BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

La Guardia Civil detiene a un "auditor de seguridad"

Joshua Llorach

La Guardia Civil ha detenido en Barcelona a un supuesto auditor de seguridad informática. El detenido se infiltraba en el servidor web de diferentes empresas para posteriormente ponerse en contacto con ellas avisándoles que su servidor estaba expuesto y ofreciendo sus servicios de auditor de seguridad para arreglar el problema. Una empresa de Castellón a la que no le ha hecho gracia el asunto, lo ha puesto en conocimiento de la Guardia Civil, quien ha conseguido tracearlo hasta localizarlo en Barcelona. Entre otras cosas, se le ha confiscado el router ADSL con el que accedía a la red.

Parece que Delitos Informáticos de la Guardia Civil empiezan a estar preparados para este tipo de incidentes, pero ¿se trata de una reacción precipitada de una empresa es vulnerable o de unos métodos poco éticos del informático?

Más info en Yahoo

💬 Comentarios

1
chespir

Este es como aquellos que operaron un día por mi barrio: se dedicaban a reventar los telefonillos de los portales, para luego poner una pegatina de "reparación de telefonillos, teléfono tal". En fin, si no viene el negocio, habrá que ir a buscarlo. En cualquier caso...no hay ex-hackers trabajando para la seguridad de multinacionales?

De todas formas hay que ser estúpido para hacer fechorías desde un ADSL. No hace falta que os diga que en 5 segundos, a partir de una dirección estática de ADSL, se sabe hasta el color de tus gallumbos, así como que en la lentitud burocrática de la operadora del monopolio, las órdenes judiciales se desenvuelven con una rapidez tremenda.

Incluso a las llamadas "anónimas" a nodos de telefónica y de t-data, con los módem de toda la vida, con IP´s aleatorias, se les puede rastrear fácilmente dado que los logs de conexión no se borran. Que valga la información para los hacker de fin de semana buscando el subseven, etc.

salu2

🗨️ 11
ZeNTuRe

este señor solo avisa a la empresa de q es vulnerable, no les rompe nada, solo comprueba si pueden ser blanco de un atake o no.

un tio q te revienta el telefonillo ya esta incurriendo en un delito, y esta generando EL MISMO su trabajo

si una empresa es vulnerable, el tio no tiene la culpa, solo buska trabajo donde lo haya, igual q un agente de seguros o el tipico tio q t vende libros

🗨️ 7
BocaDePez
BocaDePez

Este aprendiz de hacker si comete un delito, pues esta penado por la ley meterse en propiedad privada y este lo hizo, aunque sus ideas sean buenas, si esta cometiendo un delito por el simple hecho de infiltrarse en los servidores ajenos...

🗨️ 3
TuxRulez

No está tan claro, este caso es como si dejaras abierta la puerta de tu casa, el que entrara estaría cometiendo un delito o....a lo mejor estaba de visita.

Tampoco se puede demostrar que detrás de esa ADSL estaba el tipo ese mientras no hayan testigos, a lo mejor tenía una fiesta en casa y era un amigo suyo, el tio tambien podría tener algún puerto socks abierto y hacer de bouncer de otros hackers y asi podriamos dar un montón más de excusas.

La culpa en primer lugar es de la empresa por dejar su ordenador abierto y luego del intruso por haberse metido, pero si dejas las puertas de tu casa abiertas no esperes que no te roben.

