Eráse una vez un hacker. Todos los días se sentaba frente a su computadora, golpeaba incesamente su teclado e ingresaba al ordenador de otra persona. A veces se robaba algún dato y otras hacía alguna broma. Había una vez otro hacker...
Si alguien se esfuerza en encontrar un agujero deberían recompensarle por ello. Debería valorarse más que haya gente que emplée su precioso tiempo en un trabajo tan arduo y útil. Pero no hay recompensa, si acaso castigo. Bien, pues si no inquieta lo suficiente la perspectiva de castigo parece obvio hacer algo digno de merecerlo pero que compense.
El no valorar la utilidad de las cosas correctamente genera destrucción. Y son efectos debidos a unas causas. Ahora, también podemos decir qué es el bien y el mal y perdernos en debates inútiles. Pero para mí es más sencillo pensar que no existen ni el bien ni el mal, sino únicamente intereses.
Que fácil es hablar de la ética hacker hablando desde fuera, sin conocer ese mundo, ni sus complicaciones, sin entender los problemas de base, ni la fina linea que separa, en ocasiones, el bien del mal.
Un hacker ético quien es? quien se rige por las normas sociales de la gente normal, sin escuchar a los problemas locales del sector de la seguridad informática?
O es aquel que se actúa solo condicionado por la realidad local de la seguridad informática, e ignora las normas sociales?
El mundo de la seguridad informática, es un mundo muy cerrado, muy oscuro, con sus problemas internos, y sus motivaciones, y acoplar las normas de convivencia generales y sociales, a ese mundo, es algo idílico, pero poco realista.
Creo que es un buen momento para explicar una experiencia personal...
Me gusta auditar código (de proyectos libres) en mi tiempo libre, y en ocasiones, encuentro agujeros de seguridad, que me ha llevado mucho tiempo y esfuerzo conseguirlos, y que pueden ayudar a hacer el proyecto mejor.
Tengo dos opciones, o seguir algo que se llaman las normas de buenas maneras del full disclossure, que indican que primero se avisa al fabricante, y luego se publica todo, o no seguirlas, y publicar todo directamente.
Como auditor independiente, si haces lo primero, te arriesgas a algo, y es que el fabricante del software, luego niegue todo esto por que piense que afecta negativamente a su imagen, y entonces, cuando lo publicas, su negación crea incertidumbre y te resta credibilidad, por lo que no solo has perdido el tiempo, sino que has perdido peso en el mundillo.
En cambio, si haces lo segundo, todo el mundo ve como todo peta, como tu bug es cierto, y hay una catástrofe, que demuestra, que ciertamente, has hecho bien tu trabajo, es decir, que ciertamente, había un bug grave, muy grave.
Un ejemplo actual de esto, es el caso de tuenti, donde encontré un XSS MUY MUY grave (XSS estático, los peores) y otro bug mucho mas tonto, publiqué el leve, dije que tenía mas, y que los notificaría a tuenti, como el agujero leve era poco serio, la gente no le dio importancia, y me tachó de fantasma, comuniqué el bug grave a tuenti, y lo arreglaron, ahora si yo lo publico, ahora que ya no va, ¿Quien me creerá?
Hay que entender que no todos somo Georgi Guninsky o Joana Rutwoska, algunos nos tomamos esto como un hobby, hacemos nuestros pinitos, y nos cuesta muchísimo que no nos pisen.
Comentarios
Si alguien se esfuerza en encontrar un agujero deberían recompensarle por ello. Debería valorarse más que haya gente que emplée su precioso tiempo en un trabajo tan arduo y útil. Pero no hay recompensa, si acaso castigo. Bien, pues si no inquieta lo suficiente la perspectiva de castigo parece obvio hacer algo digno de merecerlo pero que compense.
El no valorar la utilidad de las cosas correctamente genera destrucción. Y son efectos debidos a unas causas. Ahora, también podemos decir qué es el bien y el mal y perdernos en debates inútiles. Pero para mí es más sencillo pensar que no existen ni el bien ni el mal, sino únicamente intereses.
había una vez un hacker sin ética que se hizo rico y nadie lo ha descubierto...
#3
Que fácil es hablar de la ética hacker hablando desde fuera, sin conocer ese mundo, ni sus complicaciones, sin entender los problemas de base, ni la fina linea que separa, en ocasiones, el bien del mal.
Un hacker ético quien es? quien se rige por las normas sociales de la gente normal, sin escuchar a los problemas locales del sector de la seguridad informática?
O es aquel que se actúa solo condicionado por la realidad local de la seguridad informática, e ignora las normas sociales?
El mundo de la seguridad informática, es un mundo muy cerrado, muy oscuro, con sus problemas internos, y sus motivaciones, y acoplar las normas de convivencia generales y sociales, a ese mundo, es algo idílico, pero poco realista.
Normalmente, sucede lo que ha dicho #1.
Creo que es un buen momento para explicar una experiencia personal...
Me gusta auditar código (de proyectos libres) en mi tiempo libre, y en ocasiones, encuentro agujeros de seguridad, que me ha llevado mucho tiempo y esfuerzo conseguirlos, y que pueden ayudar a hacer el proyecto mejor.
Tengo dos opciones, o seguir algo que se llaman las normas de buenas maneras del full disclossure, que indican que primero se avisa al fabricante, y luego se publica todo, o no seguirlas, y publicar todo directamente.
Como auditor independiente, si haces lo primero, te arriesgas a algo, y es que el fabricante del software, luego niegue todo esto por que piense que afecta negativamente a su imagen, y entonces, cuando lo publicas, su negación crea incertidumbre y te resta credibilidad, por lo que no solo has perdido el tiempo, sino que has perdido peso en el mundillo.
En cambio, si haces lo segundo, todo el mundo ve como todo peta, como tu bug es cierto, y hay una catástrofe, que demuestra, que ciertamente, has hecho bien tu trabajo, es decir, que ciertamente, había un bug grave, muy grave.
Un ejemplo actual de esto, es el caso de tuenti, donde encontré un XSS MUY MUY grave (XSS estático, los peores) y otro bug mucho mas tonto, publiqué el leve, dije que tenía mas, y que los notificaría a tuenti, como el agujero leve era poco serio, la gente no le dio importancia, y me tachó de fantasma, comuniqué el bug grave a tuenti, y lo arreglaron, ahora si yo lo publico, ahora que ya no va, ¿Quien me creerá?
Hay que entender que no todos somo Georgi Guninsky o Joana Rutwoska, algunos nos tomamos esto como un hobby, hacemos nuestros pinitos, y nos cuesta muchísimo que no nos pisen.
Hackear la cuenta de Edans y devolverla para que siga torturando a la humanidad no es ético.