />¿Y que hay del artículo 197.2 CP? Entiendo que esa práctica encajaría en este artículo, si bien hay que decir que su redacción es un cúmulo de despropósitos y que debiera haber sido revisado ya también de paso en esta última reforma.Álvaro Del Hoyohttps://www.blogger.com/profile/01953024271095733531noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-55948043265568723972011-01-11T08:47:41.619+01:002011-01-11T08:47:41.619+01:00Si personas "acostumbradas" al lenguaje ...Si personas "acostumbradas" al lenguaje jurídico y a las distintas formas de prodecer, tienen dudas sobre la aplicación de la reforma... No pensemos en el grueso de la población, que algunos ni se han enterado.Brixton_Cathttps://www.blogger.com/profile/10183882629744620859noreply@blogger.com