623 meneos
3226 clics

Joven expulsado de una universidad de Montreal por descubrir importante fallo de seguridad [EN]

Ahmed Al-Khabaz, estudiante de 20 años de ciencias en computadoras, ha sido expulsado la Universidad Montreal’s Dawson después de que descubrió una falla en el sistema informático que puso en vulnerabilidad la información personal de más de 250.000 estudiantes.
etiquetas: redes, computadoras, ordenadores, universidad
usuarios: 218   anónimos: 405   negativos: 0  
compartir:
46comentarios mnm karma: 584
Comentarios destacados:           
#1   Recuerdo hace un par de años que pasó algo similar aquí en España con Nintendo, en una de sus webs hicieron una chapuza en la que se podía acceder a los datos personales de la gente registrada, ¿qué hicieron cuando les avisó un chaval que vio el problema? Denunciarlo a la policía diciendo que había hackeado la web. Básicamente aquí ha pasado lo mismo.
votos: 17    karma: 143
Pakku
#28   #1

www.elotrolado.net/hilo_hilo-oficial-caso-quot-prueba-y-veras-quot_157

Segun tengo entendido, no solo fue por eso, si no que el usuario que descubrio el fallo queria una compensación por callarselo.
votos: 4    karma: 40
baronluigi
#30   #1 #28 tiene razón. Yo recuerdo vivir aquello en directo y leí los emails que el chaval envió a Nintendo y vamos, para descojonarse. "Podemos llegar a un acuerdo ya que eso que habéis hecho es delito, you know what I mean..."
votos: 1    karma: 12
Enfin... Enfin...
#32   #30

Yo tambien lo vivi en directo xD , por eso me acuerdo

Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público.

Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.
votos: 2    karma: 24
 *   baronluigi
#33   #28 #30 Bueno, más bien pedía el dinerito a cambio de no denunciarles, el error fue no denunciarles directamente, sin avisar ni nada, que fue de lo que se aprovechó Nintendo, denunciándole a él por haberles "hackeado" la web (ya se ve en el post de qué forma tan chapucera se accedía a los datos, hasta mi padre podría haber accedido a los datos) y haber borrado datos (dudo que lo hiciese, no leí de ningún caso que se le borrase la reserva).
votos: 0    karma: 6
Pakku
#34   #33

Eso es cierto.
votos: 0    karma: 7
baronluigi
#2   Pues a mi exponer el fallo publicamente antes de comunicarlo a la universidad sí me parece que merece castigo.
votos: 8    karma: 76
lecter23 lecter23
#3   #2 Eso es precisamente lo que hizo el chaval. Lo publicó cuando vio que no lo habían corregido
votos: 36    karma: 325
 *   Campechano Campechano
#5   #3 el dilema de toda la vida: cuando descubres un bug y no te hacen ni p. caso. Cuartango, Explorer, kriptopolis, debate continuo, hace 12-14 años unaaldia.hispasec.com/1999/02/cuartango-descubre-una-nueva.html Publicar en la comunidad
votos: 2    karma: 34
noexisto noexisto
#10   #5 Nunca supe que dilema puede existir en eso, los avisas, pasa un tiempo prudencial y si no lo arreglan lo publicas para que los clientes/usuarios sepan que corren un riesgo es lo logico,no dejarlo ahí y que solo sepan los que buscar hacer mal.
votos: 6    karma: 67
GoDie
#37   #2 #3
A mi que lo expulsen por atacar la vulnerabilidad a sabiendas me parece correcto... que te expulsen por publicarla, no... ni siquiera aunque no se lo digas antes a la universidad, al fin y al cabo, el bug es suyo.

