#30 Tus "conocimientos" por lo general solo sirve para joder el trabajo de otra gente.
Y lo peor es que las víctimas no se pueden defender.
#31 El conocimiento no es ni bueno ni malo, solo es eso, conocimiento; este en concreto puede servir para hacer cosas malas, pero también puede servir para si alguien tiene un sistema de esos, sepa el riesgo, y le pueda poner solución antes de que ocurra nada.
Pero ya veo, es mucho más facil que un par de personas sean las que tengan el monopolio del conocimiento, así nadie más puede hacer nada malo con él.
¿Quieres que haga un post con conocimiento que solo sirva para destruir?
Tu comentario sería correcto si te limitases a avisar del problema y explicarlo, en el momento en el que facilitas la reproducción del mismo, y más aún hasta el punto de prácticamente haz dos clics... pues como que tu defensa pierde todo su valor, lo siento.
No es lo mismo explicar como funciona un arma, que ir repartiendo armas cargadas.
#35
/facepalm
Pues yo me he leído el hilo y no me he enterado de una puta mierda.
Así que supongo que habrá que tener conocimientos de antemano.
#29
Creo que tu post es un sin-sentido. El conocimiento humano pertenece al mundo. Hay mezclas muy básicas empradas en química que te permiten hacer bombas caseras. ¿No las explicas? No puedes censurar lo que le "conviene" a la población, porque lo que le conviene de verdad es absorber cualquier conocimiento disponible.
#33
Tu símil es incorrectísimo. Exponiendo los fallos que, aunque envies un report a una empresa grande suda de ti y aunque detecte el fallo seguramente no te avise y te deje con el culo al aire igualmente; te permiten defenderte (si hay posibilidad de ello) o cambiar el dispositivo por uno que no tenga backdoors.
Es IMPOSIBLE a nivel de lógica que compartir información sea peor que no compartirla. Lo que veo que el Estado y las grandes corporaciones y empresas de seguridad y grupos de control europeos han hecho un buen trabajo con vosotros.
#32 Espero impaciente el próximo capítulo donde expliques como hacer dinero extorsionando a empresas y organismos con vulnerabilidades. Que al fin y al cabo es a lo que se dedican la mayoría de tus hackers.
#35 ¿Sabes lo que es "security through obscurity"? Aunque la culpa más que de allmy es del Google por permitir esas búsquedas.
#36 Es precisamente la seguridad por ocultación lo que produce la mayoría de los casos de extorsión. El hecho de que un bug de seguridad, que antes o después va a ser descubierto, solo lo sepan un puñado de personas genera mercado, le da valor, y genera un mercado al rededor de ello, que suele acabar en eso, extorsión y desprotección de los usuarios. La seguridad por ocultación es una puta mierda, y debería de ser hasta denunciable. Estas jugándote a cara o cruz que vendan los datos privados que almacenas.
La culpa es de google por no censurar los resultados? O de shodan por pedir las cabeceras a todas las ips disponibles? O del inútil que ha dejado el servidor de backups de su empresa sin contraseña!!!! que los hay... cientos de miles xD
Si es que los inútiles lo solucionais todo igual, la culpa es siempre de todo el mundo, menos vuestra por no saber hacer bien vuestro trabajo. Lo demás son muy malos, y todo el mundo tiene que censurar todo para ocultar la mierda de agujeros que tiene lo que haceis. Así no me extraña que pasen las cosas que pasan...
#35 Seguridad por ocultación, o "security through obscurity", es la política de seguridad basada en que, "si nadie lo ve, no importa". Este tipo de políticas han logrado por ejemplo hacer de Windows el sistema operativo más seguro del mundo (ironia).
Hay algunas empresas a las que las envias un report, y lejos de decirte: "muchas gracias, ya lo solucionaremos", te amenazan con demandarte. xD
Lo que hay que leer por aquí madre de dios...
#36 Tu como siempre demostrando tu ignorancia. ¿Que tontería es esa de "extorsionando a empresas y organismos con vulnerabilidades. Que al fin y al cabo es a lo que se dedican la mayoría de tus hackers."? ¿Sabes el proceso que se ha seguido en este caso para liberar la vulnerabilidad?
#36 ¿sabes que la seguridad por oscuridad no es seguridad?
Por cierto, ¿por decirlo en inglés eres más inteligente o sabes más?
