#33 #35 No como los que se dejaron robar los datos.

#36 eh? hasta qué punto puedes asegurar que es correcto eso que dices? Me suena imposible.

#99 Ni con un proxy

#55 El tema está en que si ese ingeniero no protegió mínimamente ese proxy, no existe el hackeo.
Es el equivalente a tener una wifi sin contraseña...
Y sí, tenemos el CP que tenemos.

#104 y si esa subcontrata con dinero público no protegió los queries minimamente parseandolo no existe el hackeo, es el equivalente a poner una consola de comandos en un cajero.

#105 Hummm, pido el comodín del abogado.

#1 yo prefiero esta imagen para que se entienda ...  

#98 Muchos de los responsables de seguridad sólo piensan en su ombligo, sin evaluar las necesidades de los empleados, tanto laborales como no laborales.

He trabajado como desarrollador java en empresas como Prisma (los que tienen la tarjeta VISA en Argentina), donde mi computadora no tenía acceso a internet de ningún tipo.
Ni para buscar errores en google, ni para descargar dependencias, ni para capacitarse, nada.

Todo sea en pos de la seguridad.

Así funcionan los sistemas de VISA en nuestro país.

#83 Cómo que no tiene nada que ver? Es el canal por el que se ha cometido un delito y tendrán que investigarlo. Otra cosa ya es meterse en si merece tanto tiempo de proceso judicial. Quizás es lo que dice el artículo, desconocimiento, o quizás es que hay más información que no están contando en la noticia.

Sería muy fácil hackear algo tranquilamente desde casa y cuando te pillan decir que es que tenías un proxy y que no sabes quien te ha entrado. De hecho de estas se conocen algunos casos, solo que en vez de ser por que le entraron al proxy lo que pasó es que la wifi estaba abierta, o con una contraseña débil o era vulnerable a algún tipo de ataque. Y de hecho creo que David Bravo ha ganado algún caso con eso de que "una IP no identifica a un usuario", que entiendo habrá sido la estrategia de defensa de esta persona.

#102 No sé donde vi que si te hurtaban una herramienta potencialmente peligrosa (no habías puesto las medidas necesarias para custodiarlas e impedir que alguien se las apropiase) podías tener una cierta responsabilidad

En cuanto a que lo que atañe a los seguros, solo veo esto.


www.autobild.es/practicos/cubre-seguro-no-caso-te-roben-coche-403879

El seguro cubre el robo, no el hurto

Lo primero es tener claro qué robo y hurto no son sinónimos y que las compañías de seguros solo se dan cobertura en caso de robo.

robo es cuando se utiliza la fuerza
hurto cuando no la hay

Por ejemplo, si te roban el coche y para ello te rompen la ventanilla se considera robo, pero si se lo llevan porque por despiste al ir a repostar has dejado las llaves puestas no será un robo sino un hurto. En el primer caso tendrás el apoyo de la compañía de seguros; en el segundo, no.

#108 #98 También trabajé en una empresa donde no nos daban permiso ni siquiera de lectura a la configuración productiva de nuestra propia aplicación que estabamos desarrollando. Discutí con mis jefes y me negué a deployar nuevas versiones hasta que nos devolvieron el permiso de lectura.

#5 NAS = Network Attached Storage = Almacenaje externo conectado en red. Es una cuestión de términos, pero no hay nada terriblemente incorrecto en esa frase.

#2 Yo tengo una raspberry pi conectada a internet. Estoy seguro que si un hacker de verdad quisiera acceder no tardaría mas de 1h, aprovechando alguna vulnerabilidad existente. Y sinceramente, mientras funcione nunca miro los logs.

#98 Menuda estupidez de argumento. O sea, que si yo monto un nodo de Tor y alguien lo usa para cometer un delito, según tu yo debería ir a la cárcel?

El castigo por montar un proxy para saltarte las restricciones de tu curro es ser despedido. Pero NO ES ILEGAL. Y tampoco es ilegal tener un proxy abierto, como no es ilegal tener una wifi abierta. Esto es igual que si tengo un cobertizo con herramientas sin candado y alguien me roba el hacha y mata a alguien con ella.