🗨️ 2
BocaDePez
BocaDePez

Lo mires por donde lo mires, tal como estan las leyes actuales, da igual para lo que ha entrado, si ha cometido un delito puesto que ha entrado sin el consentimiento del dueño de esa propiedad privada. Es mas, si yo me dejo la puerta abierta y tu entras en mi casa, sea para lo que sea, tu tienes el deber de informar antes que vas a entrar, si no lo haces, puedo denunciar que te has metido en mi propiedad sin mi consentimiento, por lo que se te acusaria de un delito.
Luego, eso de que la principal culpable es la empresa..., joder encima que le roban a uno va a tener que pagar al ladron..., ya puede dejarse uno la puerta abierta, las ventanas, lo que sea, tu tienes el deber moral de no introducirte donde no te llaman, cometiendo un delito si no cumples este. Esto es igual que el que se encuentra un maletin con 100 millones de pesetas, si el dueño denuncia su desaparicion y descubren que tu te has hecho con el y no lo has devuelto, serias condenado por hurto. Es tu deber devolverlo a las autoridades y si en un plazo de dias, no aparece el dueño, pasaria a ser tuyo, nunca puedes quedartelo de buenas a primeras (aunque pocos lo devuelven).

🗨️ 1
BocaDePez
BocaDePez

lo que deberia haber hecho es ofrecer sus servicios a cualquier empresa sin haberse introducido antes en su sistema, a mi no me pareceria nada bien de ser el dueño de la empresa que el susodicho hiciese eso.

🗨️ 2
BocaDePez
BocaDePez

los responsables de informática y administradores de sistemas suelen ponerse flamenquitos y se resisten a reconocer que su sistema sea vulnerable. En resumen, que al probesín auditor le dirían que dejase su tarjeta, por si acaso un día, y puerta.

Esa es la realidad.

phx

Para saber si se ha introducido deberiamos ver el informe que esta persona entregó a la empresa. No es lo mismo decir "veo que tienen esto abierto y puede ser peligroso si alguien blablabl" a decir "viendo esto abierto entre y vi que esto otro tambien bla blabl", lo mismo todo se ha quedado en peticiones al server que han devuelto una respuesta específica que hace que pueda ser, en determinados casos, vulnerable a ataques semejantes. Por eso creo que no podemos decir que realmente entrara pues el informe no lo hemos visto.

En otras palabas, si la puerta de mi casa tiene un roto y se puede abrir y me avisan lo agradezco; si por ese roto entran y una vez dentro de mi casa me avisan me da por culo.

Pero el primero no es delito, el segundo sí. (En cualquier caso te jode por no haberlo visto...)

Saludos.

BocaDePez
BocaDePez

asi ke los de los telefonillos tambien operaban en tu barrio????? pfpfpf en el mio hicieron exactamente lo mismo solo ke sin poner la pegatina, eran mas caraduras ya ke tenian la tienda al lado del portal :P.... claro ke kualkier dia se kedan sin cristales.... carnaval carnaval!

---burbujaaaa---

BocaDePez
BocaDePez

Lo que pasa es que este tio es medio gilipollas... a mi me viene alguien plantando su ip en el servidor q me acaban de partir en la empresa.. y le meto el puro mas grande que pueda por leim, porque ese tio es un payaso. Si no sabes ni borrar las huellas ni ir por la vida sin dejar tu ip hasta en el ultimo.log.. no vales nada, q le vas a enseñar a mi empresa sobre seguridad informatica?

Y que mas dara desde que linea lo hagas? Desde cualquier linea puedes ocultar tus pasos, y te aseguro q no son 5 segundos mirarme el color de los gayumbos, estarias saltando antes como un desesperado de ip en ip.

Un abrazo al tio este que se ha pensado q era tan facil hacer negocio (todos los que partimos pcs hemos tenido esa idea alguna vez) y tranquilo que en españa no te van a tocar por una lamerada como esta. Y a ver si los que contestan tienen algo mas de conocimientos que el chespir este xuper jeiker.

BocaDePez
BocaDePez

Hola:

Me ha parecido curioso tu comentario sobre la posibilidad de hacer llamadas anonimas desde internet.

