[pyar] [Voto-Electronico] Me están allanando mi casa
Mateo Bengualid
apoteoticos en gmail.com
Jue Jul 9 08:38:44 ART 2015
Nunca participo de la lista, pero con esto haré una excepción. Permítanme
la desviación bayesiana: no conozco a nadie en este thread, así que bien
podrían ser todos avatares comandados por la misma persona, una suerte de
"Ender game" de uno solo... oh well, me arriesgaré. XD
Me comentó un conocido de un conocido que trabaja en MSA y que tenían un
topo ya identificado... como todo comentario de internet su confiabilidad
tiende a cero. Aquí se han dicho toda clase de cosas sin que se sepa nada
del expediente... de hecho J no dice nada del tema. De nuevo, ninguno de
todos los que opinan es confiable al respecto, más allá del expertise
técnico del grupo, que aplaudo. Buena signal to noise.
Solo puedo guiarme por lo que observo. Y observo una probabilidad muy baja
de que haya obrado de buena fe... simplemente demasiadas coincidencias.
Pero, como dije, es apenas una posibilidad. Por otro lado, claro que toca
intereses... los de los votantes, que eligieron un candidato pro boleta
electrónica (pun intended). No los míos. Si quieren creerme, no soy
porteño, aunque estoy a favor del voto electrónico: nada como trabajar en
el INDEC para desconfiar de los humanos en todo lo que hace a datos.
El 8/7/2015, a las 20:37, poxyran <poxyrantab en gmail.com> escribió:
> Primero, si dejas los certs SSL tirados por ahi en una carpeta a la que
toda la internet pueda acceder la culpa no la tiene que el que hace GET, el
nabo sos vos.
>
> Segundo, si seguis una politica de disclosure responsable, primero le
avisas al vendor, si despues de reiteradas veces el vendor no te da pelota,
publicas el advisory o avisas como mejor te parezca de la falla. Google
Project Zero, tiene la politica de 90 dias, por ejemplo.
>
> Tercero, con lo del auto no te puedo contestar, si sos chorro, sos chorro
y punto.
>
> Besis.
>
Primero, si dejas los certs SSL tirados por ahi en una carpeta a la que
toda la internet pueda acceder la culpa no la tiene que el que hace GET, el
nabo sos vos.
Segundo, si seguis una politica de disclosure responsable, primero le
avisas al vendor, si despues de reiteradas veces el vendor no te da pelota,
publicas el advisory o avisas como mejor te parezca de la falla. Google
Project Zero, tiene la politica de 90 dias, por ejemplo.
Tercero, con lo del auto no te puedo contestar, si sos chorro, sos chorro y
punto.
Besis.
2015-07-08 20:07 GMT-03:00 Emanuel Toro <emanueltoro en hotmail.com>:
> Si claro encontro un bug y lo reportó, encontró los certificados SSL y los
> devolvio, estaba navegando por Internet y de repente se dió cuenta que los
> certificados SSL eran los de MSA y que el sistema está 100% seguro que se
> puede hackear re-facil, no se...demasiadas casualidades..ja.
>
> Yo estoy pensando en reportar un BUG en un sistema del EfeBeYYYY y unas
> fallas de seguridad que encontré por ahí tiradas, qué les parece?...si los
> giles no me hacen caso..joder!!! aviso a todos los hackers de Internet y de
> paso ya que soy medio "lamer" me hago reputación como el gran
> hacker...quien sabe quizás me contraten de MSA!!! no sep!
>
> También pasaba caminando y vi un auto viejo que es muy fácil de abrir, voy
> a dar una vuelta y después se lo llevo al dueño y le aviso que su auto es
> muy viejo y si no me hace caso lo publico en Internet para que todos los
> roba autos sepan que en tal dirección hay un auto que se puede robar
> re-fácil. La verdad que buena gente que soy!
>
> Uhh se me hizo tarde...me toca ir a misa.
>
> Saludos.
>
>
> ------------------------------
> Date: Wed, 8 Jul 2015 12:51:07 -0300
> From: poxyrantab en gmail.com
> To: pyar en python.org.ar
> Subject: Re: [pyar] [Voto-Electronico] Me están allanando mi casa
>
> Carlos, en este caso no hubo "penetracion". J encontro un bug, lo reporto
> y en lugar de agradecerle le allanaron la casa. Por que? porque toca
> intereses muy grandes, no es un bug en Flash, Office o IE, es un bug en un
> sistema de voto electronico que puede modificar el futuro de un municipio,
> provincia o pais.
>
> Si vos encontras un bug en Office, Microsoft te garpa y te agradece. Si
> encontras un bug en el soft de MSA no solo se hacen los giles, siguen
> diciendo que todo funciona OK y encima te mandan a la metropolitana.
>
>
> 2015-07-08 12:37 GMT-03:00 Carlos Miguel FARIAS <
> carlosmiguelfarias en gmail.com>:
>
> Estimados.
> La justicia es el único sistema inventado por el hombre que cuando
> funciona Falla, y si no Falla, no funciona.
> Totalmente de acuerdo con Sebastian.
> Si haces una penetración sin consentimiento "es violación" aunque quien
> sea penetrad@ sea un@ prostitut en .
> Saludos: Miguel, Santa Rosa (LP)
>
> El 8 de julio de 2015, 12:07, Leandro Minatel <leandro en minatel.com.ar>
> escribió:
>
>
>
> 2015-07-08 11:25 GMT-03:00 Sebastian Bassi <sebastian.bassi en globant.com>:
>
> 2015-07-07 22:20 GMT-03:00 Leandro Minatel <leandro en minatel.com.ar>:
>
> Supongamos que una persona apunta su ssh (por accidente) a una IP que no
> es la que tiene que acceder, esto es factible. Al mensaje de login se da
> cuenta que no es su servidor peeeero decide hacer una prueba, de curioso
> nomas. Resulta ser que las credenciales root/12345 funcionan. La persona,
> sin mas acciones, hace el logout y se va tal como vino.
> Mi duda es: ¿de que manera la persona informa al dueño sin que se coma un
> garron como este?
>
>
> Normalmente si vas a hacer "ethical hacking" o "white hat" o como quieran
> que le digan ahora, necesitas el consentimiento firmado de la parte que vas
> a hacerle la prueba de penetración. No tener ese consentimiento es
> arriesgarte ed gusto.
> Por otra parte, varios sistemas antes de loguearte te ponen un cartelito
> tipo MOTD pero apenas te conectas donde te advierten que es un sistema
> privado y todo el blabla legal.
>
>
> Hola Sebastian! sip, se lo que es el ethical hacking y tambien conozco el
> MOTD. El ejemplo era solo a efectos ilustrativos, mi duda era/es que quiero
> avisarle que tiene un agujero pero no quiero comerme el garrón.
>
> Bueno, nada, sera cuestión de crear una cuenta de mail y avisar vía ese
> medio. Teniendo precaucion desde donde se manda para no ser rastreado. En
> definitiva, arduo trabajo el del honesto.
>
> Slds
>
>
>
>
>
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
>
>
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
>
>
> _______________________________________________ pyar mailing list
> pyar en python.org.ar http://listas.python.org.ar/listinfo/pyar PyAr -
> Python Argentina - Sitio web: http://www.python.org.ar/ La lista de PyAr
> esta Hosteada en USLA - Usuarios de Software Libre de Argentina -
> http://www.usla.org.ar
>
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
_______________________________________________
pyar mailing list pyar en python.org.ar
http://listas.python.org.ar/listinfo/pyar
PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20150709/d76e3e55/attachment.html>
More information about the pyar
mailing list