Ademas, que sentencia? No te has leído ni el TITULAR. Espero que te leas mejor los manuales de tus firewall

#44 A los fiscales hay que pedirles que sepan de leyes, obviamente, y también que sepan del tema que estén juzgando. Lo de los asesores es una mierda pinchada en un palo que nos clavan los del gobierno para tener la excusa cuando no tienen ni p*ta idea de lo que están haciendo.
¿O tú ves que las cajeras del mercadona tengan asesores de contabilidad porque ellas lo que tienen que saber es pasar los productos por caja?
Que luego pasa lo que pasa, alguien comentó recientemente en una noticia de la DGT que le pusieron una multa con un detector, él pudo demostrar con matemáticas que el ángulo del detector podía haber pillado otros coches, y el juez concluyó que eso de las matemáticas era sólo una teoría.

#91 Te haces una cuenta en un proveedor de nube te creas una MV y ahi puedes montar lo que quieras. Registras un dominio o directamente configuras la ip en tu navegador y lo tienes.

#9 Muy fácil: primero se instala un proxy con cualquier herramienta que hace el deploy automático y te instala todo.

Segundo se comprueba que funciona y se usa.

Problema? Que si pasan 8 años pues probablemente los standares de seguridad hayan cambiado bastante y las vulnerabilidades que hayan salido serán también unas cuantas.

Esto responde perfectamente a instalo y uso para mi uso particular, y como no espero que nadie más tenga que usarlo ni me preocupa la seguridad no actualizo nada en esos 8 años

#117 Pero, digo yo, ¿Eso no tiene un control de acceso?

#68 La Justicia tiene unos plazos y si, por poner un ejemplo, no consiguieron sumar dos y dos en el plazo ordinario( por ejemplo 6 meses) y de la ampliación de plazo por ejemplo 3 meses) al juez le importará un pito y dictará una sentencia

#47 esos pirados pueden tener jefes que quieren mayores ingresos ya.

#57 En lineas generales no andas muy mal.

En una conexión hay 5 niveles (el modelo OSI dice que hay 7, pero se puede simplificar):
1. Físico: El cable o las ondas de radio. Niveles de señal o de voltaje.
2. Enlace: El adaptador de red donde enchufas el cable de red. Traduce los niveles de voltaje a (0/1) entre dos elementos de red adyacentes (o sea, conectados por un cable o similar).
3. Red: Como enviar bits por ahi a lo loco, permitiendo conectar un origen y un destino. Protocolo IP.
4. Transporte: Como establecer una comunicación extremo a extremo entre una fuente y un destino, usando una red. Protocolo TCP o UDP.
5. Aplicación: Tu aplicación (el chrome) hablando con la aplicación de tu banco. Protocolo HTTPS.

Cada elemento de la cadena se apoya en el anterior. Y cada nivel, si te pones tonto, puede incorporar su propio cifrado (aunque normalmente solo se hace en los niveles 3+).

Una VPN funciona generalmente en el nivel de red. Cuando tu te conectas a google.com a través de una VPN, simplemente estas estableciendo la conexión a través de los servidores de la VPN. Pero eres TU quien se conecta directamente a google.com. Si la IP de salida de la VPN esta en otro pais, google en principio pensara que estas en ese otro país. La VPN añade una capa adicional de cifrado pero NO tienen acceso a tus datos (e.g. usuario y password del banco) que ya estén viajando cifrados por usar HTTPS.

Un proxy puede funcionar tanto en el nivel de transporte como en el nivel de aplicación. Si lo hace en el nivel de aplicación, eso significa que si te conectas a google.com, hay DOS conexiones totalmente separadas. Una entre el tu y el proxy, y otra entre el proxy y google. Eso significa que el proxy tiene acceso a todos tus datos ya que cada conexión se cifra de forma independiente. El proxy, por tanto, puede saber tu usuario y contraseña.

En principio, ni el proxy ni la VPN garantizan el anonimato. Eso dependerá de su configuración de acceso y de logs. Pero ambos pueden saber perfectamente que alguien se conecto desde tu IP a tal hora y accedió a tal y tal pagina (aunque hay formas de ponérselo difícil).

Luego hay mil detalles de configuración que pueden cambiar lo que he contado. Hay VPNs que también se meten en el nivel transporte y mil historias particulares. Pero por defecto suele ser asi.

#118 Puedes configurarlo abierto o cerrado... de todos modos incluso aunque se configurase en abierto... desde cuando tener un software o un equipo desactualizado te convierte en criminal?