#11
Lo mismo me paso a mi... hace 7 años (estando en 1º de carrera) descubri un bug enorme en la generacion de contraseñas que no bastaba ser solo de 4 digitos (sino que ademas no era ni aleatoria, dependia de datos casi publicos de los alumnos, con lo que era facilmente…   » ver todo el comentario
votos: 1    karma: 20
Ellyster
#38   #37 Empieza a ponerte matrículas desde las cuentas de los profesores que la tengan predeterminada, verás qué rápido lo solucionan
votos: 0    karma: 7
sifou sifou
#39   #38 Funciona solo para las cuentas de los alumnos (que yo sepa)...
votos: 0    karma: 9
Ellyster
#40   #3 Con hacer publico el fallo se hace lo contrario de lo que se esta buscando me parece. Si bien obliga a los responsables a corregirlo, hasta que eso suceda se esta poniendo en riesgo la información que se intenta proteger.
votos: 0    karma: 6
chachechichochu
#41   #40 Si has avisado a los responsables y no lo corrigen, es bastante probable que otro con no tan buenas intenciones también encuentre el fallo. Publicándolo les metes presión. Además los otros usuarios son conscientes de que usan un sistema inseguro y pueden tomar las acciones que crean oportunas para protegerse.
votos: 0    karma: 10
Campechano Campechano
#46   #41 A mi me parece que haciendolo publico le estas falicitando las cosas a cualquiera que tenga la voluntad de hacer daño pero muchas veces no tiene el conocimiento para hacerlo. Pon un cartel en la puerta de tu casa que diga cerradura rota, te puedes llegar a sorprender la cantidad de intentos casuales que pueden haber, de la gente que pasa la zona para abrir la puerta.
votos: 0    karma: 6
 *   chachechichochu
#4   ¡Maten al mensajero!
votos: 29    karma: 274
anxosan anxosan
#6   Seguro que estaria auditando la TIC de moda ...
Marchando mas millones en licencias ...
votos: 2    karma: 21
karlos_ karlos_
#7   Es más fácil pasarle el marrón a un joven de 20 años.
votos: 1    karma: 15
Quitatelavenda Quitatelavenda
#8   No good deed goes unpunished.
votos: 4    karma: 45
Cutlass Cutlass
#9   ... que descubrió una falla ...

Espero que no sea una falla de esas de la cuarta acepción de la RAE...
votos: 3    karma: 41
pedlagdur
#19   #9 "después de que descubrió"

Una vez más, no sé si será correcto, lo dudo, pero suena como Pignoise
votos: 0    karma: 12
lakonur lakonur
#11   A mi me paso algo muy similar en mi universidad. Decidí no contárselo a nadie (salvo a mi tía que lleva las bases de datos de otra universidad) y olvidar el tema para no meterme en líos.

Hay algunos sitios donde esto se valora, incluso se de unos tipos que pidieron permiso al rector de su universidad para intentar romper su seguridad, si no recuerdo mal el rector les dijo que adelante pero los tíos no lograron su objetivo.

En mi caso el fallo sigue estando.
votos: 2    karma: 31
 *   vejeke vejeke
#12   Leí el artículo a las 5 de la mañana en reddit, así que puede que no andara muy espabilado para entenderlo, pero me pareció entender que la expulsión de la universidad no vino por descubrir el fallo mientras programaba su aplicación, sino por, posteriormente y pasado un tiempo tras el aviso, lanzar una herramienta de testeo de vulnerabilidades sobre el sistema de la universidad para comprobar si lo habían solucionado.
Le pillaron con los logs, se ve que eso es ilegal allí (hacer esos rastreos…   » ver todo el comentario
votos: 5    karma: 55
 *   MEV MEV
#22   #12 Exacto, le han metido un puro no por descubrir un fallo (como él dice), sino por ejecutar un ataque a lo bestia en busca de ese y otros fallos "a ver qué cae", sin consentimiento del objetivo.

Posiblemente expulsarle fuera excesivo... salvo que el código ético de conducta fuese parte del temario, en clase le hubiesen machacado por activa y por pasiva que esas cosas no se hacen, y aún así lo hizo.
votos: 0    karma: 6
 *   Lb2A3qA
#26   #23 Se refiere a lo que comento en #12. No es lo mismo encontrar una vulnerabilidad y avisar, como hizo al principio, que lanzar sin el permiso explícito de la universidad un software que ejecute miles de intentos de explotación de diversas vulnerabilidades para, de forma automatizada, identificar fallos de seguridad, que fue por lo que le metieron el paquete.
votos: 2    karma: 31
 *   MEV MEV
#13   Es normal, le habrán expulsado porque con ese nombre y buscando fallos de seguridad en los sistemas era seguro que tenía que pertenecer a Al-Quaeda.
votos: 1    karma: 19
--311685--
#14   Lamentable actuación por parte de esa universidad. No parece valer la pena estudiar ciencias de la computación en una universidad que actua de ese modo.
votos: 1    karma: 20
 *   frankiejcr frankiejcr
#16   ¿Fallo que compromete los datos personales de 250k alumnos? A ver, que rulen esas fotos :troll:

