lunes, 5 de septiembre de 2016

Los reportes, la historia de los forajidos informáticos.

Muy buenas a todos, ya que este blog va dedicado a contar experiencias dentro del mundo del hacking y la seguridad informática, me gustaría compartir a parte de mis experiencias, otras situaciones que les hayan podido pasar otras personas, si estás interesado en contar alguna experiencia contactame, ya sea por Twitter, por Facebook o por correo.

Hoy os voy a dejar algo muy interesante que le pasó a un usuario de Underc0de llamado Copernico.

Los reportes, la historia de los forajidos informáticos.

Para todos los que nos dedicamos al tema de la informática y la seguridad, ya sea por hobby o por trabajo, reportar vulnerabilidades es un trabajo riesgoso que a los diseñadores y administradores no les suele sentar muy bien y por ello suelen reaccionar de mala manera. Esto es bastante comprensible ya que a nadie le gusta que le digan que hace mal su trabajo, imaginaos al panadero, que de repente llegan a su panadería y le cuentan que hace mal el pan, por supuesto no le sentará bien. Sin embargo, si la vulnerabilidad es reportada con educación, respeto y lo más importante, sin hacerse el sabiondo, se suelen recibir respuestas más relajadas pero tampoco mucho más agradables (por lo general un: vale lo revisaremos).

Ojalá hubiese sabido esto hace un año cuando apenas había reportado un par de fallos y lo hacía rápido y mal, sin explicar quién era ni  como lo había descubierto. Mi caso se dio en una tienda de cámaras y dispositivos de vigilancia que tenía, y tiene, un fallo SQLinjection. El no saber cómo reportar y hacerme un poco el sabiondo hizo que me respondieran de una manera seca y como si fuese cachondeo.




Aunque la verdad es que me respondieron más o menos igual que como yo les escribí XD. Lo tengo merecido. Lo dejé correr y seguí a lo mío intentando aprender hacking.

La cosa es que como por aquel entonces no tenía mucha idea (solo hacía SQLI para ser más exactos) solía repetir muchas veces lo mismo a la hora de buscar vulnerabilidades a lo loco por Google (sí, daba asco, lo sé)  me volvió a aparecer la misma página y me pregunté: “¿serán tan inútiles como desagradecidos?” Y me metí de nuevo, por supuesto no lo habían arreglado por lo que les mandé otro mail pero en esta ocasión algo más contundente, les dije su contraseña de administrador –que por cierto, era “Administrador” y el usuario el nombre de la web con un 1 al final, si señor– y que al igual que yo cualquiera podría robarles la información.  Tras esto se enfadaron un poquitín, con razón, y me respondieron lo siguiente.


Es en este momento cuando a alguien con muy mala idea como yo se le pasa por la cabeza: …';shutdown -- … Pero eso es solo para Navidad a modo de regalo.

La verdad es que cuando a uno le llaman criminal se piensa las cosas dos veces pero en este caso supongo que lo dijeron para acojonarme y que les dejase en paz o la policía pasó de ellos, ya que a partir de ese mail no recibí nadad más, aunque a día de hoy siguen igual, pero yo me callo y todos contentos… Sea lo que fuere hay que aprender de los errores, yo ya tengo mi propia “disculpa-advertencia” pre-escrita  para cuando tengo que reportar fallos, la copio, le cambio los nombres de las webs y del fallo y lista para mandar . No es gran cosa pero me encargué de hacer hincapié en que es sin querer y que no les he provocado ningún daño para que se queden tranquilos. No he sido muy laureado durante este añito que llevo de reportar pero no todo son malas noticias el 31 de agosto por fin alguien me agradeció que les hubiese encontrado un fallo. En una web de juegos y apuestas me regalaron 20.000 points y desde aquí se lo agradezco.



Parece ser que no todos los administradores se lo toman a mal y es que si se hace con educación y respeto cuenta la leyenda que algunas empresas lo agradecen… Pero vamos que son solo leyendas, no busquéis beneficio a la hora de reportar porque os vais a llevar un canto en los dientes.
Muchas gracias, espero que os haya gustado.


Gracias Rollth por darme esta oportunidad a un neófito como yo en el mundo del hacking. 

Saluti.

Grasias Copernico por escribi el pos, io solo pensaria en vengasa!!!!

No hay comentarios: