jueves, febrero 03, 2011

Hackers.txt

Siempre me han llamado la atención esas curiosas historias de comunicación entre programadores y atacantes, entre creadores de malware y analistas o entre policías y ladrones. Esas grandes diatribas entre “buenos” y “malos” que tantas veces han representado Lex Luthor y Superman, en la que el alien es el bueno y se encarga de enaltecer los valores más humanos mientras que el humano es el malo y se encarga de representar los más oscuros pecados de la raza.

Me hace gracia cuando buscando la versión del DNS de Redhat te encuentras con el chiste de “vintiuno” en inglés, o cuando en S21Sec nos contaban el largo debate con el creador del malware, o Alejandro Ramos sacaba la cabecera HTTP de Reddit o Yago nos sacaba curiosidades en los banners de la web.

Además, creo que ese debate, a la par que divertido, es enriquecedor, porque permite conocer más de la personalidad del “oponente”. Así, cuando vi en el blog de Cyberhades la iniciativa Humans.txt pensé que debería haber algo así entre los administradores y/o desarrolladores de un sitio y los hackers.

Hoy en día, mucha gente que encuentra las vulnerabilidades, y sobre todo en virtud del nuevo código penal, no avisa a los administradores de los sitios por miedo a que pase algo. Seamos serios, un hacker puede encontrar la vulnerabilidad sin que el administrador tenga recursos ni formas de localizarle: “¡Ya le tenemos! Tengo la dirección IP del atacante, y viene de.... Laos [FAIL!]”. Sin embargo, si el hacker lo notifica, de una forma u otra, está revelando al mundo su identidad secreta… y eso puede ser peligroso. Puede pasar que el administrador del sitio no se lo tome bien y por tanto, que el “alien que es bueno” se vea metido en un problema por culpa del “humano que es malo”.

Por eso, creo que deberíamos promover alguna iniciativa tipo hackers.txt, en la que los administradores de las webs dejaran un mensaje a los posibles “aliens que sean buenos” que deje claro que van a hacer los administradores reciben un reporte de una vulnerabilidad de su sitio.

Le he estado dando vueltas a esto, y la verdad es que es difícil acabar de darle forma, porque tal vez, alguna “alien que no sea tan bueno”, tipo Brainiac, tome carta blanca para cepillarse un sitio, o que el “adminsitrador bueno”, decida cambiar de opinión y la liemos, pero creo que deberíamos poder hacer algo, no sé, tal vez contar con Jon Jonz, o tal vez pensar en cómo redactar ese fichero hackers.txt. ¿Cómo lo ves tú?

Saludos Malignos!

13 comentarios:

  1. Y porqué no crear un tablon publico donde describir la vulnerabilidad y firmarlo con una clave publica incluida en dicho hackers.txt?

    No se, es una idea al aire para que los-que-sabeis-de-esto le deis forma.

    Saludos

    ResponderEliminar
  2. Parece curioso!

    Muy buena idea la de Wey. Así sólo lo podrá leer el administrador.

    Eso sí, más vale especificar en el hackers.txt que nada de DDOS... Que sino después los vas a denunciar y se defenderan diciendo que el administrador lo permitía.

    En fin, es complicado ^^

    P.D.: El blog de Cyberhades es muy bueno!

    ResponderEliminar
  3. ¿Se puede votar como la mejor idea leída en lo que va de año?

    No soy de los-que-sabeis-de-esto pero me gustan esas formas que va tomando la idea.

    ¿Maligno, vas a hacer una ERFC (Evil RFC) con el fruto maduro de esto?

    ResponderEliminar
  4. Excelente idea Chema...

    Creo que en el hackers.txt se debería incluir la dirección de correo a la cual reportar la vuln. Una vez me pasó que le escribes al "email de contacto" y al día siguiente llega un mensaje diciendo que no se pudo entregar :S

    Otra idea, a fin de motivar que se reporte en lugar de que se explote, se podría incluir otro campo opcional especificando la forma de agradecimiento (en especias o en efectivo xD) ¿Quien haría un deface si al menos puede ganarse un polito con el logo de la empresa?

    Haber si esto madura con el aporte de todos por el bien Hackers y Admins que son caras opuestas de la misma moneda.

    Un saludo...

    ResponderEliminar
  5. ¿y si pedimos una subvención y vamos a pachas del doble de lo que cueste?

    Cogemos un becario a 400€/mes que haga un blog en wordpress con unas cuantas fotos y ya lo tenemos listo.

    Una idea fenomenal.

    ResponderEliminar
  6. Estoy escondido por ai en frente y pareces Doraemon

    ResponderEliminar
  7. no he entendido muy bien eso de que para jakear estas escondido pero para reportar tienes que salir del anonimato... ¿pork?

    ResponderEliminar
  8. Oki por mi parte genial !!! Yo vivo en las dos caras de la moneda, y lo veo una idea genial en serio !!! Yo firmaría un compromiso de no agresión mutua !!! Podría ser como un grupo de trabajo sin estrés y sin prisas pagado en especie, polos o invitaciones...
    De hecho podría "contratarse" la inspección de vulnerabilidades entre ambas partes durante un tiempo razonable ... Previo pago en especie claro ...

    ResponderEliminar
  9. Un hackerleaks, fundación dedicada a avisar o publicar estos "cables" velando por la identidad de las fuentes.

    ResponderEliminar
  10. El post es muy divertido, pero has pedido opinión y esta es la mía:)

    Yo opino que, suponiendo que esté mal (es lo que se entiendo al leerte), lo que habría que hacer es reformar de nuevo el código penal y dejarlo como estaba (suponiendo que antes estuviera bien).

    El actual está diciendo claramente NO al hacking ético (ya que es ilegal), por tanto, NO, NO hay que reportar nada, al menos NO en sitios web cubiertos por dicha ley.

    Es obvio que no se va a mejorar la seguridad en general, pero es obvio que la ley no busca mejorar la seguridad en general.

    Mientras no cambie esto (y no va a cambiar a mejor) no pienso reportar NADA a NADIE en este pais, porque no creo en el ser humano, y menos en los de este pais, en el que por ayudar a alguien (vease, reportar un problema de seguridad) te pueden caer hasta 4 años de carcel, y por romperle la cara al mismo alguien, te caen 60 euros de multa.

    Un saludo, buen finde.
    Manolo.

    ResponderEliminar
  11. jolines maligno tu y tus ideas geniales y revolucionarias... Creo que lo que se necesita es un poco de colaboracion en este caso de parte de los humanos(Admin), para que los alien(hacker)interactuen en una web dedicada hacer hacking etico, en la cual el humano le pidiera ayuda al alien para mejorar su habitat... Asi que buscar quien se haga una web bonita sensilla he insegura jajaja metira, para var quienes se animan con tu iniciativa que esta super buena...

    Krius

    ResponderEliminar
  12. http://www.hackerstxt.org/ - échale un vistazo a esto...

    ResponderEliminar
  13. A Method for Web Security Policies
    https://datatracker.ietf.org/doc/draft-foudil-securitytxt/

    ResponderEliminar