Manifiesto por problemas “legales” (Escrito con ira y con un toque de inmadurez, pero no por eso el argumento dilematico es invalido)
Plantéense este ejemplo .
Una empresa ´a´ deja algún servicio abierto apropósito, pongámosle algún router sin clave. Ahora bien, pirulito llamado ´b´ esta paseando por la red y lo encuentra y por arte de magia entro sin que el quisiese entrar...
Esta empresa puede ganar un juicio ya que ´b´ al no pensar que iba a entrar, uso su conexión y por ende lo ubicaron fácilmente.
¿Quien tiene la culpa?
El echo de que las empresas tengan servidores y a su vez a razón de esto tengan servicios que dar a sus clientes o a la red misma, no quiere decir que no tengan que tener responsabilidad para con ellos, al contrario!. Si EPi va por la calle y se encuentra una billetera, Juancito no lo puede denunciar por mas que tenga filmada la situación, ya que si las personas son irresponsables es culpa de ellas.
Y no saquen cosas fuera de contexto, ya que no hablamos de robar!, simplemente ustedes caminan por la calle y tal vez se encuentren algo de valor tirado(no es habitual ya que la gente en esas cosas es medianamente responsable), pero nosotros "caminamos por las redes", no nos vengan a querer poner una ley. Nosotros somos los ciudadanos de internet, nosotros somos la causa por lo cual ustedes se sienten orgulloso cuando un equipo esta bien protegido, pero tambien somos la causa de crear justamente los nuevos parches, puesto que las vulnerabilidades no se descubren solas (por ahora)
No sean hipócritas!.
Es verdad EPi hace auditorias a muchas empresas ya sea Fibertel : con su dns vulnerable, con sus servers que se caen con un simple dos(y encima de que sus servers son flojos le hacen juicio a un par de chicos que lo único que hicieron fue crear un programa que hacia un dos!, y le quieren sacar miles de dólares! pero como era muy vergonzoso dijeron que el server se cayo por política y blabla cualquier incoherencia!) o Prima, con fallas gravísimas (pero igualmente estamos contentos con el trato que nos dieron al informarles). Enumeramos? Impsat!, unos de los isp mas importantes de enlace internacional!, con sus red hat viejos con los router ascend que no le filtran los clientes que se listan por finger (al rededor de 170), con los apaches sin parchear, con paginas de pruebas. Sion! que se creen divinos pasando de nt4 a 2000, y leyendo manuales de como cuidar la seguridad, dejando a la vista las tarjetas de creditos de sus clientes!!!, y encima se manejan todo con el escritorio remoto de windows, como si fuera una empresita!. Ni hablar del porque se llama "sion" ...
Arnet?, con su falla fatal que dejo ver los datos de todos sus clientes, con parámetros identificatorios echo por números correlativo (juancito era el id 1, pepe el 2), y que pasaba si uno cambiaba el id?. EPi los llamo por teléfono para avisarle y todos decían q había q hablar con mesa de ayuda y los de ahí sabían menos que los otros, en fin, otro ejemplo mas.
Millicom o Velocom, con las claves de los suscriber sabidos ya por todos, que se pueden cambiar lo que uno desee...
O ni hablar de las empresas que se creen modernas y compran antenas y equipos para wireless y no le ponen clave, y si uno hace wardriving por puerto madero, que es la zona "vip", o sino por el centro, encuentra muchísimas computadoras sin pass.!, O ni hablar del edificio que esta frente a telecom con su gran cámara manejable a través de sus antenas, obviamente sin clave y que uno puede apuntar a cualquier lugar.
No falta nadie, telecom con su 118 que permite a los técnicos poder intervenir una llamada!; o sea escuchar lo que hablamos!!; que clase de ley permite eso?, igual que telefonica que tiene ese mismo servicio pero mas "oculto". Ni hablar de las empresas celulares, o de los celulares mismo permitiendo con un simple cable podes clonar celulares, cambiar datos,, etc, etc... O por que no hablar de las tarjetas prepagas, por ejemplo sesnet.com.ar muy buen servicio lastima que tiene el bug del sql injection y que deja a la vista los datos de sus clientes, así como con un poco de ingenio poder crear tarjetas.
Nada ni nadie se salva en esta vida tan arbitraria ni los objetos que en teoría son "seguros.."
Cajeros automaticos?, tienen botones no marcados, con solo teclear 6 veces en una parte especifica del menú y luego poner la clave 101, se entra al panel de configuración... que falta? lo eléctrico? portones eléctricos vulnerables a un scanner de frecuencias, alarmas?, x28 con claves default para casas!!!(algún día hablaremos de esto), cerraduras? q con un golpe seco se destraba!!, ¿ que nos falta para darnos cuenta que tenemos un código de fabrica?....
Hay un mundo detrás de lo lindo, el underground mas profundo donde se escriben exploit para bugs jamás publicados, esos exploits privados que permanecen ocultos en la mente de su creador, hasta pasados los años que lo da a conocer para poder estar contento ustedes de parchear su sistema y estar orgullosos de eso.
Todo sistema/servicio es vulnerable a la vulnerabilidad misma, puesto que si no es asi, como explicarías que tu sistema ¿no es vulnerable?
Ustedes encárguense de cuidar sus sistemas y nosotros nos encargamos que "nuestro mundo" sea seguro.
Para que esto sea así, las maquinas y los que cuidan de ellas(principalmente), tienen q conocernos mejor.
Y para terminar, un último suspiro hablado. Ya que nosotros podemos...
"Todo sistema esta dentro de la red misma de redes, por ende somos hermanos y compañeros de vida. NOS TENEMOS QUE CUIDAR MUTUAMENTE."
Nosotros pelearemos para que las vulnerabilidades sean cada vez menos, justamente haciendo público las irresponsabilidades que las hacen ser tan "evidentes".
"el dia que flotes por mi camino te voy a intentar abordar, tal vez fracase pero yo voy a seguir siendo el mar"
|
