Me he saltado la protección de unos PDFs protegidos (no son PDFs con clave)

Iniciado por siwosx, 31 Mayo 2021, 14:34 PM

0 Miembros y 1 Visitante están viendo este tema.

siwosx

Hola.

Soy consultor de desarrollo de software. Hace poco, por un tema personal, estaba apuntado a una academia que para enviarnos la documentación, usan un sistema que cada vez que quieres abrir un PDF se comprueba que tienes permiso (que has pagado la cuota mensual de la academia). Los PDF están cifrados y solo se pueden abrir con un visor gratuito que te proporcionan. Si se intentan ver con un visor PDF normal te sale una imagen que te dice que está protegido.

Ahora viene la cuestión.
He conseguido saltarme la protección de los PDF para evitar tener que usar su visor y poder seguir viéndolos/imprimiéndolos sin pagar la cuota de la academia. Este software de protección no pertenece a la academia, es de una empresa española que entre otras cosas ofrece este servicio de protección de documentos.

Yo no quiero hacer nada ilegal, ni voy a publicar cómo lo he conseguido. He visto en varios foros que hay gente que quiere saltarse la protección.

Me gustaría saber como de legal es que yo pida una retribución económica a la empresa. No quiero que se piense que es un soborno o una amenaza. La idea es hacerles ver que yo, como aficionado a la seguridad informática, si he podido crear un software para saltarme su protección, cualquier profesional de la seguridad podrá hacerlo y puede que con peores intenciones que las mías.

En la retribución que quiero pedirles yo podría firmar un acuerdo para no publicar mi herramienta que invalida su protección. También les daría la herramienta y les aportaría posibles soluciones al fallo de seguridad

¿Lo que digo es legal y moral? ¿Cómo lo veis?

Gracias a todos y un saludo.

el-brujo

CitarMe gustaría saber como de legal es que yo pida una retribución económica a la empresa.

El dinero lo cambia todo.... Además muy difícil acordar un precio "justo" de algo de una auditoria que ellos no han pedido. Suena más a soborno o amenaza jeje

Si quieres sacar algún beneficio económico de reportar la vulnerabilidad lo complica bastante, si implemente quieres que te hagan algo de caso pues mandar un e-mail sería lo más sensato y esperar como reaccionan (cuál es su respuesta). Si no responden puedes insistir, si te ignoran del todo o te responden encima de malas maneras (suele suceder) puedes incluso publicar la herramienta y explicar lo sucedido, pero entonces no te enfades si te demandan xD

Realmente proteger un documento no es tan fácil, siempre hay alguna manera de copiar el texto, sea simplemente haciendo una foto y usando reconocimiento OCR, por ejemplo.

Hace ya bastantes años que es fácil desproteger un PDF que no tiene permisos para imprimir y/o copiar, mandándolo a una impresora virtual del navegador, por ejemplo:

Desproteger y desbloquear un archivo PDF
https://blog.elhacker.net/2015/02/desproteger-y-desbloquear-archivos-pdf-sin-programas.html

Danielㅤ

Hola, podrías enviar un email comentandoles tu descubrimiento, que has creado una herramienta para saltar sus protecciones, es recomendable que también le envíes un video de demostración para que comprueben que lo que les decís es cierto. En el email le podes decir que querés una ayuda económica a cambio de que les digas como lo has logrado, en cuanto a enviarles la herramienta no creo que les importe mucho, lo que a ellos les importa es saber donde tienen el o los bugs para poder corregirlos.

Ahora ellos en todo caso lo tomarán como una gratificación más que una ayuda o retribución económica.
Ahora hay que ver que dicen ellos, puede que no les importe mucho o directamente no les importe para nada, pero ten cuidado en decirles como lo hiciste no vaya ser que después no te envíen el dinero.

Ahora... en el caso que a esa gente no les importe o no quieran darte dinero, lo que harían algunas personas en esa situación sería vender la herramienta en algún sitio web o en la deep web para que por supuesto algún interesado la compre, pero obviamente esto además de no ser ético, también es ilegal.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

siwosx

Gracias por vuestras respuestas.

Lo que creo que voy a hacer es contactar con ellos para ver si tienen interés en el problema. Y a partir de ahí ver los siguientes pasos.

Puedo grabar un vídeo, pero en realidad creo les "impresionará" más ver que me dan un PDF protegido y yo les devolvería en muy poco tiempo una versión del PDF que se puede imprimir sin problemas y que tiene el texto buscable, es decir, que no son capturas de pantalla.

Si luego quieren que hablemos de algún tipo de compensación por mí no habría problema en facturarles, que puedo hacerlo legalmente.

Lo que tengo claro es que no voy a hacer nada ilegal o inmoral. Si no les interesa en agujero de seguridad, la cosa se quedará ahí. No creo que yo sea el único ni el primero en en

Saludos

Machacador

Cita de: siwosx en  1 Junio 2021, 09:59 AM

Lo que tengo claro es que no voy a hacer nada ilegal o inmoral. Si no les interesa en agujero de seguridad, la cosa se quedará ahí. No creo que yo sea el único ni el primero en en


La cuestión es que ellos no te contrataron a ti para buscarle agujeros a su asunto... tu actuaste por cuenta propia violando algo ajeno y allí está el inconveniente... y como esto no fue una casualidad de alguien sin arte ni parte, sino que tu eres un usuario interesado... o sea...

Suerte.

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

Danielㅤ

Cita de: Machacador en  1 Junio 2021, 15:57 PM
La cuestión es que ellos no te contrataron a ti para buscarle agujeros a su asunto... tu actuaste por cuenta propia violando algo ajeno y allí está el inconveniente... y como esto no fue una casualidad de alguien sin arte ni parte, sino que tu eres un usuario interesado... o sea...

