Hackeo del bueno (al fin) reconocido por la justicia

Esto que sucedió es raro, en Argentina la tendencia gubernamental suele ser la de atacar y acusar a quien hizo algo por el bien de todos, y si ese algo es exponer una vulnerabilidad, mucho peor.

No se concibe, usualmente, el concepto de White Hacking, persiguieron a quienes expusieron las fallas de las máqinas de voto electrónico al punto de allanarlos y procesarlos. Cuando uno expuso las vulnerabilidades de los sistemas de la policía le inventaron una causa con datos falsos sólo para tapar la irresponsabilidad de la fuerza.

En el caso que les comentaré fue el juez el que hizo todo lo contrario y esto sí que es raro.

Ariel Ortmann un día se dio cuenta que en el home banking del Banco Nación estaba todo mal hecho, no es raro, casi todos los bancos que dependen de alguna (o total) forma del estado tienen equipos de desarrollo paupérrimos que se llevan MUY MAL con cualquier cosa que pueda aparentar modernidad (aunque sean cosas de hace 20 años).

En la denuncia realizada por la abogada del banco constaba lo siguiente:

"se autenticó y mediante técnicas específicas para detectar vulnerabilidades en sistemas informáticos modificó a su favor la cotización del dólar dentro de su navegador"

Y qué hizo Ariel? Compró miles de dólares a una cotización falsa, muy baja, no los usó ni los tocó, era su reclamo en forma de evidencias.

Obviamente desde el banco lo denunciaron pero he aquí que el juez Marcelo Martínez de Giorgi tuvo una visión totalmente distinta a ese paradigma de "al botón hay que matarlo" que se suele aplicar en Argentina.

Dijo el juez:

"el objetivo era demostrar deficiencias de seguridad y no una defraudación"

Es que Ortmann había contactado por todos los medios al banco para explicarles lo idiota de su sistema, uno que desde el browser podía cambiar la cotización. Sí, así de imbécil como les suena porque no hay nada peor que dejar en javascript el valor de cotización que DEBERÍA SER DEL LADO DEL SERVIDOR SIEMPRE.

Así de malos programadores son, pero no sólo malos programadores, tampoco hay una forma de comunicación, un canal, una vía que permita reportar bugs.

Pareciera que dicen "Mis bugs no te importan y si no te gustan jodete".

Pero hay un problema con esta visión y es que el banco tiene TU dinero en custodia, es su responsabilidad cuidarlo, por algo lo tenés en un banco y no en un colchón. Pero como es el Nación hacen lo que se les canta "yo estoy por encima del cliente" es la usual filosofía, caso contrario, te inventamos una causa judicial.

Es interesante también cómo le cuesta a los abogados y letrados en general entender cosas básicas de internet. El "hacker" no atacó nada, no instaló nada, todo browser te permite editar los parámetros con las herramientas de desarrollador que ya traen, no hace falta mucho para cambiar una coma de lugar.

El error era ciento por ciento del developer que cometió ese error de principiante combinado con la falta absoluta de QA, de testing y especificaciones que seguramente estaban mal definidas. Es todo el proceso de desarrollo el que falló.

Por ejemplo, para deslindar responsabilidad, Cristian Patti, Gerente de Seguridad Informática y Prevención de Fraudes de la firma Red Link, dijo que Ortmann utilizó un programa especial para llevar a cabo las maniobras pero "que ese programa fue instalado en su computadora personal y no en el servidor de la Red Link".

No hace falta instalar ningún programa especial, puede ser Chrome o Firefox, tu sistema de home banking es una mierda, seguramente el servidor está perfecto, pero de web no entienden nada.

Bien por el juez en este caso!

Categoría: Tecnología Etiquetas:  banco caso causa hacking juez penal white hacking

Si te gustó esta nota podés...
Invitame un café en cafecito.app


Otros posts que podrían llegar a gustarte...

Comentarios

  • G C    

    Rarísimo que actúe así un juez. Mejor. ¿Esto ya sienta jurisprudencia?

    • Responder
    • Citar
    • Comentado:
    • si, aunque siempre depende que la sentencia quede firme, claro

      • Responder
      • Citar
      • Comentado:
  • Tremendo... :O :O

    • Responder
    • Citar
    • Comentado:
  • Pablo    

    Todos sabemos que lo correcto, lo absolutamente correcto de hacer es crear una cuenta con documento falso, entrar al homebanking comprar todos los dólares que puedas y transferirlos. Luego confesar en las redes de forma anónima que formas parte de un banda internacional de hackers y tus jefes son el Director de seguridad de Banelco y el presidente del banco Nación junto con varios de los tipos de sistemas.

    • Responder
    • Citar
    • Comentado:
  • Aclaremos que el banco lo denunció de toque... tuvo muchísima suerte que le tocó un juez con una chispa providencial entre sus neuronas, si no a esta altura lo tenemos sin computadoras ni celulares y con una causa abierta ad eternum

    • Responder
    • Citar
    • Comentado:
  • Danbat    

    Bien por el juez. Con la metodología usual, encima de arruinarle la vida al denunciante lo único que logran es que nadie se preocupe de informar vulnerabilidades y pase a usufructuar el bug, sea de manera personal o vendiendo el dato.

    Y debo confesar que me hubiese gustado hacerme de algunos dólares espúreos para vender en el mercado negro y con la diferencia adquirir diversos bienes. Vivir la vida del político y el sindical, en otras palabras.

    • Responder
    • Citar
    • Comentado:
  • Esteban    

    me reí mucho con la idea de cambiar dos o tres valores pelotud0s en el browser y ya está, sos millonario. Aguante ese hacker que expuso una deficiencia tan sosa (y espero que lo contraten, no sean bolud0s)

    • Responder
    • Citar
    • Comentado:

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Para evitar bots, si se tardó mucho en leer la nota seguramente no sirva y tenga que intentar dos veces

Negrita Cursiva Imagen Enlace


comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador