Jugando a jueces: un caso real

Enviado por admin el 9. Septiembre 2007 - 22:00.

Os voy a proponer un caso real, que a mi modo de ver ejemplifica bastante bien lo difícil que puede resultar adjudicar las culpas en un caso de hacking, al menos desde un punto de vista moral, porque desde el punto de vista de la justicia oficial no es muy difícil adivinar quién sería considerado culpable.

En cualquier caso, antes de escribir esta nota he planteado el caso a algunos amigos, y todos han coincidido en un veredicto muy acorde con mi propio criterio acerca de lo que considero justo, no sé si porque mi exposición del caso ha resultado de algún modo sesgada, o si porque comparten conmigo parecidas ideas sobre el conocimiento y las condiciones necesarias para su avance (quizás por eso son mis amigos ;)

Por tanto procuraré exponer el caso (real, insisto) de un modo bastante aséptico, y os pasaré a vosotros la responsabilidad de emitir un "veredicto"...

Los hechos sucedieron en Dinamarca en Mayo de 2002 y se recogen de forma somera en el libro "Innocent Code". A partir de ese libro el caso ha sido citado por otras fuentes, pero para ampliar algunos detalles me he tenido que repasar noticias de la época, algo que no ha resultado demasiado fácil porque sólo están publicadas en danés. Afortunadamente, he disfrutado la ayuda de un buen traductor on-line (no, ni Google ni Altavista traducen danés).

Se trata del típico caso de un banco y una consultora que ponen en marcha un sitio web para poder realizar pagos on-line. La puesta en marcha se anuncia con la habitual fanfarria mediática, pero al poco rato un grupo de mentes inquietas empieza a descubrir algunos fallos llamativos (información visible de las transacciones, etc...) y a comentarlos en el foro de ComputerWorld Dinamarca. En un momento determinado, uno de los contertulios publica lo siguiente:

Creo que hasta sería posible echar abajo el servidor sin más que visitar http://pago.ejemplo.url/default.asp?id=3;SHUTDOWN
(Hey, no lo hagáis!)

El aviso del posteador original no sirvió de gran cosa. Al menos tres lectores del comentario eligieron cerciorarse por sí mismos de si el ejemplo funcionaba de verdad.

Alucinados, comprobaron que sí, que el servidor Microsoft SQL Server del sistema de pagos se colgaba por completo y el servicio dejaba de estar disponible. La primera caída ocurrió el mismo día de la presentación y duró varias horas. Al día siguiente volvió a caer y a partir de ese momento parece que fue cerrado el agujero.

Cinco meses después, todos ellos recibieron en su casa una visita de la policía, que se incautó de sus equipos y les acusó de hacking, penado con multa y/o hasta seis meses de cárcel.

Por más que he buscado, no he podido encontrar la sentencia real de este caso, así que tendréis que "juzgar" a ciegas (después de todo, ¿no dicen que la justicia es ciega? ;)

Mi pregunta es la siguiente: ¿quién es el auténtico culpable del incidente?

1. Quien posteó la URL sospechosa, aunque él no la probara ni recomendara hacerlo (sino todo lo contrario).

2. Los incrédulos que no resistieron la tentación de comprobarlo por sí mismos.

3. Quienes implementaron el sistema con semejante(s) agujero(s).

4. El responsable del foro, por publicarlo.

Tras lo que ocurra el próximo día 12 sabremos si la justicia española hubiera elegido -como me temo- la opción 4 (también conocida por "matemos al mensajero"), pero de momento os toca a vosotros comentar... y votar.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

yo salomónicamente

Enviado por anónimo el 9. Septiembre 2007 - 22:58.

yo salomónicamente los ejecutaría a todos por si acaso...

no, en serio, los administradores de sistemas deberían haber espabilado y no tener esos fallos.

Es algo así como si un niño se encuentra un botón rojo y le dice a los amigos:"hey! mirad! un botón rojo, pero no lo toquéis que podría producir una hecatombe nuclear", si yo fuese uno de esos niños apretaría el botón.. solo por curiosidad..

pues eso, que 0xt1as hace el botón ese existiendo , y menos a mi alcance??

Pero

Enviado por anónimo el 10. Septiembre 2007 - 12:43.

estos ya no eran niños y, por lo tanto, tienen que asumir las consecuencias de sus actos.

Me parece ético examinar el sistema y publicar el agujero de seguridad en el foro (y también debería haber avisado al banco y a la consultora)

Pero otra cosa es lo de los que probaron la url. Sabían que si todo funcionaba tal como explicaba el autor del post iban a causar un perjuicio a otras personas y, a pesar de todo, lo hicieron. Por lo tanto, son culpables.

