¿Qué preocupaciones de seguridad se deben tener en cuenta al piratear sitios web de invitación abierta?

Navega tus respuestas
5

Hay un par de otras preguntas que ya abordan aspectos legales, éticos y de responsabilidad de hackear sitios web con invitaciones abiertas.

¿Cuáles son las preocupaciones legales / éticas a tener en cuenta al hackear sitios web con invitaciones abiertas?

Creo que accidentalmente lo hago 'D un sitio web. ¿Qué debo hacer?

Esto me hizo pensar: ¿Qué tan buena idea es, desde un punto de vista de seguridad, estar pirateando estos sitios web? Claro, ofrecen una gran oportunidad de aprendizaje potencial para aquellos que desean ejercer sus habilidades. Pero, ¿qué amenaza podrían representar para esas personas, muchas de las cuales pueden estar jugando con fuegos que aún no comprenden del todo?

Poniéndose mi sombrero de papel de aluminio, algunos riesgos particulares vienen a la mente:

  • El sitio podría ser un honeypot, administrado por el gobierno u otras entidades que buscan recopilar información sobre hackers activos (o posibles).
  • El sombrero negro podría configurar el sitio como un honeypot para recopilar una lista de aficionados interesantes y hackeables para apuntar.
  • Un black-hat de terceros podría acceder a los registros del sitio y agruparlos para obtener datos sobre aficionados interesantes y hackeables a los que apuntar.

¿Son estas preocupaciones realistas? ¿Cuál es la probabilidad de que alguno o todos estos se hagan realidad? ¿Hay otras formas en que los propios sistemas podrían ponerse en riesgo (desde un punto de vista de compromiso de seguridad, no asuntos legales) cuando se utilizan para piratear estos sitios?

¿De qué manera se debe tratar de mitigar estos riesgos? ¿Cuáles podrían ser algunas buenas alternativas, si el riesgo se considera demasiado?

    
pregunta Iszi 02.04.2012 - 20:25
fuente

2 respuestas

3

También hay un aspecto profesional aquí menos en cuanto a controles técnicos, y más en el ángulo de reputación y propiedad intelectual:

  • Si eres un profesional de la seguridad que participa en uno de estos, ¿estás regalando una técnica o metodología patentada al competidor que alberga el sitio?
  • Si comete un error (no lo olvide, esto sucede en ocasiones), ¿podría impactar negativamente su reputación o la de su empresa?

El anfitrión del sitio podrá ver todo lo que hizo en sus registros ... ¿Alguna vez escribe mal los comandos, usa dir en lugar de ls, se desvía accidentalmente fuera del alcance de la prueba? Esto se registrará y podría tener un impacto negativo en usted.

    
respondido por el Rory Alsop 04.04.2012 - 16:02
fuente
5

Definitivamente pueden ser honeypots. Es muy interesante saber cómo entran las personas, por lo que puede utilizar las mismas técnicas o identificarlas.

Algunos de estos proyectos son solo para aprender más sobre seguridad, pero es definitivamente plausible que estos sistemas puedan ser abusados. Después de todo, están destinados a ser vulnerables.

Hice un proyecto escolar similar en el que falsifiqué una retransmisión abierta de sendmail y simplemente envié todos los correos electrónicos entrantes a un script de Python que sacó todos los destinos, generando mi propia lista de correo no deseado. Creo que al final, después de aproximadamente 3 semanas, tenía cerca de 300.000 direcciones de correo electrónico diferentes.

    
respondido por el Lucas Kauffman 02.04.2012 - 20:33
fuente

Lea otras preguntas en las etiquetas

Guía de implementación y aplicación de "Protección ampliada" para prevenir MITM ¿Es este un síntoma de un ataque (DoS / DDoS)?