Hackers en apuros (III): A la cárcel por mostrar un bug

Fuente...

jeje, las cosas que se ven en estos días, se ve que McCarty sólo tenía la intención de poner al descubierto la vulnerabilidad, creo que si hubiese deseado hacer algún dalo hubiese tomado medidas necesarias para no dejar rastro.

Por otro lado, ¿Qué hubiese preferido la Universidad?, ¿Que en lugar de que alguien les pusiera al tanto de la vulnerabilidad de sus sistema se hubiera aprovechado de eso para causar daño? para la próxima, mejor no avisarles.

Creo que lo que los hizo sacar espuma por la boca a la gente de la Universidad no fué el hecho de mostrar la vulnerabilidad, sino haberla hecho pública.

Saludos.

Idem.

Los directivos de esa universidad deberían estar rezando para que McCarty vaya a la carcel, ya que si el hombre llega a salir bien de ésta probablemente les tumbe el sistema. Por estúpidos. Y ahí no va a haber ningún rastro incriminatorio.

En mi pueblo le tienen un nombre a ese tipo de actitudes ingratas: "Morder la mano de quien les da de comer".

Saludos.

Realmente me da asco esta actitudes de gente que dirije una facultad, que se suponene que deben actuar con profesionalidad. Encima que les ayudo a encontrar un fallo muy grave, lo meten en cana.

Estan ardidos por que los hicieron quedar mal como universidad

Si no teneis más información que yo, y puesto que la fuente no dice nada más al respecto, a ver si leo bien:


¿Que cojones tiene que ver la universidad en la acusación?

Esto me recuerda al programa de TV de España TNT, amarillista 100%, conclusiones de la nada.

Veamos, en la parte que dice:

Me inagino que la denuncia al FBI provino de la Universidad, ya que ellos tenían los registros, estoy casi seguro de que el FBI necesita pruebas de una acusación de este tipo para tomar el caso, y los únicos que tenían dichas pruebas era la Universidad.

En todo caso, creo que este tipo de situaciones originará que aún cuando alguien allane un sistema en forma "benigna", esto es, sin intencíon de dañar y sólo para sacar a la luz vulnerabilidades, lo hará de forma anónima y sin dejar rastro.

Salduos.

Creo lógico que eso se persiga... es como si forzara la caja fuerte de un banco para demostrar que es vulnerable.

De momento, obtuvo información confidencial de siete personas (no tenía necesidad de hacerlo para demostrar nada) y la envió a un periodista (vete a saber qué podía haber hecho el periodista con eso).

Y eso de que lo hizo sin intención de dañar, estaría por ver... tal vez no encontró nada que le interesase.

Si lo hiciera y avisara a los medios y no tomara el diero, creo que se podría argumentar eso.

Bueno, creo que la información verdadermente crucial no era tanto la de las 7 personas, sino la información sobre la vulnerabilidad.


Ciertamente, pero alguien con la intención de dañar ¿Avisaría a los medios?, ¿Dejaría un rastro de registros tan fácil de seguir?, personalmente creo que no.

Saludos.

Pues creo que si estaría cometiendo un delito, violentar el derecho a la privacidad y confidencialidad de 7 personas y entregarselas a un tercero.

Sería interesante saber más, ¿Acaso él ya habría informado con anterioridad a la universidad? No lo creo, si asi fuera no tendría necesidad de entregar la información anónimamente al periodista.

Me da la impresión de que estaría obteniendo precisamente lo que quiere: notoriedad a partir del escándalo. y en tal caso, su proceder me parece imprudente, descuidado, ingenuo y muchos otros, excepto profesional como correspondería a su trabajo.

Saludos

Ciertamente esta obteniendo notoriedad, y esa probablemente sea la razón por la cual la hizo pública, pero no creo que su intención hubiese sido causar mayor daño, de haber sido esa y no borrar su rastro, entonces le hubisen podido fincar delitos mas graves aún, tal véz lo ideal hubiese sido informar a la universidad en lugar de hacerlo público, pero de ahí a pensar que tuvo mayores intenciones que hacerse publicidad, no creo.

En caso de que en verdad hubiese deseado ocasionar un perjucio mas allá de hacer quedar en evidencia a la universiad, no creo que le hubiesen bastado miserables 7 registros, en ese caso, bien pudo exprimir toda la base de datos y venderla al mejor postor y todo sin dejar rastro.

Así que definitivamente creo que la idea era hacerse publicidad, no cabe duda, pero creo que nada más.

Saludos.

Lo mismo pienso y por eso califico su proceder como ingenuo e imprudente.

Recuerda que el asesinato imprudencial existe como delito y consiste precisamente en causar la muerte a una persona sin deseos de obrar mal, asi pues, seguramente este amigo está siendo procesado por la figura delictiva de violación de la confidencialidad o abuso de confianza o algo similar, independientemente de si existió o no alevosía en su proceder.

Saludos

Cierto, pero creo que la Universidad también se excedión en llevar esto al FBI, por que ahora lo que puede suceder, es que cuando se descubra una vulnelabilidad en sus sistemas, ya no se haga pública, sino que se explote pero ahora sí con intenciones dañinas:

En la mente de un hacker podría estar, ¿Para qué hacer pública una vulnerabilidad si la Universidad lo agradece con demanas y cárcel? mejor la exploto sin dejar rastro.

El periodista no debió hacerla publica como lo hizo, pero tampoco creo que la Universidad debió hacer tanto escándalo al grado de avisar al FBI.

Saludos.

No me gusta para nada tu opinión, no creo que desee notoriedad, en la comunidad TODOS sino es que la mayoría que encuentra una vulnerabilidad en un sistema web o un servidor la publica (obviamente personas éticas, morales que algunas veces son profesionales).

