Tema: Proyecto ARDEINTERNET.NET.

[MA40]

Hola a todos.

Estoy dándole vueltas a una idea sobre una actividad a la que he denominado "Graffiti Electrónico". Tiene que ver con la seguridad en las Web´s y sus vulnerabilidades, el Hacking y esas cosas.

He redactado un borrador (muy cortito) de un proyecto al que he denominado ARDEINTERNET.NET (podéis verlo en esta dirección: http://www.ardeinternet.net) y me interesaría mucho tener vuestras opiniones, críticas y posibles aportaciones.

Para ver lo que es el Graffiti Electrónico ir a la pagina que os he indicado y colocar (sin pulsar) el puntero del ratón justo encima del punto que hay en la parte superior izquierda de la página.

A aquellos que pudiera interesar trabajar sobre este tema les animo a que se apunten en el foro de la Web para ir definiendo el proyecto entre todos.

Un saludo.
MA40

[Dabo]

hola amigo, la idea no es mala en si, quizas la forma se pueda considerar un deface en toda regla pero con buen fondo (que a mi es lo que me importa),

lo que comentas es algo que a veces yo mismo he hecho , (detectar e informar) avisando al admin por correo u otros modos, a veces he tenido algun problema por lo que he pasado de hacer de caballero andante y llevarme algun leñazo inncesario.

A mi este tipo de iniciativas me encantan, esta bien que la gente se mueva por la seguridad general, lo que no se es si la gente  comprendera el buen fondo de tu inicativa o si alguien se puede aprovechar de una vuln en una web para hacer otra historia aunque supongo que se señalaria una vez parcheado no???

pues nada amnigo que un abrazote y que vaya todo bien, ya sabes donde nos tienes :wink:

[BuHo]

Pues no hay ninguna opinion que me convenza, asi que os dire lo que pienso:

Es Hacking, pero el hacking no es siempre dañino. Pero si que es ilegal. Aunque no obtengas informacion, aunque no destruyas nada, violar la seguridad de un ordenador es un delito y no se puede hacer. Eso desde el punto de vista legal.

Desde el punto de vista personal, sinceramente, me parece un poco infantil porque al fin y al cabo, es "firmar un trabajo" y yo estoy en contra de dejar firmas. Velar por la seguridad no es demostrar nada, es simplemente avisar de un fallo en caso de encontrarlo.

Por otro lado, se me podria decir que con lo de "De acuerdo con ardeinternet" estas obteniendo el permiso del webmaster, pero en realidad lo que se hackea es casi siempre el servidor, y eso no es propiedad, normalmente, del webmaster,  así que no me vale.

No se, yo lo veo muy lejos de lo legal y no demasiado practico.

[MA40]

Hola, antes de nada gracias por vuestras opiniones.

o si alguien se puede aprovechar de una vuln en una web para hacer otra historia aunque supongo que se señalaria una vez parcheado no???

La idea es no divulgar la vulnerabilidad, solo firmar la Web y avisar al administrador con la solución. Una vez que el administrador corrija el fallo, podrá hacer lo que desee, si está de acuerdo con el proyecto debería poner la firma del "graffitero" o hacker (como lo queráis llamar) en un historial de firmas como agradecimiento, si no simplemente quitar el graffiti y dejar la Web como estaba pero parcheada.

pero en realidad lo que se hackea es casi siempre el servidor, y eso no es propiedad, normalmente, del webmaster, así que no me vale.

Bueno..., tal y como lo veo yo, si es una Web lo que se hackea, sería en ella donde habría que firmar y avisar a su administrador.  Si es un servidor pues seguramente tendrá su propia Web corporativa y el administrador de esa Web estará en contacto con el root o máximo responsable del servidor ¿no? Lo que no tiene sentido es conseguir entrar en un servidor y firmar Web's alojadas en él pero de inferior rango.

Saludos.
MA40.