Desde hace algun tiempo estamos recibiendo en mi casa llamadas a altas horas de la noche desde un numero aparentemente legal (puesto que sale en el telefono de nuestra casa identificado como 91... ); la cuestion es que despues de hablar con telefonica y revisar el registro de numeros existentes, nos han dicho que este numero que nos llama NO EXISTE, claro, nos hemos quedado de piedra y navegando por la red he encontrado tu comentario que hace referencia a la posibilidad de hacer llamadas anonimas desde internet. ¿me podrias dar algo mas de informacion al respecto? porque la verdad, no sabemos que hacer y estamos completamente indefensos con respecto a estas llamadas, nos gustaria descartar la posibilidad de que fuera alguien desde internet el que hace esta llamada y no sabemos que tipo de comprobaciones podemos hacer

Nada mas, muchas gracias por tu tiempo y me gustaria que nos ayudaras

Reitero mi agradecimiento

Puedes escribirme si lo consideras oportuno a ibanyez2@hotmail.com

Lionel

Si no ha puteado en absoluto a dicha empresa, me gustaria saber el por que de la denuncia. Es como quien se deja el coche abierto sin darse cuenta, y un tio te da un aviso para que lo cierres bien... mientras no se haya dedicado a fisgonear en lo que hay dentro...

No creo que sea comparable al tema de las cabinas porque un servidor se supone que no esta expuesto, y si se produce una entrada no autorizada esta claro de quien es la culpa, del administrador del servidor. Pero tal vez el admin sea el jefazo de dicha empresa y claro, siempre es mas facil echarle la culpa a los demas :P

Al menos este tio podria haberse dedicado a sus trabajitos desde un cyber...

🗨️ 1
ketekojo

No estoy de acuerdo en lo que se le ha hecho al tio, pero tampoco en tu ejemplo del coche. No es que dejaras el coche abierto, es que el tio te lo ha abierto, y te dice que aprovecha para venderte unas cerraduras de seguridad que son lo mas guay que te puedas encontrar. No creo que te hiciera mucha gracia que metieran mano en algo que es tuyo, aunque el chaval, haya tenido buenas (o malas) intenciones...

He dicho...

NetVicious

Ahora el auditor tendría que decir el nombre de la empresa, y le iba a caer una buena, por listos....

Además el hecho de que el auditor realizase el checkeo desde su ADSL sin pegar ningún bote ya indica que el chaval no quería hacer nada para joder a la empresa.

MurdockDj

El chaval en cuestion no ha cometido ningun delito, ya que no ha hecho nada ilegal, simplemente ha entrado y ha recomendado una solucion, verdad que cuando ves que un vecino se deja una ventana del coche bajada, le avisas para que la suba ? o si le han roto la ventana, o si simplemente no tiene bien cerrada la puerta, tu como persona, eticamente tienes el deber de avisarle ?

Pues para el caso me parece que es lo mismo, de hecho conozco varias empresas que tienen bugs iguales, no quiero dar nombres ni ip's, pero en castellon tengo filadas unas cuantas, ahora me planteo que debo hacer, si lo comunico, es posible q me pase lo mismo ?

En fin, es vergonzoso que en el mundo en que vivimos se castiguen las buenas obras :(

MurdockDj

Es mas me atreveria a decir que la empresa deberia ser castigada por la ley, teniendo en cuenta que ha expuesto la informacion y perdido la confidencialidad que tanto sus trabajadores como clientes depositan en ella.

Al igual que a Telefonica se la denuncio por dejar un servidor abierto, con datos de clientes, a esta tendrian que hacerle lo mismo, pues es su obligación encargarse de proteger la información.

A nosotros se nos exige confidencialidad, sobre nuestros clientes, por eso tenemos que destruir papeles, nominas, cartas... antes de tirarlas a la basura. Para que ? para evitar que un espontaneo de con algo de informacion que comprometa la confianza que tienen las empresas en nosotros.

Me parece muy mal, como se ha tratado a esta persona.

Al fin y al cabo, cada uno se gana la vida como puede, y siempre se ha dicho, en los nuevos negocios hay que buscar necesidades, y ofrecer soluciones. La empresa en cuestion deberia estar agradecida, de que no hiciera como algunos, que se dedican a vender la informacion al mejor postor.

TA luego !

🗨️ 4
BocaDePez
BocaDePez

Murdock no estoy de acuerdo , ese pavo se la ha buscado, jugaba son fuego y se ha quemado.

Es como si yo me pongo en tu casa a ver las distintas maneras de entrar para robarte, y cuando descubro que la puerta es facil de forzar, te digo que por 300€ te pongo una alarma anti cacos...

Que no que no , que no se puede hacer el juanquer por ahi como si nada xDD

🗨️ 3
TuxRulez

Murdock seguía teniendo razón, el tipo podría haberse dedicado a entrar, no avisar a nadie y vender los datos de estas empresas al mejor postor, no le hubiesen pillado nunca ¿verdad? y además la empresa al no saber que es vulnerable seguiría generando información nueva que vender. Un negocio redondo vamos.

🗨️ 1
BocaDePez
BocaDePez

Da igual, que no haya hecho cosas peores no quita que lo que ha hecho este mal. Es como si dijeramos que un asesino debe salir de la carcel porque solo lo mato clavandole una navaja, pudiendo haberle clavado un hacha, disparado en la sien y troceado el cuerpo....

phx

Todas las empresas miran las 1000000 maneras para venderte un producto, cuando tienen la mejor forma, hacen que ese producto sea algo que uses tan amenudo que parezca vital para tí. Exactamente igual que en internet, te dan algo gratuito, cuando lo usas lo mejoran, cuando es la hostia te dicen que muchas gracias por ayudarles a mejorar el programa pero que 10 € al mes por el servicio.... y muchas veces picas...

Me parece que eso no es delito...Y lo peor es que picamos....

Andeandaran mis zapas nike?.

Saludos.

chespir

Si no he leído mal el anuncio, no es que el técnico en cuestión "chequease" la seguridad del servidor, sino que se "introdujo en él". Es decir, no es avisar al vecino de que tiene una ventana rota, es mirar las ventanas de todo el vecindario buscando una rota, y luego introducirte por ella para despertar al tipo de su siesta con un carraspeo y decirle que tiene la ventana rota, que tú eres cristalero y además vigilante de seguridad y que le ofreces tus servicios.

Yo creo que si la Guardia Civil ha actuado, es porque han visto o intuído delito. El juicio le dará la razón o no.

salu2

🗨️ 4
BocaDePez
BocaDePez

Pues ya que se han puesto tan gilipollas los de la empresita esa, yo hubiera entrado, le hubiera borrado toda la informacion y qeu se buscaran las castañas del fuego con sus ingenieros de sistemas, encargados de la seguridad de sus servidores. No van de espabilaos? Pos se merecen un escarmiento bien grande , encima que les avisa del agujero de seguridad... quiza tenian unos informaticos ineptos en la empresa , quiza deberian tirar a los encargados de serguridad informatica de la empresa........

🗨️ 3
BocaDePez
BocaDePez

aH, lo que no se ha dicho quiza es ke ese supuesto AUDITOR es medio sudaca y de noseuqe pais, osea, extranjero, quiza han ido a por él por ser 'suda' , si hubiera sido un españolito igual no hubiera pasao nada... y despues dicen que no somos racistas XDDDD. Venga hasta luego.

🗨️ 2
BocaDePez
BocaDePez

qué tendra que ver el racismo con esto?!, en fin, alguno confunde el tocino con la velocidad, y desde luego independiente de las intenciones de dicho auditor esa no es una manera correcta de actuar, no creo que a nadie de los presentes le gustase que se introdujesen en su sistema, sea con buenas o malas intenciones.

Y MurdockDj, no estoy de acuerdo contigo, siempre habra alguien que rompa un sistema, o que entre en un banco, o ... multitud de cosas, y no siempre es por negligencia de quien lo administra o está a su cargo, el hecho de que tu seas susceptible de que te roben no significa que esté justificado el que alguien te robe; con este argumento bien podriamos justificar aquella sentencia de un juez italiano que absolvia a un violador porque la victima llevaba vaqueros ajustados; en fin, el mundo al reves!

BocaDePez
BocaDePez

siempre tiene que surgir alguien mezclando churras con merinas.

Nordic

Os copio el texto que apareció en el periódico Mediterráneo del viernes:
----------

Daña el sistema informático de empresas para repararlas

La Guardia Civil de Castellón ha detenido en Barcelona a un hombre que supuestamente accedía ilegalmente a los sistemas informáticos de empresas para demostrar que presentaban anomalías y se ofrecía después para repararlas, informaron ayer fuentes de la subdelegación del Gobierno.

La investigación fue llebada a cabo por los miembros de la comandancia de Castellón tras la denuncia presentada por un empresario del sector de la cerámica de la provincia, quien comunicó que se había producido una intrusión ilegal en el servidor informático de la compañía a través de Internet. Las investigaciones permitieron logar la identificación del origen del acceso ilegal, que procedía de un usuario de Barcelona identificado como D.H.A.P., de 32 años nacido en Georgia (Estados Juntitos de América), de nacionalidad colombiana y con residencia en Barcelona.

--------------

🗨️ 4
TR2k

bueno ,primero la empresa como tal tiene q defender sus intereses y si alguien irrumpe en su servidor y luego les dice q si quiere q lo arregle, q el sabe como , quien no dice q el mismo deje una puerta trasera para cuando se le acabe la pasta volver a decir q tienen un fallo de seguridad y q si se lo arregla de nuevo. no se , es como si un cracker crea un gusano y luego vende la vacuna ,no es etico ni esta bie hecho. como se hacen las cosas segun mi opinion , se trabaja duro buscando esos pequeños agujeros de seguridad, se comunica a la empresa afectada ,mira tienes esto,en tal sitio dile a quien sepa q te lo arregle y dejas tu firma o nick o aliass ,lo q sea. si lo haces una vez no pasa nada, solucionales la papeleta a unas cuantas empresas y clavalo con alguna grande y tendras a mas de una empresa de seguridad buscandote para ponerte en nomina.

ya se sabe q no es facil pero es como se hacen las cosas.

salu#8226;#8226;#8226;[[#9786;#9829;tr2k#9829;#9786;]]#8226;#8226;#8226;

BocaDePez
BocaDePez

pero dios xD

"La investigación fue llebada"

🗨️ 2
BocaDePez
BocaDePez

No creo que en ningun periodico te cojan como readactor tio listo....

🗨️ 1
BocaDePez
BocaDePez

je , je y je

yo he aki puedo poner esckirbir dela peor manera ke te kieras imaginar , pero si currara de redactor en un periodico , no pondria ç

"llebaba" , amos es que es muy fuerte , hace daño a la vista...

r00z

A mi modo de ver, si yo trabajara de esto haría lo que el resto de empresas o individuos que se dedican a hacer auditorias de seguridad informática. O sea, te presentas a la empresa que crees que pueden interesarle tus servicios, se habla de lo que se va a hacer y cómo, y sólo cuando se tenga un acuerdo escrito es cuando puedes "meter mano" a sus sistemas informáticos.

Para ser más concretos, si yo fuera el colombiano este, habría ofrecido una auditoria bien simple desde el "exterior" gratuitamente (no sin el previo concentimiento de la empresa), a la empresa seguramente no le importaría que le hicieran un 'chequeo' superficial gratis y en el caso de encontrar algo, es muy probable que la auditoria completa y los trabajos para solucionarlo te los encargaran a ti.

🗨️ 1
dunkin

Tienes todas la razón así es como hay ke actuar, se hubiese llebado el trabajo de calle, pero fue por las malas...

Un saludo a todos.

elgnomo

Buenas,

Esto se lo hicieron a mi empresa, cuando salió el famosillo problema del iis que todo el mundo aprovechaba. Un "auditor" nos mandó un listado del contenido de nuestro disco duro, diciéndonos que conocía el problema y que por un "módico" precio nos auditaba y solucionaba el problema.

