Sugerencia de sección de torneos hackers

Iniciado por crazykenny, 14 Febrero 2014, 12:09 PM

0 Miembros y 1 Visitante están viendo este tema.

crazykenny

Hola; el caso es que, bueno, hace relativamente poco (y, por puro aburrimiento, la verdad) vi una cosa interesante por internet, en la cual algunas empresas tipo Google ofrecian una cantidad de varios miles de dolares (minimo) a la gente por encontrar fallos nuevos dentro de sus diversas aplicaciones.
Entonces, la idea que me gustaria proponer seria, bueno, comentar un poco la posibilidad de crear una sección o un tema con chincheta sobre eventos legales tipo torneos para hackers en los cuales la gente ha de acceder en X tiempo a ciertos sistemas, o, por su defecto, cosas de estas relacionadas en las que ofrecen dinero por encontrar fallos en aplicaciones.
No se, y, francamente, yo no dispongo de la experiencia necesaria y/o demas conocimientos para acceder a este tipo de cosas, pero, por otra parte, quizas haya mas gente por el foro que pueda estar interesa en este tipo de cosas, no se, vamos, creo yo.
Ademas, esto que comento creo recordar que no es nada ilegal (u algo asi), y mas teniendo en cuenta que empresas tipo Google ofrecen cantidades bastante altas de dinero (varias decenas de miles de dolares minimo) a cambio de encontrar fallos en sus aplicaciones.
No se, ¿os parece bien esta idea que comento en este tema, o bien seria "inapropiada" por motivos variados?.
Muchas gracias por vuestra atencion.
Saludos.
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos.
Se responsable, consecuente y da ejemplo.
http://informaticayotrostemas.blogspot.com.es/2013/12/situacion-de-la-educacion-actual-en.html
https://informaticayotrostemas.blogspot.com/

skapunky

Buscar fallos de seguridad y reportarlos a una empresa no es buena idea. Primero de todo porque aunque no se haga de mala fé, en la intrusion o manipulación de datos puedes eliminar información importante con sus consecuencias.

Segundo, puedes sin querer perjudicar a la seguridad de la empresa rebajando su proteccion, por lo que otros atacantes con muy malas intentciones puedes casualmente aprovecharse.

Tercero, en ésta vida exíste lo que se llama libertad, y la libertad de uno acaba donde empieza la de otro. Por regla en internet se debería pensar lo mismo, la libertad de una red y lo que ocurre en ella acaba donde empieza otra red. Así que nada de jugar a los mercenarios como hace mucha gente.

No es raro ver gente que cuenta que ha recibido una denuncia o no han recibido una compensación económica por encontrar algún fallo sin permíso de la empresa afectada,  pues normal.
Killtrojan Syslog v1.44: ENTRAR

NikNitro!

Pues eso mismo es lo que (según creo) dice crazykenny... Que cuándo las empresas decidan hacer eventos de este tipo, se avise por el hilo correspondiente. Un hilo en el que esté prohibido comentar si no es para avisar de algún evento así.
Yo lo veo bien aunque a priori no vaya a poder hacer nada.

Saludos ;)

crazykenny

Bueno, pues, muchas gracias por vuestras respuestas, y, con respecto a lo que has comentado, skapunky;
Cita de: skapunky en 16 Febrero 2014, 12:02 PM
Buscar fallos de seguridad y reportarlos a una empresa no es buena idea. Primero de todo porque aunque no se haga de mala fé, en la intrusion o manipulación de datos puedes eliminar información importante con sus consecuencias.

Segundo, puedes sin querer perjudicar a la seguridad de la empresa rebajando su proteccion, por lo que otros atacantes con muy malas intentciones puedes casualmente aprovecharse.

Tercero, en ésta vida exíste lo que se llama libertad, y la libertad de uno acaba donde empieza la de otro. Por regla en internet se debería pensar lo mismo, la libertad de una red y lo que ocurre en ella acaba donde empieza otra red. Así que nada de jugar a los mercenarios como hace mucha gente.

No es raro ver gente que cuenta que ha recibido una denuncia o no han recibido una compensación económica por encontrar algún fallo sin permíso de la empresa afectada,  pues normal.
Entiendo perfectamente lo que quieres decir, y, bueno, este tema no lo he abierto con la intentencion de perjudicar y/o realizar ciertas acciones que puedan perjudicar a otros
Por otra parte, este tema lo comento por ciertos eventos que creo haber visto a traves de Google en el cual, y, si mi memoria no me falla, creo que te llegaban a pagar 100.000 dolares por encontrar fallos, pero, por lo que entendi (o haber entendido), creo que se habian de encontrar en "entornos controlados"; vamos, en una especie  de eventos (u algo asi).
Por otra parte, y, ya que estamos, creo que tambien seria interesante el mero hecho de, bueno, poder facilitar informacion sobre conferencias hacker y eventos relacionados, pero, obviamente, tambien lo comento en temas hacker que no tengan como objetivo perjudicar a nadie en ningun sentido y en cosas como las explicadas en este mensaje.
A ver, entiendo que a mas de uno le puedan (o no) interesar estas cosas independientemente de su nivel, pero que vamos, tambien creo que esto que comento es una posibilidad para estar informado en cuanto a tematica variada sobre hacking (y mas sobre "hacking etico" por el hecho de que mas de uno tiene una idea equivocada de lo que es un hacker), y demas cosas, aunque ya lo digo; esto es solo una idea.
Muchas gracias por vuestra atencion.
Saludos.
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos.
Se responsable, consecuente y da ejemplo.
http://informaticayotrostemas.blogspot.com.es/2013/12/situacion-de-la-educacion-actual-en.html
https://informaticayotrostemas.blogspot.com/

dRak0

Cita de: skapunky en 16 Febrero 2014, 12:02 PM
Buscar fallos de seguridad y reportarlos a una empresa no es buena idea. Primero de todo porque aunque no se haga de mala fé, en la intrusion o manipulación de datos puedes eliminar información importante con sus consecuencias.