Si yo tengo un equipo con Windows XP (con toda la seguridad del mundo pero obsoleto porque ya no hay actualizaciones) y un pirata informático aprovecha un 0-day o un bug no parcheado en XP para tomar control de mi equipo y robar datos de un tercero... es normal que yo sea juzgado como si fuese el que ha robado dichos datos?

#122 Yo no he acusado de eso en ningún momento. Sí puedo decir "ya te vale", pero no digo que eso sea delito.

#98 O que le corten las manos, ya puestos...

Eso merece una sanción ejemplar o un despido, pero seis años de cárcel es venirse muy arriba. Tienes homicidios con menos pena.

#119 Esto... estaba hablando de hacer la instalación de un programa para acceso externo, punto. Lo de hablar de justicia está fuera de mi comentario.

#124 ya puestos leer bien la noticia tampoco está de más.

#123 Si si... eso si... los cojones como el caballo de espartero

#98 ¿De acuerdo con qué sentencia? Yo no veo que la noticia hable de ninguna sentencia. ¿Y cómo puedes estar de acuerdo con que se proceda contra estas personas por un delito doloso, si al mismo tiempo crees que lo que hicieron lo hicieron porque pensaban "que las políticas de seguridad están para fastidiar a los que quieren leer el marca"?

#120 Pero que para tener mayores ingresos se basan en la regla de ingreso=ganancia-gasto. Y los sueldos son un gasto.

#99 Saber usar comunicaciones CAN, I2C, y demás no te hace conocedor de cómo funcionan servicios y servidores de internet.

#98 #126 Joder, vaya caraja.
Mis disculpas y ya voy encargando el oscar a la peli que me he montado.

#98 Espero que lo de que eres responsable de seguridad sea un invent. A cualquier responsable de seguridad le resultaría raro que alguien haya montado un proxy web para limitar la navegación y se le haya olvidado montar un firewall para impedir que lechones conecten al ordenador de su casa donde tienen un proxy. He conocido profesores de instituto que con pfsense han montado cosas mejores que la deben tener allí y que tienen más celo profesional por la seguridad de la que tu aparentas tener.

#130 Ese es el nivel

#108 En todo caso, no funcionan, ¿no?

#111 ¿ deployar ?

#77 El acusado, sea ingeniero o no, puede mentir lo que le salga del nabo. Quien no puede mentir es un testigo.

#91 Claro, alquilas un servidor donde quieras, montas un proxy y ya puedes navegar a través de él. Si está bien configurado, tu proveedor de internet solo ve tráfico a tu proxy y no qué webs visitas, y las páginas que visitas no concen tu dirección, solo la de tu proxy.

#132 el titular habla de que alguien, obvio que sin nociones de seguridad, se ha instalado un proxy en casa para saltarse los filtros de navegación de su empresa. Como iba de listo, han utilizado su infraestructura para cometer un delito. Hay muchos proxies que están por encima de un fw o en una dmz. #128

#121 Si te conectas a google con un proxy, el proxy no puede saber tu usuario y contraseña, porque la comunicación va cifrada desde tu navegador hasta google. Luego puede haber otras capas de cifrado encima.
El proxy si sabe tu dirección IP, y a donde te estás conectando, eso sí, pero no el contenido de tu tráfico.
Si sale el candadito en tu navegador, el contenido de la conexión no se puede leer.

#114 si tu coche se ve implicado en un atropello múltiple, tendrás que demostrar que no conducías tu, siempre serás el primer sospechoso.

#108 la seguridad está subordinada al negocio que evalúa los riesgos y toma las medidas necesarias. Nosotros no inventamos las normas, evaluamos riesgos y proponemos políticas de seguridad. Si te contara las veces que me han despertado a mi porque un desarrollador la ha cagado…

#114, No es ilegal instalar un proxy pero si hacer un mal uso de el, que puede ser el caso, quizas si. Poniendo el caso que comentas, tienes un hacha que se ha usado en un crimen, tienes el muerto al lado dentro de tu cobertizo y para mas inri solo hay huellas tuyas y no hay rastro alguno de terceros pues la policía verá indicios y probablemente acabarias en un juzgado donde el fiscal de turno probablemente te pediria la pena máxima aunque al final quien tiene que ser el juez quien dicte sentencia.

Pues es lo que está pasando. A priori tu has usado un hacha (proxy) para matar a alguien (robar datos) y quedaras a la espera del juez.

