Ayuda en bajada de phishing (sertotal.cl)

[Rodrigo Fuentealba]

El 24/12/06, Horst H. von Brand<vonbrand en inf.utfsm.cl> escribió:
> Rodrigo Fuentealba <darkprox en gmail.com> wrote:
> > El 21/12/06, Horst H. von Brand<vonbrand en inf.utfsm.cl> escribió:
> > > Rodrigo Fuentealba <darkprox en gmail.com> wrote:
> > > > IANALT pero hay harta agua sobre la que sostenerse al respecto: la
> > > > demanda de Microsoft hacia un grupo de personas que descubrio que el
> > > > codigo fuente de Longhorn hace un tiempo quedo ahi, porque el FTP era
> > > > publico. Luego de eso echaron a los empleados encargados del
> > > > problemita.
>
> > > No veo la diferencia...

Descargar el codigo fuente no es lo mismo que divulgarlo en un FTP
publico. No es lo mismo escribir

$ cp longhorn.code.tgz /home/ftp

que escribir

$ wget http://www.microsoft.com/longhorn.code.tgz

> > Si
> > el atacante no ataco al sistema, no hay ley que lo pueda poner bajo
> > arresto ni nada de eso.
>
> No entiendo de que hablas.

Si yo entro al FTP de la UTFSM con la cuenta anonima (invitado) no
estoy atacando al sistema, por lo que no soy un atacante... Si lo hago
autenticandome como usted, Doc, claro que soy un atacante por el solo
hecho de no ser usted. (Dudo que usted tenga una password facil de
quebrar en todo caso :P)

Si entro con una cuenta anonima en un FTP de Microsoft y descubro que
hay algo que dice "Longhorn Source Code", el solo hecho de que alguien
con permisos de administrador lo ponga ahi me da la idea de que puedo
descargarlo: no es mi problema saber si efectivamente fue el
administrador el que lo puso ahi o alguien que se paso de listo. En
algun momento lo ataque? me abalance contra el con IDS, John The
Ripper, decriptores, exploits contra el? No, simplemente usar el
username anonymous en ftp.microsoft.com que es de conocimiento publico.

> > La recomendacion es de que se ponga avisos de seguridad como "Acceso
> > restringido.". De esta manera el atacado queda en una
> > posicion mas fuerte en relacion al atacante. Absurdo, pero bueno...
>
> Absurdo, y malo. Asi que si pongo una chapa en la puerta, tengo que poner
> que esta prohibido hacer saltar la chapa?

No, pero si tiene cuatro perros asesinos entrenados para matar,
deberia poner un cartel que diga "cuidado con los perros" y si maneja
acido muriatico en una planta, debe poner todo el cuidado por que
nadie transite por ahi, de tal manera que automaticamente la
responsabilidad se transfiera a la persona que va por ese lugar sin
proteccion. El usuario no podra decir "no, yo no sabia eso" (bueno, en
el caso del acido muriatico, si es que queda algo de usuario y si ese
algo puede emitir juicio...)

Eso es un resquicio legal del que se han aprovechado varios hackers
para quedar libres, por eso la observacion.

> Si doy permiso de acceder a mi
> servidor FTP, y alguien se aprovecha para hacer estupideces, tengo que
> haberle avisado antes que eso no se hace (cuando se supone que cualquiera
> con 2 dedos de frente lo sabe)?

Asi de sucios son algunos abogados, se aprovechan de que uno no
publico eso en un ftpd_banner para hacer pebre a los pobres sysadmins.

> > > Quien lo haya puesto alli obviamente merece las penas del infierno (no,
> > > no solo porque ya hay suficiente basura en la red ;-). Probablemente
> > > contravinieron su contrato y una que otra ley en el proceso.
>
> > Pero, convenimos en un punto: eso es para quien /lo haya puesto alli/.
> > NO para el que lo descargo.
>
> Y quien lo descargo tambien esta en falta. /Obviamente/.

Claro que si, si es que tiene discernimiento.

-- 
Rodrigo Fuentealba Cartes
Desarrollador de Sistemas Web
Registered User 387639 - http://counter.li.org