Segundo, puedes sin querer perjudicar a la seguridad de la empresa rebajando su proteccion, por lo que otros atacantes con muy malas intentciones puedes casualmente aprovecharse.

Tercero, en ésta vida exíste lo que se llama libertad, y la libertad de uno acaba donde empieza la de otro. Por regla en internet se debería pensar lo mismo, la libertad de una red y lo que ocurre en ella acaba donde empieza otra red. Así que nada de jugar a los mercenarios como hace mucha gente.

No es raro ver gente que cuenta que ha recibido una denuncia o no han recibido una compensación económica por encontrar algún fallo sin permíso de la empresa afectada,  pues normal.

Perdon pero tranquilamente podes reportar el fallo a la empresa misma , sin hacerlo publico,con los detalles para poder arreglarlo. Luego que lo arreglen , se hace publico el fallo que habia.

Con respecto a "se puede eliminar informacion" , no creo que alguien que busque fallos en alguna empresa sea tan tonto para no saber lo que esta realizando. Ademas , se podria contactar a la empresa y pedir permiso.Ellos podrian hacer un backup por las dudas y dar el ok cuando se puede intentar acceder. Se beneficiarian bastante ya que tendrian a mucha gente trabajando en la seguridad de su aplicacion(Como hace facebook) pagando casi nada comparado a lo que deberian pagar si contratan a esa gente. Ademas solo pagan si se encuentra algo.

Para cerrar el tema, no se necesita una sección de esto.Simplemente busca en la red que hay varias empresas que te permiten realizar esto y pagan(ej Facebook , Google). Hace poco a un brasilero le pagaron 33k usd porq encontro una falla en facebook (RCE) , que a mi criterio , no es nada lo que le dieron , comparado a lo que le hubiesen dado en el mercado negro.

NikNitro!

Cita de: __libc_start_main en 18 Febrero 2014, 15:47 PM
Perdon pero tranquilamente podes reportar el fallo a la empresa misma

La mayoría de empresas te dará largas "riendose" de ti... Pero como hagas algo y les molestes no dudaran en denunciar. Hay mucho inútil suelto...

Salud ;)

skapunky

@__libc_start_main

Una empresa no va a hacer backups solo porque alguien quiera probar la seguridad de su red. Por otro lado si que hay riesgo de perdida de datos o problemas que pueden derivarse de las pruebas.

Cuando una empresa realiza una auditoria se hace un pliego de condiciones, y uno de los puntos es la información ya que ésta no debe ser dañada. Para ello se harán backups o se evitará realizar ciertas pruebas.

Lo de pagar por la seguridad, lo puede hacer google o facebook, pero una empresa dedicada en otro sector no tiene ningún interés en ello. Cada empresa piensa y es diferente.
Killtrojan Syslog v1.44: ENTRAR

Saberuneko

Cita de: crazykenny en 16 Febrero 2014, 14:19 PM
Bueno, pues, muchas gracias por vuestras respuestas, y, con respecto a lo que has comentado, skapunky;Entiendo perfectamente lo que quieres decir, y, bueno, este tema no lo he abierto con la intentencion de perjudicar y/o realizar ciertas acciones que puedan perjudicar a otros
Por otra parte, este tema lo comento por ciertos eventos que creo haber visto a traves de Google en el cual, y, si mi memoria no me falla, creo que te llegaban a pagar 100.000 dolares por encontrar fallos, pero, por lo que entendí (o haber entendido), creo que se habian de encontrar en "entornos controlados"; vamos, en una especie de eventos (u algo asi).
Por otra parte, y, ya que estamos, creo que también sería interesante el mero hecho de, bueno, poder facilitar informacion sobre conferencias hacker y eventos relacionados, pero, obviamente, tambien lo comento en temas hacker que no tengan como objetivo perjudicar a nadie en ningun sentido y en cosas como las explicadas en este mensaje.
A ver, entiendo que a mas de uno le puedan (o no) interesar estas cosas independientemente de su nivel, pero que vamos, tambien creo que esto que comento es una posibilidad para estar informado en cuanto a tematica variada sobre hacking (y mas sobre "hacking etico" por el hecho de que mas de uno tiene una idea equivocada de lo que es un hacker), y demas cosas, aunque ya lo digo; esto es solo una idea.
Muchas gracias por vuestra atención.
Saludos.

Randomize


crazykenny

Cita de: Randomize en 27 Febrero 2014, 20:25 PM
Yo es que los torneos hackers...






Ya veo, y curiosa tu respuesta, Randomize.
Y, la verdad, acostumbran a hacerme gracia tus respuestas, y, aunque a veces pueden ser algo molestas para algunos y/o para quien escribe el tema (cosa no digo con mala intencion), pues, francamente, me gusta tu sentido del humor.
Muchas gracias por vuestra atencion.
Saludos.
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos.
Se responsable, consecuente y da ejemplo.
http://informaticayotrostemas.blogspot.com.es/2013/12/situacion-de-la-educacion-actual-en.html
https://informaticayotrostemas.blogspot.com/