23 meneos
74 clics
Es detenido tras informar responsablemente de un fallo de seguridad [ENG]
Un investigador en seguridad informática encontró un fallo que dejaba accesibles datos de pacientes el pasado febrero, tras comunicarlo de manera privada y esperar a que se resolviese, lo publicó en internet. Hace pocos días el FBI entró en su casa armado para llevárselo detenido ya que una de las compañías afectadas le ha denunciado.
|
comentarios cerrados
Contarle al mundo en tu blog cómo has hackeado a fulano y a mengano y que tienen puesto de password de la base de datos las credenciales por defecto... quizá no es la mejor idea de "informar responsablemente".
No estamos hablando de que hayas encontrado un fallo en un software y lo hayas publicado en full-disclosure saltándote cualquier tipo de publicación resposable; que lo más que va a pasar es que alguien se cabreará. Hablamos de que has encontrado un fallo en una implementación concreta de un sistema, y que se lo hayas contado o no, luego has contado públicamente cómo lo has explotado. Cuando haces eso la gente se cabrea. Incluso aunque no lo publiques en tu blog, mucha gente se cabrea igual y algunos amenazarán con denunciarte.
#2 si ha estas alturas de la evolución de Internet te crees lo que digan los medios, mal vas.
La correduría de seguros tiene dos puertas. Una de acceso general y otra trasera en el patio. Tú necesitas, por pone un caso, que por las noches la empresa de limpieza entre a limpiar la cocina de la oficina pero no quieres darle una llave de tu puerta principal. Así que en secreto (security through obscurity) les dejas acceso por el patio, desde donde en principio sólo pueden acceder a limpiar la cocina, que es el único sitio donde dejas sin conectar la alarma.
Sin embargo, cuando un día vas al trabajo a las 9 de la mañana, abres la puerta y te encuentras que en tu despacho hay sentado un tipo que ha entrado en tu oficina por la noche y que viene a informarte muy responsablemente que:
1. Ha descubierto que la puerta trasera del patio estaba abierta
2. Ha entrado a la cocina a hacerse un café
3. Ya que estaba ha probado a ver si el pin de la alarma era 1234
4. Ha desactivado la alarma porque el pin era 1234
5. Y una vez que estaba desactivada ha ido al archivo de clientes (que no tenía llave) se ha hecho unas fotocopias del mismo y que de paso ha añadido algunos registros "para probar".
Pero la cosa no queda ahí, después de contártelo, se va a su blog y le cuenta a todo el que tenga interés en leerlo que "SEGUROS HIPNOSAPO" deja la puerta trasera del patio abierta por las noches, que el pin de la alarma era 1234, que el archivo de clientes no tenía llave, que ha tenido acceso al mismo y que lo ha modificado ligeramente.
Según tú la actuación de esta persona es impecable. Según yo lo veo, si lo que quieres es hacer una actuación responsable y te encuentras en un caso así, no deberías ir mucho más allá de informar del primer fallo de seguridad que encuentras. ¿Qué ha sido? ¿Has encontrado credenciales por defecto en acceso al SGBD en su software? Lo reportas y sigues un proceso de difusión coordinado con él. Nada de contar en blogs que has accedido con esas credenciales, nada de capturas de pantalla donde se ve que tienes acceso a la base de datos, nada de "mira como puedo insertar datos en la base de datos", etc.
1. Es detenido tras acceder a historiales médicos aprocechando un fallo de seguridad [ENG]
2. Es detenido tras publicar en Internet un fallo de seguridad que permitía acceder a historiales médicos [ENG]
Si se hubiese limitado a a "informar responsablemente" no le hubiese pasado. Probablemente.
Pero a esta gente no le molesta que alguien entre en su servidor. Seguro que si hubiese entrado hubiese robado lo que le hubiese dado la gana y después hubiese extorsionado a la empresa por dinero, todo se habría solucionado sin enterarse nadie de nada, pero a esta gente lo que le molesta es que se sepa que son unos ineptos.
De hecho, el original es diferente: Armed FBI agents raid home of researcher who found unsecured patient data
Ese titular va a la raíz, que es el acceso a la información privada.
Y el subtítulo lo remata:
Prosecutors allegedly say he exceeded authorization in viewing unsecured FTP server.
El acceso a la información privada en el servidor es definitivamente el motivo de la detención.
Algo que se explica en la misma noticia:
In a blog post of his own, Shafer later discussed the FTP lapse and a separate Eaglesoft vulnerability involving hard-coded database credentials.
The FBI agent reportedly told Shafer that Patterson Dental, a parent company of Eaglesoft, was claiming Shafer had exceeded authorized access when viewing the publicly available data.
La "notificación responsable no fue de hecho lo que ha provocó las acciones del FBI sino un artículo en su blog explicando detalles técnicos del servidor que implicaban el acceso potencial a información sensible.
