Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Condena en Francia por publicar una vulnerabilidad en un programa | Log in/Crear cuenta | Top | 105 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Spanska

    (Puntos:2, Informativo)
    por pobrecito hablador el Miércoles, 09 Marzo de 2005, 23:08h (#459862)

    Guillermito (su apodo)

    A lo mejor con ese otro nombre suena más [google.es]...

    Con esto quiero decir que no se trata de un caso más, y que probablemente se ha tenido en cuenta su pasado para tratar este caso, y que eso ha influído en el veredicto final.

    Ojalá pudiera decir que esto es imposible :'( (por el bien de Guillermito).

    • FACIL de Yatique (Puntos:1) Viernes, 11 Marzo de 2005, 08:11h
    • Re:Spanska de pobrecito hablador (Puntos:0) Viernes, 25 Marzo de 2005, 08:09h

  • Depende, todo depende.

    (Puntos:1)
    por Piojazo (18445) el Miércoles, 09 Marzo de 2005, 23:10h (#459865)
    ( http://barrapunto.com/ )
    Por un lado, contribuir al desarrollo de un programa reportando bugs es una cosa, pero publicar el defecto beneficiando más a los maliciosos que a las víctimas no creo que lleve muy buena intención, mucho menos en este caso que se refiere a software antivirus, me parece delicado.

    Sobre la publicidad mentirosa de muchas empresas, es tema bien conocido por todos, y ya nadie va por ahí creyendo que un antivirus lo va a proteger de todo o que va a perder 20 kilos en una semana con una pastilla.

    Sobre la posibiliad de que poseer un debugger llegue algún día a ser ilegal es exagerado.

    --
    Ciudadano piruletense.

  • Todo tiene dos caras

    (Puntos:0)
    por pobrecito hablador el Miércoles, 09 Marzo de 2005, 23:21h (#459874)
    Todo depende del punto de vista. Por ejemplo, si este personaje (que conste que no lo digo de modo despectivo) en un primer lugar se ha comunicado con la empresa creadora del software con el fallo de seguridad y ésta no le ha hecho el mínimo caso me parece correctísimo que publique un exploit para el bug correspondiente.

    En un segundo lugar si este personaje ha publicado inmediatamente el exploit sin haber una comunicación previa por la empresa creadora del software, no solo me parece ilegal, sinó que ademas me parece completamente algo inmoral y pensado directamente para crear daño y no para solucionar problemas ni para comprobar si tu sistema es vulnerable.

  • Bonita justicia

    (Puntos:2, Interesante)
    por kakatomelo (18295) <chivatoNO@SPAMxasamail.com> el Jueves, 10 Marzo de 2005, 00:01h (#459889)
    ( http://www.queweba.com/ | Última bitácora: Miércoles, 11 Mayo de 2005, 21:57h )
    Sea como sea un acto como este lo único que nos demuestra es que nuestra sociedad “Liberal” es en realidad una Dictadura de las corporaciones, que de paso que nos exprimen con sus altos precios a cambio de productos inestables y defectuosos, nos cercena nuestro derecho a la queja, porque esto no es más que una expresión de una queja, ¿acaso no lo pintan como el mejor antivirus?, entonces de que se quejan si alguien les demuestra lo contrario. Definitivamente me llamaran pesimista pero llegara al día en que nos marcaran con un código de barras y volverá la esclavitud, y no en manos de grandes Terratenientes, sino en manos de las Grandes Multinacionales.
    --

    -
    Todo Error Ortográfico o Gramatical que consigas, fue cuidadosamente estudiado y planificado de antemano

  • Yo tambien sufro el rechazo por lo mismo

    (Puntos:-1, Provocacion)
    por bugreloaded (18211) el Jueves, 10 Marzo de 2005, 00:16h (#459897)
    ( Última bitácora: Lunes, 14 Marzo de 2005, 14:07h )
    Descubrir un bug esta muy mal visto hoy en dia

  • Consumidores desasistidos

    (Puntos:0)
    por pobrecito hablador el Jueves, 10 Marzo de 2005, 00:38h (#459906)
    y que los consumidores estemos desasistidos ante las mentiras evidentes de las empresas

    A ti puede que sí, pero a mí me hace un favor muy flaco que un un hacker de tres al cuarto [google.es], lejos de contribuír a la seguridad de la información de las masas, se dedique a joder a una compaía en particular por motivos personales.

