Dudas sobre el el hacking ético...

Trollwer · 9 Diciembre 2019, 08:42 AM

Buenas gente!
Me gustaria formularos una pregunta.
En España, si realizas un analisis de vulnerabilidades en algunas webs, servidores...
Encuentras alguna vulnerabilidad, realizas una documentación de este error, y te comunicas con los dueños de dicha página web o servidor para cumunicarles del error.
¿Legalmente pueden tomar medidas contra tí? Hablo a nivel legal, no en un contexto ético de "Yo no le denunciaria por que me ha ayudado"
Un saludo gente!

RainSix · 9 Diciembre 2019, 09:06 AM

Buenas.

Soy de España y yo creo que no tomarían acciones legales. Vaya, les faltaría sentido común. Encima que te ayudan, lo denuncias? No creo que hagan eso.. A no ser que te hayas beneficiado de ese fallo para hacer algo y te pillen, pero si lo has hecho tampoco tendría sentido decirles nada. Pero también he de admitir que me daría mal rollo y desconfiaría si alguien me esta trasteando la web..

Yo hace un tiempo, en la web de mi instituto encontré un pequeño fallo de seguridad el cual encontrando el usuario admin, con un ataque fuerza bruta en el login de wordpress se sacaba fácil la contraseña, y se lo comenté a mi tutor. Me miró sorprendido cuando eso, pero mas allá de eso, no se enfadaron ni nada por el estilo, al contrario.
Pero claro, la situación es diferente.

Un saludo.

Trollwer · 9 Diciembre 2019, 09:12 AM

Un clásico la web del colegio/instituto jajaja
Pero hablo a nivel legal, si hay algun decreto o ley que se pueda usar en "mi" contra.
Un saludo!

RainSix · 9 Diciembre 2019, 09:20 AM

Cita de: Trollwer en 9 Diciembre 2019, 09:12 AM
Un clásico la web del colegio/instituto jajaja
Pero hablo a nivel legal, si hay algun decreto o ley que se pueda usar en "mi" contra.
Un saludo!

Buenas.

Si jajjaja, todo un clásico.

Pues sinceramente yo dejaría un mail anónimo o se lo comentaría a la Guardia Civil y que ellos se pongan en contacto. No sospecharían de ti si les explicas todo con detalle. Ademas, pensarían que eres un suicida poniéndote en contacto directamente con la "ley". De todas formas te dejo un enlace el cual hablan muy bien de este tema, y hay gente que también dan sus opiniones y explican anécdotas y experiencias suyas.

https://www.elladodelmal.com/2008/07/cmo-avisar-de-un-bug-en-una-web.html

Trollwer · 9 Diciembre 2019, 09:21 AM

Gracias!

@XSStringManolo · 9 Diciembre 2019, 18:41 PM

Cómo vas a reportar a la policía que vulneraste la seguridad de un sitio, servidor o aplicación sin permiso? Estamos locos?

Te pueden denunciar si fuerzas la cerradura de la puerta de una casa y se lo dices al dueño? Mira te forcé la cerradura para ver si sé forzarla. xDDD

Es 100% ilegal. Solo puedes hacerlo legalmente en páginas y servicios que tengan un programa de bug hunting y te autoricen a realizar penetraciones. Y ojo, aún teniendo un programa de bug hunting puedes estar cometiendo un delito. Muchos sitios dan guidelines, cuentas especiales y condiciones para realizar este tipo de tests de penetración, si te sales de ellos te puede denunciar. Por ejemplo te pueden prohibir usar un scanner automático o ataques de fuerza bruta ya que esto genera gastos al servidor, consume banda ancha, y hasta podrías tirar un servidor sin querer, cargarte una base de datos importante, y demás. Piensa que puede haber miles de usuarios realizando a la vez tests automáticos perjuicando el uso del sitio a sus clientes probocando un DoS no intencionado que podría acabar en una sentencia que te haga subsanar el coste. Dinero perdido, factura de un informático para que les "arregle" o se encarge del servidor caído, gasto energético, reputación del sitio, costes a clientes...