#52 si el atropello es en tu finca y no hay rastro de que te hayan entrado a robar hay indicios suficientes para que tengas que pasar por juzgado.

Edito: Siempre y cuando no se trate de un mero accidente, claro.

#136 Gracias. Era una pregunta retórica en respuesta a otra pregunta retórica.

#138 ¿Entonces crees que lo que hayan hecho lo han hecho por ignorancia, y aún así quieres que los condenen injustamente por un delito doloso?

#2 no entiendo tu pregunta, un ingeniero no tiene por qué saber de informática, salvo que sea informático. Aún así puede que no sepa de seguridad, no sería la primera vez que un ingeniero de sistemas te monta toda la infraestructura de servidores de una empresa de puta madre, y luego te pide que abras a todo el mundo el puerto rdp sobre algun servidor

#146 Hombre, no lo es de informática (viene) pero si se ha montado toro ese chinringuito (algo que yo nunca he hecho por ej) y no es capaz de imaginar lo que puede ocurrir desde allí me parece que no tiene dos dedos de frente (que siendo ingeniero debería tenerlos)

#116 Gracias por las indicaciones y la información.

#FreeAssange

#121 Muchísimas gracias por la detallada información. Guardo tu comentario en favoritos. Me encanta aprender este tipo de cosas.
Pena que no te pueda poner 20 votos.

Un saludo.

#FreeAssange

#147 Internet es muy mala, seguro que pones como saltarse el firewall de tu empresa y te pone los comandos copy pegui para hacerlo tu mismo

#135 Jajaja es muy común decirle así acá en Argentina. Léase: Acción de realizar un deploy. Deploy: Bueno... poner en algún ambiente no local, tus binarios compilados/empaquetados.

#141 Si, entiendo... también yo he tenido que estar a las corridas porque la gente de seguridad pone nuevas políticas en los firewalls y demás sin evaluar correctamente el impacto en las aplicaciones.
O definen procesos burocráticos que se caen sólos por impacticables de lo burocraticos que son.

A lo que voy, es que la gente de seguridad evalúa los riesgos todo lo que puede/quiere/tiene ganas, pero muchas veces sin importarle todo lo necesario el trabajo de los demás.
No quiero que se filtre información? Le saco internet a los developers. Queres una nueva dependencia? Completá este formulario que nosotros evaluamos un montón de aspectos, y vemos si te la dejamos en el repo interno. Querés buscar un error en internet? No es necesario, nuestra gente está tan capacitada y es tan inteligente que no necesita de eso (palabras textuales que me han dicho).
No quiero que se entretengan mirando youtube? Pues bloqueo youtube. No importa que la gente lo use para escuchar música, que lo usemos al mediodía en nuestra hora libre, etc.
No quiero que pavees con el celular en el trabajo? No te doy wifi. Que usas 5G? Te pongo inhibidores de señal.

Nada eso. Por supuesto hace falta normas de seguridad en una empresa. Pero a veces se llevan al extremo sin evaluar del todo las consecuencias y el impacto negativo en el resto de la gente, y por supuesto en la empresa.

#151 No, si el término por desgracia lo conozco , soy del gremio, pero tengo mi propia batalla contra términos innecesariamente calcados del inglés.

Hay algunos que no tienen una traducción tan específica, y usas el término inglés para no tener que explicar cosas. Pero mergear y deployar creo que son innecesarios, y bastan mezclar y desplegar, igual que hablamos de ramas en lugar de branches.

Es una guerra personal, que sé que tengo perdida, pero intento mantener las formas del castellano.

Edito: para commit, por ejemplo, yo sí peco diciendo "hacemos un commit", pero me resisto a decir commitear.

#139 No, estas equivocado. Lo que tu dices es un proxy con transparent TLS forwarding. Que es UN tipo de proxy bastante especifico. Pero un proxy normal suele hacer de man-in-the-middle en TLS. Generalmente el navegador vera que el certificado del proxy no se corresponde con el de google.es y te avisara. Generalmente. Pero como decía antes esto es un mundo y hay mil detalles de configuración posible.

#153 Tiene mucho que ver con la permeabilidad de las culturas de los distintos países a los términos en inglés.