    Este tipejo no ha ayudado a nadie, sólo se ha cebado con una empresa legítima y la ha cagado, y por eso se la han metido bien doblada, como se merece. Estos sujetos NO CONTRIBUYEN A LA SEGURIDAD DE LA GLOBALIDAD, y yo al menos estoy cansado, hastiado y aburrido del discursito fácil que tenéis algunos de "la gran empresa se ceba con el pobrecito". Cambiad el chip ya, que aburrís con las teorías de la fuerza y vuestra versión sesgada del David contra Goliat.

  • Comentario (mientras aun es legal por aqui)

    (Puntos:2, Inspirado)
    por Tei (4535) el Jueves, 10 Marzo de 2005, 01:29h (#459917)
    ( Última bitácora: Viernes, 03 Febrero de 2012, 15:18h )
    Que quede claro de una vez para siempre:

    Un antivirus no te protege de virus, no es una garantia de nada. Porque NO, los que programan antivirus no son OMNISCIENTES, ni tampoco los antivirus, asi que frente a ESE nuevo virus, no hay nada en tu ordenador.

    No se puede sustituir el sentido comun por un programa.

    La mayor parte de las empresas antivirus venden HUMO: `Sensacion de Ser Guay´, mientras el robotito te ralentiza el ordenador casi tanto como un virus ...

  • No se le ha multado con 5.000 euros

    (Puntos:3, Informativo)
    por lex sparrow (17876) el Jueves, 10 Marzo de 2005, 01:31h (#459918)
    ( Última bitácora: Lunes, 04 Marzo de 2013, 04:18h )
    Lo que se le ha dicho es que tendrá que pagar la multa si vuelve a delinquir en dos años, no quedando ni rastro en la ficha de Guillermito de este incidente. Pero de momento, se va de rositas. Creo que el tribunal ha entendido perfectamente el problema y ha sabido torearlo de la mejor manera posible. Han hecho "justicia", pero sin volcar sobre este hombre el peso de la ley. Solucion Salomonica.
    --
    ¿Quieres volver a la era de los 8 bit [pressplaythenanykey.com]

  • No problem

    (Puntos:1)
    por pax01 (10710) el Jueves, 10 Marzo de 2005, 01:53h (#459927)
    ( http://barrapunto.com/ | Última bitácora: Miércoles, 28 Diciembre de 2005, 12:49h )
    Imaginemos un mundo... donde todos los programas de software privativo exigiesen ser inseguros, donde nadie les avisase de los fallos que tienen bajo riesgo de ser denunciado, donde la ley actuase de oficio.

    Un mundo... donde mientras tanto hubiese software libre sin derecho a ser inseguro, en el que cualquiera que encontrara un fallo lo pudiese decir y ofrecer una solución, sin miedo a ser perseguido.

    A ver, que me aclare... ¿y cuál es el problema? ¿que los antivirus de código cerrado serían cada vez peores? ¿que sólo sería mínimamente seguro el software libre?... ¡pues me parecería muy bien! xD

  • ..:: Y SI FUERA LO MISMO EN TODO ? ::..

    (Puntos:0)
    por pobrecito hablador el Jueves, 10 Marzo de 2005, 02:20h (#459938)
    Digo, parece ser que los gurúes y white hats lo que hacen es simplemente brindar un servicio desinteresado a la comunidad toda.

    De la misma manera, podríamos ponernos a tratar de abrir autos, a ver que tan seguros son, desarmar sistemas de alarmas, frenar los autos de 200 a 0 en menos de 120 mts. (que es lo que dice el fabricante que tiene), probar las estructuras de los edificios, y, en fin, "por la nuestra", tratar de reventar todo lo que tiene un cierto margen de fiabilidad.
    No estoy diciendo que no controlemos, ni que no debemos tener controles de los que controlan, pero me parece un argumento muy viejo y muy barato eso de que simplemente están buscando la vulnerabilidad para que otro no la encuentre antes.
    Es obvio que si las cosas se basan en modelos y presupuestos de hace 30 o 40 años (como la estructura de los programas o el modelo tcp/ip), con los adelantos y diversificaciones que han tenido, se les pueden encontrar errores, o agujeros.