[Dabo]

ok, saludos de nuevo amigo, si es que  aparece una web firmada pero corregida es menos peligroso para la web,  no como si se dá el caso de que  lo ve otro con intenciones mas "siniestras" y explota la vulnerabilidad  lo veo menos problemático

       Realmente lo que es una verguenza es que paguemos por un hosting y quienes lo administran no se dignen a parchear los sitemas.

saludos  :wink:

[BuHo]

tal y como lo veo yo, si es una Web lo que se hackea, sería en ella donde habría que firmar y avisar a su administrador.

Tal y como lo veo yo, no veo cual es la necesidad de "firmar". Según mi ética personal no se busca reconocimiento en esto, sino hacer algo mejor la seguridad.

Así pues, segun tú, cual es la utilidad de firmar? Arriesgarte a que el administrador no lea los emails y dejar una marca de que esa web es vulnerable para que lo vea cualquiera?

Yo en lo de firmar, sinceramente, no veo mas que una chiquillada para decir "he sido yo", pero te juro que soy muy abierto y con argumentos podría cambiar de opinion.

[MA40]

Hola.

Pienso que el tema de porqué firmar un trabajo es complejo y entra dentro la forma personal de ver las cosas que tenemos cada uno.

Yo creo que todo acto que alguien pueda realizar en la vida, es por algún motivo y puede estar destinado a dos fines: a un fin bueno o a un fin malo. La interpretación de los motivos que tiene alguien para realizar un acto por otras personas, siempre será subjetiva. Quiero decir que ante un acto realizado por alguien, unas personas pueden pensar que ese acto iba destinado a mal fin y sin embargo otras personas ante ese mismo acto pueden pensar que iba destinado a buen fin. Creo que hasta ahí estaremos de acuerdo ¿no?

Normalmente toda persona que realiza un acto con mal fin, lo hace de forma anónima o utilizando una identidad falsa.

Sin embargo aunque la mayoría de los actos con buen fin son realizados de forma auténtica, también hay actos con buen fin que se realizan de forma anónima. Imagino que los motivos pueden ser los siguientes:

     1.- Motivación altruista del autor (no desea ningún reconocimiento).
     2.- Miedo a las consecuencias que pueda acarrear su acto debido a la interpretación errónea de su motivación por otras personas.
     3.- Opinión del autor de que su acto realizado no es de la suficiente importancia como para ser firmado.
     4.- No se me ocurren más aunque no digo que no las haya.

No se si hasta aquí estaremos de acuerdo completamente pero pienso que si. Cada uno deberíamos reflexionar profundamente los motivos que podríamos tener para realizar un buen acto de forma anónima.

(Con respecto al primer punto y con todo el respeto). Pienso que el altruismo es una postura muy digna en cuanto a actos de solidaridad humana se refiere, pero no entiendo el altruismo artístico, deportivo, científico, técnico etc… (no digo que no sea una postura digna y respetable, simplemente digo que no la entiendo). Yo creo que todo acto de este tipo sí ha de ser auténtico, si se considera por su autor que es un acto con la suficiente importancia como para ser firmado. En este punto nos encontramos con el mismo problema de la interpretación de terceras personas. Alguien puede firmar un acto por pensar que es algo importante para él y otras personas pensar que es una “chiquillada”, no obstante lo que realmente importa es la importancia que pueda tener para el autor del acto, pues debería ser su derecho el firmarlo si así lo considera sin importarle la opinión de otras personas.

(Con respecto al segundo punto). El miedo es algo natural y necesario en la condición humana, por lo tanto con respecto a este punto cada uno tendrá que evaluar los riesgos y considerar si merece la pena firmar un trabajo aun deseando su reconocimiento. No obstante si se parte de la idea que existen unas leyes y que estas leyes han de ser justas, me pregunto ¿deberíamos de tener miedo a la justicia a la hora de realizar y firmar un acto que consideramos destinado a buen fin? Sinceramente no lo sé.