En lo personal hice lo mismo que McCarty. Muchas veces te dicen tus amigos :"no te metas en líos y deja todo cómo está"
pero que sucede que sabes que es un lugar público, con una vulnerabilidad la cual puede causar estragos si alguien de mala gana la encuentra...

¿qué es lo más ético?
AVISAR.

pero ¿qué es lo más produnte?
CALLARTE.

Esto último yo lo hice hace años hasta que de la misma forma que él, por miedo a acusaciónes y acciones legales ante una entidad con mucho poder que pudiera demandarme, hasta que fuera el miedo la publique y lo hice con un Ingeniero que tenía relaciones indirectas con la entidad no con un periodista, creo que ahi estuvo su error....

Así que... Hay que ponerse a ver que no siempre la entidad cuando le reportas el bug te responden, muchas veces te mandan por un tubo, por que como persona no te corresponde decirles su trabajo, para algunos administradores si les das un consejo o les dices algo es como si te acostaras con su esposa para ellos es:"no toques mi red, no toques mi configuración, yo lo hago asi por que asi creo que es seguro"... Pasa algo y lo primero que dicen:"fue el juanker... no sé como le hizo, yo cumpli mi trabajo."


retomando el tema, no creo que su proceder fue ingenuo y descuidado, debido a que su INTERES no era atentar contra el servidor de la universidad, era AVISAR.
Este tipo de acciones se consideran ilegales (incluyendo en mi país) pero eticamente fue correcto lo que hizo, si el hubiera querido hacer algo malo, obviamente ni le hubiera contado a nadie, y hubiera borrado sus rastros...
fue lo MEJOR

Y LO CORRECTO algunas veces tiene una MALA RECOMPENSA.
por mi parte siempre tuve miedo de avisar de una vulnerabilidad a cierta entidad hasta que dejé atrás eso.
Por lo mismo...
Ahora te haces el buen samaritano y te pagan con la carcel.


Si es verdad, lo mismo me pregunté yo hace años, pero cuando una persona tiene ética y sobre todo MORAL, sabe que lo correcto es notificarla, antes de que alguien con conocimientos mayores como para descubrirla mas adelante la explote y si tiene malas intenciones.. les va peor.

Pues el periodista hizo su trabajo xDD...

Vuelvo a no estar a tu favor sobre esa opinion...
más imprudente hubiera sido que él sabiendo de la vulnerabilidad existente la dejará ahí sin avisar,
la publicase
o la explotase para fines delictivos..
Mi punto de vista es de defenderlo, fue correcto.

LO mismo pasó con Adrian Lamo cuando descubrió una vulnerabilidad en The New York Times..
Y muchos otros.

Por lo de hacerse publicidad no creo...
si hubiese querido hacerse publicidad modificaba el sitio y colocaba su Nick como esos script kiddies que existen por ahí...


en fin
un saludo..

A esta universidad me refiero
Concuerdo con Elaux
No tenian por que avisarle al FBI, todavia que les ayuda a proteger los datos de los solicitantes al señalarles el Bug.
A eso me refiero con k estan ardidos.
k clase de persona querra ingresar a una universidad en donde nisiquiera sus errores pueden corregir
P.d.creo que si lo necesitas

Suponeis e imaginais, de momento por ningún lado se mencina que se la universidad la denunciante, si no el FBI.
Como bien os ha señalado nabucco el violar la confidencialidad de los datos personales es un delito y en España muy grave. ¿Tiene que haber denunciante?

Sí, igual que crees que a un tipo robe datos personales protegidos y los envíe a un periodico deben hacerle un estandarte

Pss Eric McCarty tiene mi respeto por tener el valor civil de denunciar el error, ya que cualquier otra persona hubiera aprovechado dicho error.
El nunca robo la informacion, solo obtuvo pruebas.

¿Y quien te dice a tí, que los datos de esas personas, no los obtuvo porque le caían mal o tenía rencillas con ellos?¿Porque entonces publicarlo en un periódico?

Es como si alguien roba 300 millones de un banco y manda una nota anonima a un periodico diciendo que éste tiene fallos de seguridad, se queda la pasta pero su intención era avisar.

Jajajaja viendo las cosas de ese lado tienes algo de razón...
Pero nuestro pequeño debate empezo por:

zaz pues olvidemos eso y volvamos al tema principal.
Aun pienzo que Eric no hizo ningun daño y no tiene por k ir a la carcel

¿Si hubieses visto tus datos privados y personales publicados en un periódico, seguirias pensando que no hizo ningún daño?El tipo cometió un delito y envió su "hazaña" a un periódico para conseguir publicidad y por consiguiente dinero.

Ok me rindo

Bueno, bueno, el jurado ha decidido que el acusado es...

ajusticiable.

Pero a pèsar de todo, si su intención hubiese sido dañar, mas allá de poner en evidencia a la universidad ¿POr qué dejar rastro?, además lo que obtuvo fueron sólo 7 registros de infomación académica, no estados de cuenta bancarios. En fin, tálvez debió avisar a la Universidad de la vulnerabilidad mediante una carta -con acuse de recibo de la misma- y en caso de que no le hayan hecho caso, entoncs sí hacer lo público.

Saludos

Tienes razón Darkhack, no es por hacerse publicidad sin embargo desgraciadamente si existió un delito, bienintencionado, pero delito al fin.


Saludos

Los datos personales, como religion, sexo, idelogía, etc. son más privados que los datos bancarios.
De lo que sabemos a partir de la nota, es que paso los datos de 7, quizá obtuvo los de 1000, además no se sabe si dejo rastro a proposito o por incompetente.

La verdad es que me han decepcionado algunos de los que han posteado aquí a favor de ese cafre... los creía con más principios éticos.

hablo sor-nabuco

http://tinyurl.com/qaja5