Sitio personal de Ariel M. Liguori De Gottig

Thursday, March 5

Legalidad vs Ética vs Egoísmo

¿Cuantas veces se han encontrado con una vulnerabilidad en alguna web-app y se han visto en la necesidad de reportarla?
¿Cuantas veces esta acción fue bien recibida?
¿Que riesgos corremos al hacerlo?

Al detectar alguna anomalía en la red hay que pensar bien antes de actuar. Según el país y la ley en la que nos encontremos el siple hecho de encontrar una vuln puede ser visto como violación a la ley. Sí, no estoy loco con lo que digo y lamentablemente la Argentina es uno de esos países.

¿Como es que sucede esto?
Digamos que por accidente en un motor de búsqueda de una página ingresamos alguna comilla que hace resaltar un SQL Injection.

Al reportárselo al WebMaster el mismo puede actuar en consecuencia y en lugar de agradecernos (que es lo que nosotros esperaríamos) puede demandarnos! ¿Por Qué? Simple, violamos algunas de las premisas que integran la seguridad de su aplicación.

Por ejemplo podríamos obtener sin querer el directorio donde se encuentra alojado el webserver o "trabajando sucio" ingresar al sistema y demás.

De nuevo ¿Por qué?
Más simple aún. ¿Como verían ustedes que un individuo venga y nos diga que nuestro código esta mal realizado? Algunos le agradecerían la detección del bug y otros simplemente se enojarían con él y se negarían a escucharlo...egoísmo.

Lamentablemente en estos casos se complica el accionar ético que nos nace desde adentro y debemos evaluar la situación.

Una discusión acerca de este tema se generó en el foro de Segu-Info, es interesante conocer lso limites que deben tener nuestras "buenas acciones".

Saludos,

0 comentarios: