Ayuda en bajada de phishing (sertotal.cl)

Rodrigo Fuentealba darkprox en gmail.com
Lun Dic 18 14:58:12 CLST 2006 

El 18/12/06, José Miguel Vidal lavín<jmvidal en sertotal.cl> escribió:
> Sergio E. Miranda escribió:
> > Estimados,
> > Estamos tratando de bajar un sitio phishing alojado en la maquina
> > 200.75.29.158, de gtdinternet, la cual esta siendo usada por la empresa
> > sertotal.cl
>
> Señores
>
>     Respondo tarde a este mail por motivos de exceso de trabajo fuera de
> santiago, varios puntos a comentar.
>
> 1.- Alguien de ustedes entregaria informacion a una persona que llama y
> dice ser de tal institucion y al minuto pide info de los servidores y
> correos y cosas por el estilo sin que uno pueda confirmar si esta
> persona realmente cumple esas funciones?

Basta decir "Ya estamos trabajando en ese asunto, por lo que no se
preocupe. Nosotros no podemos brindarle esta información por el hecho
de ser privada y no podemos comprobar su identidad en un periodo de
tiempo tan corto."

> 2.- me parece extremadamente informal el hecho de no presentarse
> personalmente en las dependencias nuestras para resolver el tema, con
> documentacion en mano.

Eso es cierto, sin embargo en /todas/ las ocasiones que conozco en que
ha habido un compromiso de seguridad revelado por terceros, primero se
averigua si efectivamente hay tal y luego se comprueba la identidad de
la persona: un aviso poco serio puede ser por causas realmente
/graves/ (p.ej. phpmyadmin en http://www.victima.com/phpmyadmin/ sin
clave y accesible para todos... no falta el idiota)

> 3.- quien les da el derecho de publicar esta informacion en una lista
> como la de linux y la de sysadmin?, es un tema delicado y privado.

Desde los primeros correos discutimos respecto de si es procedente
hacer un disclosure de fallos de seguridad.

> 4.- Yo soy el admin que les colgo por la falta de seriedad y cero
> procedimientos que tienen.

Estamos ante un caso dificil de resolver. Por una parte, si fue
improcedente realizar un anuncio de errores de seguridad en una lista.
Por otra parte, el administrador de sistemas debe proceder de manera
éticamente correcta, esto es: no proporcionando datos sobre servidores
/ni aunque la persona se identifique correctamente como una entidad de
confianza y comprobable: la ingenieria social aunque no queramos
funciona/ y dejando en claro que ya se esta trabajando en el asunto,
por lo que en un corto plazo deberia solucionarse: /no colgando/
porque eso hace suponer cosas terribles.

> ahora, se dignaran a cooperar como corresponden?

Esta lista de discusion es un grupo homogeneo, en el que cada persona
se responsabiliza por los correos electronicos que envia, y al momento
de inscribirse esta claro que toma conocimiento de la cantidad de
usuarios existentes en el momento.

Por lo demas, si existen dudas /tecnicas/ que se puedan solucionar a
traves de la lista y para el conocimiento publico, el procedimiento ya
es conocido por todos los lectores.

> ya el tema esta resuelto y si quieren informacion solo deben pedirla por
> mail o personalmente en nuestras oficinas.

Muchas gracias.

-- 
Rodrigo Fuentealba Cartes
Desarrollador de Sistemas Web
Registered User 387639 - http://counter.li.org

Más información sobre la lista de distribución Linux