Buenas tardes, el tema que yo expongo no entra en discusión si el acusado hizo algo indebido o no, lo cual creo por simple lógica es ilegal tal como el ejemplo que planteas de las puertas, sino en el tema de la seguridad de las comunicaciones y como estas han sido burladas de manera tan sencilla sin ninguna precaución por parte de los encargados que son empleados del estado.
Saludos El 08/05/2012 11:47, "Alonso Caballero Quezada / ReYDeS" <[email protected]> escribió: > Saludos: > > > Hace poco se hizo conocido el caso del periodista del diario Perú 21 el > cual está acusado de haber accedido ilegalmente a cuentas de correo de > >funcionarios del estado peruano y lo mas sorprendente es que el acusado no > tiene el más mínimo conocimiento para poder violar sistemas de >seguridad > de servidores de correo sino que el hizo una simple prueba "Utilizar como > contraseña el nombre del usuario" según lo dicho por el abogado >del propio > acusado; con esta "avanzada técnica de Hackeo" el acusado pudo acceder a > cuentas de correo del "Ministerio de Comercio Exterior y >Turismo" y a > cuentas del "Ministerio de Economía". ¿Es culpa del usuario por no cambiar > la contraseña o es culpa del Sysadmin?. > > Es un interesante punto de vista u opinión. Pero nadie lo obligó a > probar ese usuario y contraseña y ¡oh sorpresa funcionó". Igual nadie > obligaría a una persona a empujar las puertas de otras casas, para > probar si están cerradas o no. Muchas veces ejemplos como estos, > molestas o incomodan a las personas inmersas en temas de seguridad, > pues es un poco delicado aplicar las leyes bastante antiguas y > desfasadas a las nuevas tecnologías. > > La segunda opinión es sobre lo que se consideraría como una "técnica > avanzada de hackeo", para un newbie en estos temas, utilizar un > thc-hydra u otro programa con la ayuda de unas buenas listas de > palabras, podría ser una técnica avanzada de hackeo desde su punto de > vista, para otras personas más "avanzadas" o con mas conocimiento, > esto podría ser simplemente algo común en sus trabajos de auditorías o > Pentesting. Para un abogado que no está muy inmerso en estos temas y > que no se asesora adecuadamente podría ser una técnica avanzada. > > Mi opinión es que la responsabilidad es compartida, tanto de la > persona que probó el user/pass; pues finalmente accedió a información > confidencial; que no era de su incumbencia ytrambién del admin que no > realizó una buena gestión sobre la fortaleza de la autenticación en > sus servicios. > > Atte: > > -- > Alonso Eduardo Caballero Quezada aka ReYDeS - [email protected] > Brainbench Certified Network Security & Computer Forensics (US) > www.npros.com.pe - www.ReYDeS.com - www.noticiastrujillo.pe > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