Busco seguridad por oscuridad, veo que es un error garrafal, apoya mi versión de que publicarlo es menos dañino que esconderlo y que unos entes divinos que hagan pruebas con Windows emulados decidan si hacer daño (o mucho daño) con esa información o no.
#42
¿Y no te pica la curiosidad de por qué en Canadá por ejemplo no haya muertes multitudinarias mediante armas de fuego? Que tú legalices la compra de algo (sustancias, armas de fuego, drogas...) y alguien la lie no quiere decir que por eso tengamos que restringir la libertad de la población a la mínima expresión porque "no se saben cuidar ellos solos".
#38 "Tú como siempre demostrando tu ignorancia" Lo dices como si me conocieras de algo, mediavida siempre me hace reir con sus críos pro-anonymous que creen saber de todo y no saben ni por donde les viene el aire xD
¿Has trabajado alguna vez en algo relacionado con hosting? Ya veo que no, te habrías enterado de a qué me refiero. Todos los días cientos de empresas son extorsionadas por vulnerabilidades. Lee un poco de prensa tecnológica anda.
#40 Simplemente he trabajado y estudiado toda mi vida en inglés, si te molesta la próxima vez lo pongo en catalán que parece ser que es la moda.
#43 Más fácil es ocuparte de tus asuntos y dejar a la gente en paz.
#44 No te conozco personalmente, pero solo con leer tus razonamientos en este post y en el tema del filesharing ya dejas todo claro.
No he trabajado en hosting, pero si he llevado servidores bastante importantes para otras cosas y no te las des de conocedor cuando no sabes de lo que hablas. Los 0Days se cotizan mucho en el mercado negro y la extorsión a la que haces referencia se da precisamente porque un grupo reducido de personas controlan esas vulnerabilidades.
Antes de publicar una vulnerabilidad si el que la descubre no es alguien que pretende hacer daño se siguen varios pasos:
-
Se valora el peligro potencial de la vulnerabilidad
-
Se avisa al propietario del SW
-
Valorando la respuesta:
-Si se muestra favorable se soluciona conjuntamente.
-Si se desinteresa y continua ese comportamiento repetidas veces, se publica para que una vez hecho público el propietario parchee el SW de una vez por todas.
Tu has dicho, "Que al fin y al cabo es a lo que se dedican la mayoría de tus hackers." lo cual demuestra que no tienes ni puta idea de lo que hablas.
PD: Prepotente.
Cada vez que alguien esgrime un argumento del palo "¿Has trabajado acaso...?" me dan ganas de ahogar bebés. A las empresas se las extorsiona por vulnerabilidades que sólo conocen pocos. Si la información fuera de dominio general... sorpresa. Toda extorsión se acaba cuando la haces pública. Si sólo 1 persona sabe que le pones los cuernos a tu mujer, si se lo dices o lo haces público se acabó la extorsión, etc... si publicas una vulnerabilidad, tú lo sabes y la puedes cubrir / evitar, y la empresa al verlo si antes no quería parchearlo por los motivos que sea, ahora estará obligada (o tendrá muy mala prensa en sus usuarios o futuros usuarios).
Según tú #44, qué hay que hacer cuando uno encuentra una vulnerabilidad.
la gente tipo #44 me parecen muy ingenuos, si compras un coche en el que si rozan el parachoques se desmonta ¿que harías? ¿culpar a los mosquitos que atropellas?
Tanto si la web o lo que sea la hace el primo o una empresa grande, tener fallos de seguridad es una chapuza y se deberían solucionar. Ocultarlo o culpar a los atacantes no es la solución y si te joden para la próxima ya sabes que pasa con las chapuzas.
#42 En Canadá hay más armas que habitantes, y tienen menos muertos por armas de fuego de manera intencionada que España. #43 Para qué, las llamadas son caras, es más barato probar "1234, 123456, admin, cisco, root, toor, alpine, password, 654321, passw0rd" xD Aciertas en el 90% de los casos en routers, ftps, nas, páginas y cosas sin mucha importancia.
#44 No se quien te ha contratado, ni donde te han enseñado que la seguridad por ocultación funciona, pero tela... Dime el nombre de tu compañía para no daros nunca mis datos xD, probablemente los tengais hasta sin cifrar en un servidor sin parchear desde el año 2000...