    Hay un libro muy interesante de Mark Minasi "The software conspiration", donde presentan errores graves que costaron la vida de personas, pero esos programas eran de uso tan privado - como un programa de contabilidad hecho a medida, pongamos por caso - que era muy difícil que algún white hat les hiciera una prueba de vulnerabilidad.
    >
    ::: yo no soy yo :::

  • Mirando el lado bueno...

    (Puntos:1)
    por kylix (14948) el Jueves, 10 Marzo de 2005, 04:22h (#459952)
    ( http://barrapunto.com/ | Última bitácora: Domingo, 18 Febrero de 2007, 19:36h )
    ¿No se podría hacer algo parecido con bugreloaded?
    --
    When penguins Ruled the Earth
    • OT: Tu firma de Observer (Puntos:1) Lunes, 14 Marzo de 2005, 15:15h

  • Marco legal del desensamblaje de binarios

    (Puntos:4, Informativo)
    por HaCHa (15004) el Jueves, 10 Marzo de 2005, 07:55h (#459967)
    La ingeniería inversa es el proceso de aislar y analizar con detalle una obra de ingeniería determinada con el objeto de obtener información relevante acerca de su diseño, implementación y funcionamiento.

    A menudo se tiende a creer que el objetivo final de la ingeniería inversa es siempre obtener una obra derivada de la que se ha estudiado originalmente (que, muy probablemente sea el trabajo de una tercera persona que detenta la autoría de la obra que estamos estudiando). Esto es un error. Se debe disociar la ingeniería inversa como técnica de sus aplicaciones. Una cosa son los métodos que empleamos para obtener la información y otra muy diferente el uso que hagamos de ella.

    Desde el punto de vista de la ingeniería del software, los programas desensambladores son, junto con los descompiladores (también denominados retrocompiladores o compiladores inversos) una de las herramientas mas relevantes de la ingeniería inversa, ya que el uso de estas permite obtener, a un nivel total o parcial, código fuente a partir de un software ejecutable.

    Técnicamente, no hay nada de reprobable en el uso de un desensamblador como el que se ha empleado en el caso que nos atañe aquí. Desde la perspectiva de las ciencias de la computación es perfectamente válido y relevante. El problema lo tiene la industria. Concretamente, nuestro actual y muy discutible modelo de propiedad intelectual, que intenta arrinconar las técnicas de ingeniería inversa, a menudo castigándolas o directamente prohibiéndolas. Al mercado no le interesa que se acceda al código fuente, le interesa vender software ejecutable, así que no es poco frecuente encontrar cláusulas como esta de aquí en las licencias de uso de software privativo.

    Modification, decompilation, reverse engineering, reverse compiling, or disassembly of the Software is expressly prohibited. Any information obtained during such unlawful reverse engineering and/or decompilation activities, including but not limited to the logic, organization, algorithms and processes of the Software, shall be deemed confidential and proprietary information of the Developer.
    Todo ese texto legal prohíbe las técnicas de ingeniería inversa. Lo cual no tiene mucho sentido: prohibir la ingeniería inversa es como prohibir la mecánica turbodiesel o la dinámica de fluidos. El mero hecho de utilizar un desensamblador no es un crimen. Sin ir más lejos, desensamblar es algo extremadamente didáctico. Y, en casos concretos como el de la industria de las soluciones antivirus, es la clave del negocio. ¿Cómo se puede identificar y aislar un malware si no es desmontándolo para su estudio?

    Lo que realmente sucede es que el uso de técnicas de ingeniería inversa viola los acuerdos de licencia de uso de la mayor parte del software privativo existente al proporcionar acceso a la información propiedad de los autores del mismo. O sea, que no es que sea ilegal desensamblar un binario que no es obra nuestra, sino que ello anula nuestro derecho a ejecutarlo. No podemos estudiar lo que ejecutamos y no podemos ejecutar lo que hemos estudiado. Así es como están las cosas. Muy bonito. Nos ha tocado vivir en una etapa de la história de la sociedad de la información realmente oscura.

    Si, al emplear métodos de ingenieria inversa, actuamos amparados por la segunda libertad del software libre (que nos garantiza el derecho a estudiar el software, acceder a su código fuente y, por lo tanto, desensamblarlo), nunca violaremos ninguna licencia. Ahora bien, desensamblar software privativo sería otra cosa. Y tendría otras consecuencias, algunas de ellas, judiciales.