Suerte.

:rolleyes: :o :rolleyes:

Claro eso también puede pasar, lo pueden tomar como un tipo de extorsión, porque vos les vas a comentar que sabes cómo saltar/violar las medidas de seguridad que ellos brindan y que les estás pidiendo dinero a cambio para que les digas como lo hiciste así puedan saber dónde tienen su o sus bugs y corregirlos, pero ellos al saber que vos tenés algo que los puede perjudicar, pueden no querer acceder a tu pedido económico, ya que no lo estarías haciendo por ayudarlos ni tampoco sin ánimos de lucro, al contrario les pedís dinero a cambio e incluso hasta creaste una herramienta para saltarte su seguridad, que ellos pueden pensar que si no te dan el dinero, vos en venganza la podes compartir y aunque no se los digas, pueden pensar eso.

Es algo parecido al Modus operandi de los Ransomware, que cifran archivos ajenos y después te piden dinero a cambio para que recuperes tus archivos, aquí es algo parecido, vos tenés algo de ellos que es una vulnerabilidad descubierta y les pedís dinero a cambio para decirles como solucionarla, y con el hecho que incluso has creado un software para hacer ese trabajo, más van a pensar que podes compartir o vender ese programa.

Vos decís que no queres hacer nada ilegal, pero el pedirles dinero es anti ético y haber creado una herramienta para violar, saltar y burlar su seguridad es ilegal.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

siwosx

Te aseguro que el haber creado la herramienta no es ilegal. Si la hubiera publicado sería discutible, pero ya he dejado claro mis intenciones. Lo de pedir dinero por algo que quizás les interese no es anti-ético porque no hay un "o sino ...". Yo les ofrezco un servicio que creo que les puede venir bien y ellos deciden si lo quieren o no. Si no lo quieren, todos nos quedaremos igual.

Un ransomware te crea un problema y luego te pide dinero para resolverlo. Yo no he creado el agujero de seguridad, yo lo he encontrado y seguramente más gente lo haya hecho porque lo he sacado yo sin ser un experto en seguridad.

Supongo que lo que dices es opinión y como tal la respeto, aunque no la comparto.

EdePC

Es cosa de ir a su Web y leerse los términos de servicio, algunos suelen ser muy estrictos por ejemplo:

Citar- Intentar descifrar, descomponer o realizar ingeniería a la inversa de cualquier software que consista o haga parte de los nuestro servicios .

- Sondear, escanear o probar la vulnerabilidad de cualquier sistema o red.

- Violar o burlar de otra manera las medidas de seguridad o autenticación, invadir la privacidad de otros usuarios y buscar contraseñas de acceso y los datos privados, así como modificar los archivos de otros usuarios, sin la autorización previa.

También podrías buscar igualmente si tienen algún sistema de recompensas, beta tester, bug reporting, o algo relacionado, si es así, entonces puedes comunicarte con ellos bajo ese contexto.

Danielㅤ

Cita de: siwosx en  1 Junio 2021, 17:18 PM
Te aseguro que el haber creado la herramienta no es ilegal. Si la hubiera publicado sería discutible, pero ya he dejado claro mis intenciones. Lo de pedir dinero por algo que quizás les interese no es anti-ético porque no hay un "o sino ...". Yo les ofrezco un servicio que creo que les puede venir bien y ellos deciden si lo quieren o no. Si no lo quieren, todos nos quedaremos igual.

Un ransomware te crea un problema y luego te pide dinero para resolverlo. Yo no he creado el agujero de seguridad, yo lo he encontrado y seguramente más gente lo haya hecho porque lo he sacado yo sin ser un experto en seguridad.

Supongo que lo que dices es opinión y como tal la respeto, aunque no la comparto.

Qué pasaría si tú PC fuese comprometida/hackeada y te robarían tu herramienta para hacerla publica? Supongamos que el hacker la comparte y las personas que vos querés hacer negocio se enteran, a quien crees que le harán problemas? A quien crees que van a buscar? Al hacker? Si el hacker no creo esa herramienta, el creador fuiste vos y esa gente va a buscar al autor/creador de ese software y si a vos te la robaron tendrías que hacerte responsable por haberla creado.

Además tú software es una herramienta que entra en la rama de Hacking tool (herramienta de hackeo) y es considerada como un tipo de malware.

En cuanto a lo otro sí es anti-etico porque pedís dinero a cambio sin intenciones alguna de ayudar desinteresadamente a esas personas, y no, no es un servicio porque no es algo propio tuyo, si bien el descubrimiento es tuyo, pero no el software de protección, además como dijo el compañero Machacador ellos no te pidieron ni te dieron permiso explicito de hacer una revisión de vulnerabilidades en su software, vos lo hiciste por tu propia cuenta.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

Xyzed

Hola.

Cita de: Machacador en  1 Junio 2021, 15:57 PM
La cuestión es que ellos no te contrataron a ti para buscarle agujeros a su asunto... tu actuaste por cuenta propia violando algo ajeno y allí está el inconveniente.

Tiene razón @Machacador.
Depende de la organización/empresa, cada una tiene su gente y aunque le reportes el incidente, hay una gran probabilidad de que te ignoren indirectamente. Tomarán cartas en el asunto pero de forma interna y ya.

Por eso es importante pensar a fondo siempre antes de actuar, eso me hace recordar a una frase que leí en alguna firma de aquí: "nunca digas TODO lo que piensas, ni enseñes TODO lo que sabes". Porque puedes llevarte la mala pasada de redactar un mensaje especificando y ser completamente ignorado.

Saludos.
...