Por cierto, ¿Fran Perea se ha metido a hacker?
votos: 0    karma: 8
Xtampa2 Xtampa2
#17   Aunque a muchos no les guste lo que voy a decir, lo mejor es vendarla, te olvidas del problema te ganas un dinero incluso un trabajo. No hablo de venderla en un foro de underground si no a una empresa de seguridad... como las que venden exploits...
votos: 0    karma: 6
MegaLLort MegaLLort
#18   Clavado a Ricky Rubio.
votos: 0    karma: 6
--213639--
#20   Bueno, te aseguro q la proxima vez sacara partido..Si siendo legal te castigan, pues a ser ilegal
votos: 0    karma: 7
 *   --348446--
#21   ¿ves? a ver si aprendes de Rato... (le respondió su mamá)
votos: 0    karma: 8
asensio asensio
#23   "... Taza explained that he was quite pleased with the work the two students did identifying problems, but the testing software Mr. Al-Khabaz ran to verify the system was fixed crossed a line.
“This type of software should never be used without prior permission of the system administrator, because it can cause a system to crash. He [Al-Khabaz] should have known better than to use it without permission, but it is very clear to me that there was no malicious intent. He simply made a mistake.”..."

Esta es la clave del caso ¿A qué se refiere?
votos: 0    karma: 10
strel strel
#42   #23 lo que he pensado cuando lo he leído... es que si eso es preocupante para un administrador de sistemas... o eso podría alterar o suspender el funcionamiento del sistema, es que al que habría que expulsar es al administrador de sistemas...
votos: 0    karma: 9
KirO
#24   Lo mejor por lo que veo es denunciarlo a la policía directamente alegando que esa web está poniendo en riesgo información comprometida de usuarios, así te evitas que te denuncien ellos y de paso corrigen el fallo,
votos: 0    karma: 6
Hemin
#25   Algo parecido me pasó en mis años en la uni.

Accediendo a la página de cambio de password de la página personal, donde accedíamos alumnos (para ver notas, expediente,. datos personales,...) y profesores (para introducir notas,...), vi que en un cutrismo máximo, en vez de usar sesiones, pasaba todo por GET en cada link menos el password que iba por POST. Entre otras cosas pasaba dos veces el DNI con diferente variable, una de sesión y otra que le decía en que cuenta cambiar el password. Me dio…   » ver todo el comentario
votos: 2    karma: 30
dashing dashing
#27   Primero lo comunica, cosa que está bien, y después hace un programa para según él "testear que estuviera arreglado". El problema es que ese test estaba a la vez explotando el bug y eso es independiente de que lo hubiera descubierto él o no.
votos: 0    karma: 6
saqueador saqueador
#29   A ver, es muy loable descubrir un fallo de seguridad de forma fortuita, pero otra cosa es ir lanzando ataques de prueba para ver si el sistema es seguro. Comentando la misma situación (un error de seguridad en un servidor de la universidad y como avisar que se podía entrar hasta la cocina) un compañero me dijo que cuidado con el tema y la manera en que se avisaba (justamente por el tema de matar al mensajero) y puso el siguiente ejemplo "imagina que estás en casa y de pronto entra alguien usando un manojo de llaves o mediante unas ganzúas y os dice: Hola, creo que deberías cambiar la cerradura, es muy fácil de reventar!"... Seguro que menos "bonito" le llamáis de todo...
votos: 1    karma: 12
thecucarachaman
#31   Es como la peli aquella del Bruce Willis y el chaval autista que descubre una vulnerabilidad de un sistema carísimo.
Es más barato matar al chaval que rehacer el sistema.
votos: 0    karma: 6
aracnos
#35   Pero si en cualquier Universidad una persona con móvil Android puede spoofear sin ningún inconveniente todos los paquetes con las cookies de inicio de sesión de Facebook, Tuenti, Amazon, Google y otras webs sin mayor complicación que darle a «Start» en un programita. ¿Pensabais que cada conexión iba por separado? Pues no. Algún día llamaré a la UV de Burjassot para informar al servicio de informática.
votos: 0    karma: 10
Pyroflash Pyroflash
#43   #35 en la mía al menos no es tan sencillo... con Eduroam al menos si van por separado...
votos: 0    karma: 9
KirO
#44   #43 Eso pensaba también pero lo he probado en Eduroam y funciona perfectamente. Desde que comprobé eso no vuelvo a iniciar sesión en ningún WiFi abierto/que no conozca.
votos: 0    karma: 10
Pyroflash Pyroflash
#45   #44 pues no se, pero es completamente evitable... aunque depende de como esté montada la red de la universidad claro....
votos: 0    karma: 9
KirO
#36   Esa manera de proceder me recuerda a los partidos políticos que tenemos aquí y perdón por el offtopic.
votos: 0    karma: 6
tecnecio
comentarios cerrados

menéame