  • Demencial

    (Puntos:2)
    por ignoto (6695) el Jueves, 10 Marzo de 2005, 08:25h (#459982)
    ( Última bitácora: Miércoles, 04 Julio de 2007, 11:45h )
    No se me ocurre nada más que añadir :-(

  • Pues preocupa

    (Puntos:1)
    por Teleyinex (7668) el Jueves, 10 Marzo de 2005, 09:02h (#460003)
    ( http://daniellombrana.es/ | Última bitácora: Lunes, 02 Marzo de 2009, 22:16h )
    porque no sé en qué quedará lo que hacen empresas, que ahora no me acuerdo del nombre, que se han dedicado en los últimos meses a publicar vulnerabilidades de todos los antivirus. De estos informes se ha hecho eco una-al-día de hispasec, así que igual a partir de ahora en Europa no pueden hacer nada de esto por ser ilegal.

    Una preocupación más en el día de hoy.
    --

    "Podréis meter mi cuerpo en una cárcel, pero mi mente siempre libre siempre arde porque es inarrestable"

  • Otro punto de vista

    (Puntos:0)
    por pobrecito hablador el Jueves, 10 Marzo de 2005, 09:13h (#460008)
    A todos esos que critican ya por criticar, por favor que no se ofendan, sólo quiero dar otro punto de vista. Que conste que no me hace gracia la sentencia, aunque tampoco sabemos si el tío ese, actuó de buena fé o no.

    Montad una empresa, de software a ser posible, desarrollad productos y véndedlos. Luego hablamos.

    La gente es libre de comprarlos o no!!! Oh!!!, he descubierto una verdad universal!. Que yo sepa hasta la fecha nadie apunta con una pistola a persona alguna para que compre un programa determinado.

    Si la gente los compra y se dan cuenta de que son malos o paupérrimos, pues se cambian de producto y punto. Lo único que pueden hacer es, presentar una reclamación o denunciar que no le han vendido lo que pone en la caja, publicidad engañosa. Claro, que los hay masocas.

    Y ya puestos a hacer un simil. Yo tengo un ibiza y me han dicho en la tienda seat que es el más rápido, el que menos consume, el más chachi pinnruli! Pero resulta que se le pichan la ruedas como a los demás coches. La empresa lo sabía y no ha hecho nada. Me quejo, y presento una reclamación. Además he decidido denunciarles, si gano el juicio me compraré un coche de la competencia y el ibiza a tomar por saco, ea. Espero que nadie vaya pinchando las ruedas de los coches para ver si son seguros. O que vayan aporreando las puertas para comprobar que no se pueden robar e idem.

    En fin, que no estoy a favor. Pero aquí expongo otro punto de vista. No seais malos y no cebaros con este pobre post.

  • ¿No se podría regular?

    (Puntos:2, Inspirado)
    por desUBIKado (12758) el Jueves, 10 Marzo de 2005, 09:47h (#460028)
    Si hay gente que descubre estas vulnerabilidades y su intención es que sean corregidas por la empresa creadora de este producto antes de que sea de dominio público, lo mejor es que esta actividad pudiese estar reglamentada por el estado.

    Fulanito descubre una vulnerabilidad, la informa a un organismo estatal encargado del seguimiento de estos problemas. Este organismo emite un certificado al remitente de que ha recibido el aviso y que la empresa afectada ha sido informada. Si en un plazo de "x meses" la vulnerabilidad no está resuelta por la empresa, el remitente tiene derecho a hacer pública la vulnerabilidad sin ningún tipo de perjucio legal para él.

    ¿Qué os parece?

  • y entonces....

    (Puntos:0)
    por pobrecito hablador el Jueves, 10 Marzo de 2005, 10:53h (#460054)

    Vaya, supongo que si descubro alguna extraña combinación en la electrónica de mi coche, como por ejemplo que si le enciendo la radio, los antinieblas y no me pongo el cinturón, entonces se apagan todas las luces y te las puedes pegar y matarte.

    Y lo digo, me pueden meter un puro....

    no sé, supongo que los jueces no son perfectos, utilizan guindows y confían ciegamente en su antivirus

  • freenet.sourceforge.net

    (Puntos:0)
    por pobrecito hablador el Jueves, 10 Marzo de 2005, 10:53h (#460055)
    Pues eso, a publicar los bugs en freenet.