(Punto tres). Totalmente de acuerdo en este punto. Si alguien realiza un acto que considera sin importancia, no tiene ningún sentido ni firmarlo, ni buscar reconocimiento, ni nada, se hace y punto. Por ejemplo: Si hemos leído que un sistema tiene un fallo y conocemos que alguien lo está utilizando, eso no es ningún descubrimiento, el hecho de avisar a la persona que utiliza ese sistema del fallo pienso que no es meritorio. Ahora bien si esa persona no soluciona el problema y el fallo en el sistema implica que terceras personas puedan sufrir consecuencias, quizás si que haya que demostrar el fallo para presionar de alguna forma su corrección. Una forma es graffitearlo, si no se desea reconocimiento se puede utilizar la “imagen anónima”.



En cuanto al apartado 2 del proyecto ARDEINTERNET.NET, pienso yo que es un signo de humildad e inteligencia reconocer que en términos de seguridad informática, cuando hablamos de redes abiertas, la invulnerabilidad al 100% no existe, por lo tanto solicitar a cualquiera que pudiera descubrir un fallo que lo comunique no creo que sea signo de debilidad. Y el hecho de poner un historial de firmas indica que se está estado de continua alerta ante vulnerabilidades y que se reconoce la ayuda prestada, simplemente.

Bueno, espero no haber sido muy pesado, he intentado exponer una opinión sobre un tema que creo que es bastante complejo.

Un saludo.
MA40.

[BuHo]

No, estamos hablando de cosas diferentes, yo solo quiero saber cual es la diferencia entre:

a) Avisar anonimamente sin hacer deface.
b) Avisar anonimamente y hacer deface.

[MA40]

Demostración de forma tajante y sin divulgación de una vulnerabilidad, sin causar daño pero presionando para su parcheo, y a la vez la sugerencia al webmaster de que se plantee el acuerdo del proyecto ARDEINTERNET.NET para futuras posibles vulnerabilidades.

NOTA: Mirar el código de la web graffiteada como ejemplo http://www.ardeinternet.net

No sé si te refieres a eso.
No obstante puesto que no se debería destruir contenidos en el servidor  vulnerable, tampoco se debería poder eliminar huellas y por lo tanto si no se hace ocultando la IP, cosa muy dificil, no existe la posibilidad de hacer un graffiti electrónico anónimo.

Saludos.
MA40.

[BuHo]

si no se hace ocultando la IP, cosa muy dificil

 :shock:  :shock:  :shock:  :shock: Vamos por pasos... te parece dificil ocultar una IP y quieres ponerte a buscar vulnerabilidades?

Yo siento rebatirte, pero es que mi concepto de hacking y lo que veo que es el tuyo chocan de frente.

Además, no se puede "presionar" para un parcheo. Los fallos se avisan al administrador, y si no los corrige, se publican, y que le pase lo que sea, que habra sido culpa suya, pero no encunetro demasiadas razones que justifiquen un deface, ni con buena intencion , ni con nada. Solo me valen: venganza, odio al contenido de la pagina a defacear, y poco mas, pero claro, eso si que se hace por joder, no por mejorar la seguridad de nada.

Que vale, que la idea es "divertida", de acuerdo, que lo de firmar queda muy H4X0R 31337, tambien, pero no es serio! Es una forma de poderle decir a los amigos, "metete en esta pagina y mira lo que he hecho", o si no, para que repites otra vez que veamos que has puesto un pixel con un gif grafitteado?Internet no funciona mejor por los defaces, funciona mejor porque la gente que de verdad se lo curra pasa horas leyendo codigo para buscar fallos, y cuando lo encuentran, avisan y se ponen a buscar otro fallo, sin perder tiempo en colorear un pixel y subir un gif.

Sinceramente, yo sigo pensando que es  una chiquillada, pero bueno, supongo que ya dije que no me parecia bien y no debo darle mas vueltas.

Un saludo y suerte.