Saludos: > Hace poco se hizo conocido el caso del periodista del diario Perú 21 el cual > está acusado de haber accedido ilegalmente a cuentas de correo de > >funcionarios del estado peruano y lo mas sorprendente es que el acusado no > tiene el más mínimo conocimiento para poder violar sistemas de >seguridad de > servidores de correo sino que el hizo una simple prueba "Utilizar como > contraseña el nombre del usuario" según lo dicho por el abogado >del propio > acusado; con esta "avanzada técnica de Hackeo" el acusado pudo acceder a > cuentas de correo del "Ministerio de Comercio Exterior y >Turismo" y a > cuentas del "Ministerio de Economía". ¿Es culpa del usuario por no cambiar > la contraseña o es culpa del Sysadmin?.
Es un interesante punto de vista u opinión. Pero nadie lo obligó a probar ese usuario y contraseña y ¡oh sorpresa funcionó". Igual nadie obligaría a una persona a empujar las puertas de otras casas, para probar si están cerradas o no. Muchas veces ejemplos como estos, molestas o incomodan a las personas inmersas en temas de seguridad, pues es un poco delicado aplicar las leyes bastante antiguas y desfasadas a las nuevas tecnologías. La segunda opinión es sobre lo que se consideraría como una "técnica avanzada de hackeo", para un newbie en estos temas, utilizar un thc-hydra u otro programa con la ayuda de unas buenas listas de palabras, podría ser una técnica avanzada de hackeo desde su punto de vista, para otras personas más "avanzadas" o con mas conocimiento, esto podría ser simplemente algo común en sus trabajos de auditorías o Pentesting. Para un abogado que no está muy inmerso en estos temas y que no se asesora adecuadamente podría ser una técnica avanzada. Mi opinión es que la responsabilidad es compartida, tanto de la persona que probó el user/pass; pues finalmente accedió a información confidencial; que no era de su incumbencia ytrambién del admin que no realizó una buena gestión sobre la fortaleza de la autenticación en sus servicios. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - [email protected] Brainbench Certified Network Security & Computer Forensics (US) www.npros.com.pe - www.ReYDeS.com - www.noticiastrujillo.pe _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