    La tecnología va muy por delante de las leyes.

  • es curioso

    (Puntos:0)
    por pobrecito hablador el Jueves, 10 Marzo de 2005, 11:29h (#460066)
    que el articulo se comente a Clinton, al que todos tenemos por un paladin de la libertad y ni siquiera se mente a Bush, el demonio al que todos tememos.

  • SEguridad en software propietario...

    (Puntos:1)
    por SaRgE (13445) el Jueves, 10 Marzo de 2005, 11:47h (#460068)
    ( http://freedevel.sibbuc.com/ )
    Pues eso... con la ley en contra... la seguridad en el software propietario quedará muy por debajo de la del softare libre, si no lo está ya. Como yo lo veo y visto que la justicia es tan injusta lo mejor sería hacer publicaciones anónimas sobre bugs de software propietario no vaya a ser que a la empresa le siente mal y vaya contra su campaña de marketing. Así almenos, para que aprendan la lección, se encontrarían con una ingente cantidad de bugs publicados pero desconocidos para la empresa y se vería atacada por numerosos usuarios con ganas de probar cosas nuevas :DD. No va a ser más seguro un softaware pk keden ocultos sus "defectillos", el caso que si en lugar de haber hecho un exploit y publicarlo se hubiera creado un virus, igual le habría salido menos caro.. (5000 €), en fin, aupa Software Libre, que en esta otra orilla ideal se tiene más éxito y se és mas grato el descubrir bugs sin que la empresa de turno se te eche encima :)

  • Imagina ahora...

    (Puntos:0)
    por pobrecito hablador el Jueves, 10 Marzo de 2005, 12:14h (#460086)
    Imagina ahora que en vez de un producto informático estamos tratando de un fármaco. Y que en vez de Guillermito ese es un médico que sale y dice: estas pastillas para no se qué provocan unas diarreas crónicas de la muerte.... tú te imaginas que a ese médico le meten el paquete que le van a meter a éste?

  • ahora la ley actua!

    (Puntos:0)
    por pobrecito hablador el Jueves, 10 Marzo de 2005, 12:28h (#460096)
    si, bueno, esta claro q en lugar de publicar el exploit lo correcto hubiera sido mandar un bug report a la empresa, pero ahora digo yo... si la empresa pide 900.000 leros por daños ocasionados, los consumidores de ese producto no prodrian reclamar tb (digamos unos 1000€ por cabeza? xD) a dicha empresa por vender algo q es mentira? pq ahora quien te dice a ti q una 3a perosona no se ha aprovechado de ese exploit para obtener informacion privilegiada de numerosos sistemas? PD. sea como sea, la empresa a quedado como el culo xD

  • Que absurdo!

    (Puntos:1)
    por tomman (13087) el Jueves, 10 Marzo de 2005, 19:28h (#460412)
    ( http://mi.tsdx.net.ve/ | Última bitácora: Viernes, 14 Febrero de 2014, 08:31h )
    Multan a ese pobre diablo por tirarselas de hacker, pero no combaten la pirateria? Que bonito mundo...
    --

    Tom Maneiro
    $ON¥ == EVIL!
    - http://t38.webhop.biz/ -

  • Bien, que sigan así o más

    (Puntos:1)
    por bufalo_1973 (13194) el Domingo, 03 Abril de 2005, 01:24h (#473526)
    ( http://barrapunto.com/ | Última bitácora: Viernes, 31 Julio de 2009, 22:34h )
    Por mí, perfecto. Que metan multas brutales por sacar fallos a los antivirus DE CODIGO CERRADO. Y no sólo multas, incluso carcel. Cuanto más bestia, mejor. El resultado será que los antivirus cerrados pierdan calidad y los libres comiencen a despegar de una vez por encima de los otros (si puedes hablar tranquilo de un fallo del clamav, por ejemplo, y por hacer lo mismo con el panda, también por ejemplo, te vas a la carcel ¿a cuál le tendrás más "aprecio"?).

    Y no sólo con los antivirus. Que sea así con todos los programas propietarios. Que NADIE que no sea la propia empresa propietaria pueda avisar NUNCA sobre NINGÚN fallo. Veriamos como avanzarían de rápido los programas propietarios.
    --

    La libertad se mide en la que le damos a los demás, no en la que nos tomamos nosotros.