Ms sacó el parche, lo instalamos y listo. Moscas por el tema, nos dedicamos a mirar el servidor de este "auditor". Encontramos un fallo bastante tonto, le listamos el contenido del disco duro y se lo enviamos, comunicándole que ppor un módico precio le decíamos cual era su problema y se lo solucionábamos. El tipo se puso como un energúmeno, diciéndonos que lo que habíamos hecho era completamente ilegal, momento en el que le dijimos que lo que había hecho él, también. Nunca hemos vuelto a saber del "auditor".

Vamos, que alguien quiera avisarte de un problema en tu servidor, puede ser loable, si se mete rebusca y encima quiere lucrarse con el tema, que le vayan dando. No por que sepamos más que nadie, si no por que, como han dicho por ahí arriba, es como si te dejas el coche abierto, entro, rebusco y luego te digo que te arreglo la cerradura, o que, mejor, te audito el coche y te lo dejo super-guachi-piruli. A vacilar, a la ONU.

be yonki!!!

Salud!

elgnomo

Bocapez

Imaginaos, es comparable a que un cerrajero vaya abriendo puertas ajenas con una radiografia, curioseando en cosas privadas y dejando como tarjeta de visita un "Su cerradura no es segura, venga a mi tienda para que le haga un presupuesto"

Lo que hay que hacer ante un caso asi, por parte de la empresa es evidente, no dejarse chantajear y naturalmente hecharles la bronca a los irresponsables que lo configuraron mal. Denunciar, lo haria en casos como el expuesto.

Cuando se encuentra una vulnerabiliad en un sistema hay dos opciones que considero validas (alguna mas etica que otra), comunicarselo a alguien responsable del sistema y orientarle en donde se encuentra el fallo y como solucionarlo cordialmente, o sacar provecho de este, con la ilegalidad que esto supone, pero el ir de "chantajista" me parece patetico...Ademas si la empresa tiene vulnerabilidades informaticas, que espabilen, que desde un principio contraten a alguien competente y no al primer titulado que les llegue.

BocaDePez
BocaDePez

Hola:

Vamos a ver, ¿a qué viene tanta paranoia con las IPs fijas del ADSL, y lo rápidas que circulan las órdenes judiciales en Telefónica?

Si el tío se ponía en contacto con las empresas para decirles 'esto pasa', supongo que dejaría un teléfono de contacto o algo así, por si decidían contratar sus servicios luego, ¿no? Pues ya está.

¡No le veo el mérito! Encontrar a alguien de esa forma, lo sabe hacer cualquiera! Ja, ja ja.

BocaDePez
BocaDePez
  • Mirad, aparte de que no hay que confundir nunca las palabras etico o moral con Legal. La etica es cuestion de matices y de intenciones, y la legalidad es lo que hay. No se puede decir "me parece que es legal que ...", queriendo decir "me parece que esta en su derecho moral de hacer tal cosa".
  • Lo que este auditor tenia que haber hecho es crear un concepto comercial distinto de como lo ha hecho (pensemos en la pelicula Los Fisgones):

Una intrusion autorizada es trabajo, y se cobra por hacerla.

Una intrusion no autorizada es un delito y se paga una multa o lo que sea por hacerla.

La idea es conseguir que parezca que se hace por trabajo. Asi que le mandas un mail al admin de la empresa diciendo: "Enhorabuena, ha sido usted agraciado con una revision de auditoria para su sistema GRATIS, no desperdicie esta oportunidad y haga click aqui... Recuerde, gratis y sin compromisos.."

Si el tio pincha ya tienes permiso y un cliente potencial, y encima el gachon no solo no se enfada, sino que piensa que le estas ofreciendo un chollo... bueno, o no XD

Pos na, espero que os guste la idea, aunque sea como coña... Y si se os ocurre llevarla a cabo no os cobro copyright, pero avisadme pa que me ria un rato... (by SuD)

1