Un saludo.

No lo sabían

Enviado por anónimo el 10. Septiembre 2007 - 14:07.

Esa es la cuestión: no lo sabían. "Alguien" les dijo que quizá, tecleando algo en su ordenador, podría pasar cierta cosa. Cualquiera interesado en cuestiones de seguridad lo comprobaría de inmediato, y puede que algunos con ánimo de avisar después al banco del problema...

La ignorancia...

Enviado por anónimo el 10. Septiembre 2007 - 17:21.

Sólo una frase: Entre abogados es sabida la máxima "la ignorancia de las normas no exime de su cumplimiento".

Si tú vas al Reino Unido con tu coche, y te pones a circular con él por la derecha (como en el resto del mundo civilizado) te empurarán aunque alegues (a lo mejor, con toda la verdad de la que eres capaz) que tú no sepas que allí es así.

Si tú haces algo delictivo, aunque tú no sepas que lo es y por tanto puedas ser considerado inconsciente, te empurarán si te pillan. Todo lo más, alegar ignorancia puede servir de atenuante; pero el daño está hecho y alguien tiene que pagar.

Bien, pero

Enviado por anónimo el 10. Septiembre 2007 - 17:25.

Bien, pero la cuestión sigue siendo QUIEN paga.

En mi opinión ninguno de los acusados. De hecho nadie externo. La empresa responsable del servicio ha de acarrear las consecuencias de su mala praxis.

La ignorancia es pésima consejera

Enviado por Josinho el 10. Septiembre 2007 - 21:06.

Lamento el comentario de díptero escrotal, pero el 34% de la población mundial conduce por la izquierda, que da una cifra interesante (sobre todo a la hora de fabricar vehículos). Si hoy en día predomina el lado derecho sobre el izquierdo en la rodadura, es porque muchísimos países han cambiado de lado con el tiempo, o el caso chino, que dentro de sus fronteras en unas regiones iban por un lado y en otras por otro, y de haber escogido el izquierdo ahora sería el lado mayoritario. La ex-colonia portuguesa de Mozambique va por la izquierda, como va el Japón que nunca fue colonia occidental. En Indonesia van por la izquierda (y fueron colonia neerlandesa), y cuando invadieron Timor Lorosae (entonces colonia portuguesa) los cambiaron de la derecha a la izquierda, y siguen ahora que son independientes por ese lado. Así que me temo que nada de mundos civilizados, lo de los británicos una vez más no es ninguna "rareza", sino lo de siempre: se quedan fieles a tradiciones que el resto del continente ha ido abandonado. Como apuntó alguien por esta web, tan estándar el sistema francés revolucionario (actualmente mundial) como el imperial británico (total, los dos son herederos directos del romano).

Por cierto, en Austria y Checoslovaquia pasaron de conducir por la izquierda a hacerlo por la derecha porque... el régimen de Hitler les obligó cuando fueron anexionadas por el Dritten Reich. Como tantas cosas, el conducir por un lado o por el otro ha sido un puro azar, totalmente fortuito.

¿Qué quiero decir con esto? Que tu ejemplo ha sido afortunado después de todo: las cosas son siempre más complicadas de lo que parecen.

Me parece Josinho que te has ido de tema para escribir...

Enviado por Víctor Hugo el 11. Septiembre 2007 - 7:40.

un tratado sobre "El tránsito vehicular y sus particularidades según el origen de las naciones independientes y/o coloniales...y/o...".

Pero hagámosla más fácil y corta: apuntemos a la Nro. 3 y agreguemos otra opción: MS por dejar en su SQL la orden a la vista y activa desde cualquier ordenador según gusto y piacere del que tipee lo que se le antoje o -en su defecto- no advertir en letras de molde, y rojas por si fuera necesario (y vaya si lo fue), que debía ser ignorada desde ordenadores externos al sistema.

¿Por qué digo esto? Por la sencilla razón del dineral invertido por el banco (no habrán sido unos pocos cientos de coronas de esa época), en una consultora con desarrolladores de "excelencia" que conociendo la orden "...default.asp?id=3;SHUTDOWN", como muchos que chapurreamos aquí la conocemos, la dejaron al "libre albedrío" de los usuarios: no pueden alegar ignorancia sobre dicha orden/función tales cerebros informáticos o MS SQL debería reescribir sus manuales para ponerlos a la altura de/y a prueba de tontos.

De lo que no tengo dudas es respecto del fallo de los jueces: culpables todos menos la desarrolladora y los del banco ¿o desde cuando la justicia va de la mano de los más débiles?