Si lo reportas te aconsejo organizar bien el mensaje, tus intenciones, todo lo que hiciste, lo que encontraste, como lo encontraste, los riesgos que supone y sobre todo COMO ARREGLARLO. Para que se interprete que el objetivo del test de penetración es mejorar la seguridad del sitio, y no que eres un chabal trasteando, aunque sea para aprender xD.
Puedes incluir un script de ejemplo para solución al problema, algún link que lo explique en detalle, un video, etc. Ten en cuenta que tienen logs de todo lo que hiciste, asique no mientas, porque podrían pensar que tienes otras intenciones.

Si es una persona razonable te dará un gracias. Pero eso no lo sabes.

Te dejo parte de uno de los últimos reportes que hice por si te ayuda. Siempre suelo usar este formato para reportar un par de bugs concretos. Para bugs que afectan a muchas partes de la aplicación lo redacto distinto. Lo subo a pastebin que el waf del foro bloquea scripts. Reporte

RainSix · 10 Diciembre 2019, 08:08 AM

Cita de: @?0!,5^34 en 9 Diciembre 2019, 18:41 PM
Cómo vas a reportar a la policía que vulneraste la seguridad de un sitio, servidor o aplicación sin permiso? Estamos locos?

Te pueden denunciar si fuerzas la cerradura de la puerta de una casa y se lo dices al dueño?

Mi tío era jefe de policía hasta hace unos meses ya se jubiló. Y le pregunté acerca de esto, y me dijo que lo mejor es o reportarlo con mensaje anónimo o a la policía.

Cita de: @?0!,5^34 en 9 Diciembre 2019, 18:41 PM

Mira te forcé la cerradura para ver si sé forzarla. xDDD

Son temas distintos. Primero que prefiero que me entren en la pagina web que en casa no se tu... Además si te pillan abriendo una cerradura ya la has cagado, si te pillan intentando vulnerar un sitio web, si no consigues nada no te van a hacer ni puto caso, creo que se nota que pesa mas de las dos situaciones, no?

Estamos ante dos situaciones muy diferentes. Estamos hablando de que en una existe trabajo legal, cualificado y remunerado, que se llaman cazador de bugs o cazarrecompensas de bugs informáticos y dedicarte a abrir cerraduras de casas ajenas no es legal. Todo se basa en la intención con la que vayas. Alguien no te va a forzar la cerradura para ver si sabe forzarla o para ver si se puede forzar. Si quiere forzartela es por algo.

ace99 · 10 Diciembre 2019, 12:01 PM

Cita de: RainSix en 10 Diciembre 2019, 08:08 AM

Son temas distintos. Primero que prefiero que me entren en la pagina web que en casa no se tu...

Entiendo tu razonamiento, solo decirte que son temas distintos pero también depende de la situación, pues estoy seguro que habrá gente a la que le importe más que entren en su web que en su casa.
Imaginate una persona cuyo sustento dependa única y exclusivamente de una web y que si esa web es vulnerada (ya sea de manera altruista o no) adquiriera una fama pésima y perdiese todos sus clientes/usuarios. Entiendo que el hecho de que entren en tu casa puede asustar más (otra vez repito depende de la persona) pero en este caso en concreto e hipotético creado por mi

sería peor que burlasen la seguridad de tu web.

Mi humilde consejo (sin saber demasiado), tener mucho cuidado pues hay gente muy desagradecida.

RainSix · 10 Diciembre 2019, 20:52 PM

Cita de: ace99 en 10 Diciembre 2019, 12:01 PM
Entiendo tu razonamiento, solo decirte que son temas distintos pero también depende de la situación, pues estoy seguro que habrá gente a la que le importe más que entren en su web que en su casa.
Imaginate una persona cuyo sustento dependa única y exclusivamente de una web y que si esa web es vulnerada (ya sea de manera altruista o no) adquiriera una fama pésima y perdiese todos sus clientes/usuarios. Entiendo que el hecho de que entren en tu casa puede asustar más (otra vez repito depende de la persona) pero en este caso en concreto e hipotético creado por mi sería peor que burlasen la seguridad de tu web.

Mi humilde consejo (sin saber demasiado), tener mucho cuidado pues hay gente muy desagradecida.

Es un caso hipotético, y todo este tema depende de muchos factores. Lo mejor es ser cuidadoso y pensar muy bien el mensaje, si puede ser enviándolo anonimamente.