Han ido a por él tras el artículo un artículo en su blog que es prueba circunstancial del acceso a esa información privada.
Pero te repito lo mismo que a @hipnosapo, lo que ha hecho esta persona está muy lejos de lo que se entiende por responsible disclosure. Esta persona ha hackeado un sistema y lo ha contado en su blog con capturas de pantalla ejemplificantes bajo su nombre y apellidos. Ahora lo han trincado. Y luego vendrán las lágrimas. Que queréis mezclar todo en uno, perfecto.
Pero son dos acciones totalmente independientes. Para que nos aclaremos más: una cosa es que yo encuentre un fallo en Wordpress y otra cosa es que con el fallo reviente wordpress.com para demostrar lo bueno que soy, lo bien que funciona el fallo que he encontrado y lo mal que lo hacen ellos. Y no contento, lo cuento en mi blog.
Pero como ya he dicho no les molesta que alguien entre en su servidor, les molesta la mala publicidad.
Ahora que se jodan, se ha descubierto el error y lo que hacen si alguien quiere informar sobre él. Ojalá les cueste mucho dinero.
El software fulanito tiene un overflow en tal cadena, el software menganito una inyección de SQL cuando recibe tal parámetro desde usuario y el de antoñito tiene una condición de carrera que permite evadir un proceso de autenticación. Eso pasa todos los días y no todas las publicaciones que se hacen son responsables y las que se hacen a las malas, tampoco pasa nada. Incluso Google lo hace a las malas cuando el fabricante pasa. Y a nadie le alarma.
Pero vuelvo a decirte, eso es una cosa. Y otra cosa muy diferente es que luego tú llegues y con el bug que has encontrado te hagas un exploit y accedas a los sistemas del fabricante (o a un tercero) para demostrar lo listo que eres. Y no contento con ello, además lo cuelgues en tu blog.
Son dos acciones totalmente independientes. Por la primera, como mucho, alguien te va a insultar y acordarse de la madre que te parió. Por la segunda, más cuando firmas con tu nombre y apellidos, tienes papeletas para acabar ante un juez.
Y si estás en un modelo SaaS tienes que tener mucho cuidado con qué pruebas y cómo lo pruebas. No es lo mismo demostrar una vulnerabilidad accediendo a datos propios de tu usuario, para verificar la existencia del fallo, que hacerlo a datos de terceros. Y cuando haces el disclosure no es lo mismo decir que PEPE tiene una inyección SQL en sus sistema, que la has descubierto y que tiene CVE-2016-0101 ... que poner un vídeo de cómo has hackeado a PEPE colgado en youtube.
Esa es la alternativa. Los clientes tienen derecho a saber a quien contratan, sobre todo, cuando les dan tiempo a que solucionen el problema.
Si seguimos con el ejemplo "tonto" de las llaves y la alarma. El fallo de seguridad es dejar la puerta del patio abierta. Y si hago una publicación responsable informo de ese fallo a la empresa, me coordino con ella y cuando está resuelto publicamos un advisory diciendo "seguros pepe se deja la puerta del patio abierta por las noches". Le asignamos un CVE, lo difundimos y contamos que la puerta ya está cerrada. Fin.
Si yo, aprovechando que sé que la puerta del patio está abierta, entro y me dedico a acceder a información privada, manipularla, buscar otros fallos internos del sistema, etc. No tiene nada que ver con lo primero. Estoy hackeando el sistema, estoy sacando información y si me pillan me pueden empapelar. Y si además lo publico en un blog con detalles, tengo todas las papeletas.
Por enésima vez: una cosa es la investigación de vulnerabilidades que deriva en el descubrimiento de un bug y otra, bien distinta, es la explotación de la vulnerabilidad en un sistema ajeno tras el descubrimiento del bug. Y recalco, si para investigar algo tengo que joder el sistema a un tercero, y no tengo su consentimiento, hay que andar con muchísimo ojo. O hacerlo igualmente y aceptar a las consecuencias.
Pero vamos, todo el que se dedica a esto sabe dónde está la línea y sabes que si la pisas (o te la saltas) te expones. Puedes hacerlo o no hacerlo. Es decisión de cada uno.
Y en última instancia si eres un kiddie que va con la recortada disparando a lo que se mueve y te trincan... pues qué quieres que te diga. ¿Es una pena? Pues sí, porque probablemente al que trincan sea el que menos daño hace... pero responsabilizarte de lo que haces es lo menos que debes hacer.
Yo solo te he puesto una noticia, objetiva, tú quieres que todos pensemos que tu opinión es la verdad. El proceso de responsible disclosure no tiene una definición en el diccionario, cada caso es un mundo diferente, no voy a entrar en el eterno debate del carnet de hacker y polleces así.
Y por último, se te nota que no llevas mucho tiempo en esto, si tuvieses más experiencia abandonarías la actitud de "no tienes ni puta idea", tranquilo, a todos nos ha pasado.