Y yo también hubiera escrito la URL ¡Joder! Por simple curiosidad y para comprobar que no pueden existir programadores con tal grado de incompetencia (soy un ingenuo, no me lo digan), y porque no siempre los bancos deben ganar.....

Perdón, se me escapó el argentino esquilmado en el 2001 por los bancos y con su dinero aún "acorralado" en vaya a saber qué SQL (Siempre Queremos Ligar) del sistema.

Ví­ctor Hugo

Creo que sí...

Enviado por Josinho el 11. Septiembre 2007 - 17:14.

Pero es que quería reflejar una cosa que no ha debido quedar muy clara (yo soy así). El autor al que respondía citaba que el desconocimiento de la ley (la ignorancia de ésta) no exime de su incumplimiento. Es así. Ponía como ejemplo el izquierdismo de las carreteras británicas de una forma que se podría interpretar que eran los únicos. Bueno, pues a pesar de que conocía la norma (británica), no tenía ni idea de todo lo que hay detrás de ella, como no tiene que tenerla, ni él ni nadie, esto es como todo, ir a un sitio e informarte. Pero acatar una norma sin entenderla ni saber qué hay detrás de ella, nos lleva antes o después a situaciones de muy difícil interpretación donde no siempre la regla de "no hagas nada" nos va a dejar a salvo.

Yo tampoco tengo una base en jurisprudencia lo bastante honda como para opinar, también imagino que será más fácil depurar una responsabilidad legal que una moral, dado que la ley y la justicia son cosas diferentes. Yo sólo exculparía al 100% al webmaster, porque es mi opinión de cómo debería funcionar la libertad de expresión, y porque en España vamos camino de resucitar la ley Fraga de censura (bajo el régimen del Glorioso Movimiento Nacional del Caudillo), donde, entre otras joyas, el proyeccionista de una sala cinematográfica era responsable penal de la exhibición de la copia acorde a la censura, no teniendo el citado la más puta idea de cómo debía ser la copia acorde (es decir, le era imposible saber si lo que estaba proyectando lo iba a meter en el trullo o no).

Al reparto de otros porcentajes no me atrevo a opinar, aunque por mí se podrían hundir todos los bancos del mundo que sería para bien, aunque esto tampoco hace al caso.

También estoy de acuerdo contigo que M$ tiene mucha culpa, pero como siempre, se las arregla para ni verse salpicada. También con tu pronóstico de fallo. La ley suele actúar muchísimo más rápido ante un impago de una hipoteca que ante un crimen. A fin de cuentas [cinic mode on], el banco no puede vivir si la gente no le paga, y lo otro... es menos importante y además se lo puede manipular socialmente... [cinic mode off]

Dificl veredicto

Enviado por anónimo el 9. Septiembre 2007 - 22:58.

El punto de culpables va mas alla de un simple numero, los causantes fueron muchos, pero tambien se lavan las manos..

no se si me explico bien, hum.

el primer caso... dificilmente creo que seria el sospechoso, a menos que sea considerado como un culpable o complice intelectual sin saberlo debido aque proporciono la informacion necesaria para poder ejecutar el "crimen",

el segundo caso.... es mas probable, debido a que se les advirtio que no realizaran el acto, y cayeron literalmente en la tentacion, tambien radica en que ellos fueron los que ejecutaron el "codigo maligno" para poder realizarlo, aunque viendolo de esa forma dificilmente seria considerado hacking, solo pusieron una pagina en el navegador y listo página caida....

el tercer caso... tambien es muy probable, ya que la primera forma de ver si una pagina es segura es realizando uno mismo un escanner de vulnerabilidades, para saber a que es suceptible la pagina, por lo que los administradores de la pagina tambien tienen algo de culpa por no mantener segura su pagina.

el cuarto caso no lo encuentro muy posible al menos en mi caso, debido a que solo es un medio de comunicacion, ejemplo en el caso de la television, solo es un medio por el que viaja la informacion, nada mas, por ejemplo mas basico esta la tele, que si emitiera un programa problematico.. a quien se culparia? en parte el canal en mostrarlo pero mas aun la productora en realizar el susodicho programa..

si fuese juez, simplemente votaria o juzgaria al numero 3, aunque la justicia dudosamente castigaria a ellos

N tan dificíl

Enviado por anónimo el 9. Septiembre 2007 - 23:49.

"tentación", "maligno"... uf, chico, cuidate.

"escanner de vulnerabilidades"? está claro que no sabes de lo que hablas. ¿qué te crees, que las vulnerabilidades salen con un programa de marcianitos que acaba con un Game Over?

123456789siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
1 + 0 =
Resuelve esta sencilla operación e introduce el resultado.