Aca NADIE jamás dice mezclar, todo el mundo le dice mergear. De hecho, es la primera vez que escucho esa palabra en lugar de mergear.
Y mezclar puede dar a entender que es una combinación random o azarosa de las cosas, cuando un merge es justo lo contrario. Quizá sería mas correcto fusionar. www.google.com/search?q=mergear+en+español

Respecto a desplegar, sí la he escuchado mucho, y se dice en forma indistinta junto a deployar. Lo mismo con branch y rama, aunque rama se usa bastante menos.

#154 No, tu comunicación con, por ejemplo, un servidor de google, solo puede ser leída con la clave privada de google. Da igual que haya proxy o no, la conexión SSL no se puede romper a día de hoy.
security.stackexchange.com/questions/8145/does-https-prevent-man-in-th

#152 No me has entendido, las normas nosotros no las aprobamos, las hacen tus jefes. Si a mi un director me dice que para que su equipo funcione tienen que saltarse el firewall y mi jefe lo aprueba. Yo ahí lo único que puedo hacer es expresar mi recomendación y pedir que se firme un documento de aceptación del riesgo al responsable que me pide la medida.

#155 Sí, es muy cultural, por supuesto. También depende mucho dónde trace cada uno la línea entre lo "correcto" y lo "innecesario", pero por facilidad, mucha gente tira por el camino de castellanizar el término inglés.

#156 Madre mía, no entiendes nada y vas dando lecciones

#6 Digo yo que habrá que dilucidar si a esa persona le robaron el coche o es un cómplice que prestó su coche para el robo y luego se quiere quitar de enmedio diciendo que le han robado el coche.

#159 Eso tú. Yo acabo de implementar un servidor proxy en mi empresa, que usa nuestro producto para evitar geobloqueos, y algo sé del tema.

#161 Vuelve a leer mi comentario inicial en #121 y mira como hago incapie en que los proxies pueden funcionar en nivel 3 o nivel 4 y que hay mil detalles de configuración y casos particulares.

Tu has montado UN proxy de UN tipo. Y como parece que es el único que conoces, estas dando por hecho que todos son así. Y no es así.

Por ejemplo en mi curro tienen un proxy que hace de man-in-the-middle con https para hacer deep-packet-inspection.
www.netskope.com/products/capabilities/ssl-tls-inspection

Algo parecido hacen algunos antivirus
blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/

Y algo parecido también tienes en proxies para debuggear trafico TLS
www.charlesproxy.com/documentation/using-charles/ssl-certificates/

Te he puesto 3 ejemplos en 3 minutos. Te bajas ya del burro o seguimos?

#162 De tu último link:
"You will see a warning in your browser, or other application, when it receives that certificate because the Charles Root Certificate is not in your list of
trusted root certificates."

Solo si modificas tu navegador u ordenador, por ejemplo añadiendo ese certificado a los confiados, dejarás de ver el warning en tu navegador.

Si cualquiera que esté entre tu y el servidor pudiese sencillamente revisar tu contenido SSL, no podrían haber nunca privacidad en internet. Cualquiera en tu wifi, tu proveedor de internet, o cualquiera de los nodos intermedios podría leer todo tu contenido, y por suerte eso no es así.

Los proxies solo pueden funcionar en el nivel 4, y tu comentario de #121 es un mansplaining en el que cuentas la única cosa que sabes, y su valor añadido en el hilo es nulo.

Si hubieses leído el único link que te he mandado (#156) te ahorrarías seguir haciendo el ridíciculo.

#163 Me estas dando la razón pero tu comprensión lectora es tan mala que no te das ni cuenta. La conversación ha sido...

Yo: Hay distintos tipos de proxies. Algunos pueden hacer de man-in-the-middle de HTTPS.

Tu: No. Los proxies no pueden nunca saber tus credenciales. Yo he montando un proxy que no funciona así.

Yo: Como ya he dicho, hay varios tipos de proxy. Algunos hacen lo que tu dices, otros no. Aquí tienes 3 ejemplos de proxies que no hacen lo que tu dices.

Tu: Pero con esos el navegador te da un aviso o tienes que instalar un certificado en tu navegador!!

Yo nunca he dicho que el navegador no se de cuenta. Así que gracias por darme la razón, supongo?

Y tu link de #156 no tiene nada que ver con lo que yo estoy explicando. En ningún momento he dicho que los proxies rompan el cifrado, he dicho que se establecen DOS conexiones https independientes, que no es para nada lo mismo. Pero nuevamente tu comprensión lectora es inexistente.