| El lado oscuro de Internet también está en Facebook:click acá!
Entre hoy y los días inmediatamente pasados se ha suscitado una discusión bastante interesante en una de las listas de securityfocus; un ingeniero que vive en Alemania preguntó a los miembros de la lista si sería conveniente, dentro de un proceso de selección para el cargo de administrador de la red en una universidad de su país, demostrar a su probable empleador las fallas de seguridad de la red, que él había escaneado y testeado sin autorización.
La discusión se concentró en la pregunta de si escanear una red ajena (escaneo de puertos – escaneo de vulnerabilidades) sin permiso es legal/ilegal o ético/anti ético; hubo tantos argumentos a favor como en contra. Algunos decían que el simple hecho de escanear una red es ilegal en algunos países; otros comentaban que así fuera ilegal, si no se causaba un daño (como la caída de un servicio) no tendría consecuencias jurídicas (sin un daño no habría indemnización que perseguir); otro se lamentaba porque no poder compartir esa información con la universidad era consecuencia de la ignorancia y la paranoia; en fin…
De esta discusión surgió otra relativa a la legalidad o ilegalidad de escanear redes ajenas sin permiso previo. Para algunos un escaneo es una actividad similar a caminar por la calle y ver que la puerta de la casa del vecino está abierta; algunos consideran que mientras que un escaneo puede servir para acceder a información pública, también puede servir para acceder a información reservada que haya sido mal protegida (y sobre este último punto, algunos consideran que, siendo de acceso no restringido por estar mal protegida, no puede tenerse por confidencial).
Estos temas tienen tanto de largo como de ancho y, en nuestro país, es definitivamente cierto que sobre ellos todo está por ser dicho. Sin entrar a definir una posición acerca de si es legal o no (particularmente, pienso que en algunos casos es ilegal mientras que en otros, siendo una actividad no del todo ética, no puede decirse que sea ilegal, al menos según las leyes que tenemos ahora), quisiera saber qué piensa usted.
– ¿Cuándo sí y cuándo no es ético escanear una red?
– Dependiendo de la herramienta y de si el escaneo es sobre puertos o vulnerabilidades, ¿qué tan al fondo iría o va usted?
– ¿Si usted escanea una red y encuentra vulnerabilidades o simples malas configuraciones, contacta al sysadmin y le informa? ¿Cobra usted por esa información?
– Si en efecto ha contactado usted al sysadmin de una red mal protegida, ¿qué respuesta recibió de él?
– ¿Hasta qué punto deben las universidades permitir que en sus currículos existan materias en las que se enseña a usar herramientas de escaneo y técnicas de hacking?
– ¿Es esta una situación similar a la de la escuela de artes marciales que enseña a defenderse con técnicas que también sirven para matar?
Solamente pido que no se mencionen nombres propios ni situaciones reales; si los encuentro tendré que pedir al administrador de eltiempo.com que elimine los comentarios correspondientes, que pondrán en riesgo a esas empresas/personas.
¿Qué piensa usted?
blogladooscuro @ gmail.com
Realizar esta actividad me parece que es buena forma de contrubuir con la seguridad de Compañias, ya que en el caso que plantearon supongo que el individuo lo hizo para vender su trabajo, es valido para que sepan que la persona que se encontraba administrando la red no era en ese caso la mas preparada, claro que el caso no es que este o no preparada lo que sucede es que siempre habra alguin que emplean nuevas tecnicas y tacticas para vulnerar la seguridad.
——–
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarPor qué les parece raro que uno se asuste, ¿Si usted llega a su casa y encuentra un desconocido adentro, que de paso le a esculcado en todas sus pertenencias y le dice que sólo entro para ver que tan buena era su cerradura, que actitud tomaria usted?
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarEl volver ilegal esta actividad sería una política de seguridad inutil y poco práctica. La política de tratar de evitar el acceso a puertos de máquinas de acceso público a través de la ignorancia (no esenandolo en las facultades de sistemas) o del temor (abriendo leyes que finalmente no se pueden aplicar, pues el rastreo no siempre es viable) es absurda. Si se tiene algo público, hay que asumir la responsabilidad de darle seguridad, y de prever que cualquier persona, desde cualquier lugar puede intentar atacarlo. Es responsabilidad del administrador del sistema, no de la legislación.
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarSe debe tener presente que el realizar estas acciones se está sobre un medio que es público y sobre el cual el controles definido hasta un punto en particular, es igual a lo que se menciona en el foro, que pasa si usted encuentra a alguien a dentro de su casa, la primera reflexión es por que lo deja entrar?, si sabe que se utiliza un medio tan público y «anónimo» por que no estar preparado, y creo firmemente que la formación en estos temas inclusive en las Universidades debería ser masiva, para que cuando los sysadmin estén al frente de una situación como esta sepan como actuar. Creo tambien en las seguridad informática con sentido social, pero debemos recordar que el ego del IS es tan grande que apenas le mencione que su obra de arte osea sistema informático tiene fallas, están afectando su ego y por lo tanto generan reacciones indebidas, sin in muy lejos en segurinfo hace algunas semanas se presentó una situación similar
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarCreo el Jefe de Systemas no entiende las diferencias entre lo uno y lo otro, es como salir de la casa y encontrar la puerta del vecino abierta, no por ello uno tiene necesidad de entrar a revolvar todo, creo que esta confundido entre terminos Hacking, Cracking y demas.
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarSin necesidad de dar nombres, pero esto es igual que la paradoja de los hackers precisamente, en que momento seria adecuado ir a decirle a alguien que su red no es segura, sin saber que actitud va a tomar la persona o compañia, en la mayoria de los casos, siempre se tilda de criminal al pobre que bajo sus buenos interezeces de informar los problemas termina ciendo encarcelado.
Califica:
-
Me
gusta
0
- No me
gusta
0
Reportar