Ética de programación

hanschrome · 13 Ene 2014

¿Está mal coger una cartera del suelo?
¿Está mal entrar a un wifi abierto?

De esto va este tema, hace unas semanas un profesor nuestro nos presentó un sitio web para publicar apuntes y que nos ayudásemos entre nosotros, a los cinco minutos yo había detectado una vulnerabilidad XSS y la usé para que cada vez que entrara a la pizarra(virtual del sitio web), le sacara de la sesión, a parte de amenazarme el profesor con que si lo volvía a hacer no terminaba mis estudios superiores, se abrió un tema bastante interesante en el recreo.

La cosa iba así, si el programador es tan despistado(por no faltar al respeto porque yo también soy programador y me fastidiaría) como para dejar vulnerabilidades tan cantosas ¿Hago mal en explotarlas? Al fin y al cabo una web está escuchando en un puerto, y yo le envío información para que me devuelva una salida, por lo que yo no he hecho nada malo que se salga de ese esquema, simplemente envío información y me devuelve una salida.

Mis compañeros siguen diciendo que es como entrar a una casa abierta, entrar a una red wifi que alguien se ha dejado abierto sin querer, o coger una cartera del suelo y quedarte el dinero porque no lleva dni. Defendiendo la postura de que no hay que hacerlo (Aunque bien que se rieron hasta no poder cuando vieron lo que había hecho).

¿Vosotros qué opináis? ¿Tenemos nosotros la culpa de que no se programe con calidad? ¿Qué ética aplicaríais?

Un saludo a todos y espero más puntos de vista.

BullEntertainment · 13 Ene 2014

hanschrome dijo:
¿Está mal coger una cartera del suelo?
¿Está mal entrar a un wifi abierto?

De esto va este tema, hace unas semanas un profesor nuestro nos presentó un sitio web para publicar apuntes y que nos ayudásemos entre nosotros, a los cinco minutos yo había detectado una vulnerabilidad XSS y la usé para que cada vez que entrara a la pizarra(virtual del sitio web), le sacara de la sesión, a parte de amenazarme el profesor con que si lo volvía a hacer no terminaba mis estudios superiores, se abrió un tema bastante interesante en el recreo.

La cosa iba así, si el programador es tan despistado(por no faltar al respeto porque yo también soy programador y me fastidiaría) como para dejar vulnerabilidades tan cantosas ¿Hago mal en explotarlas? Al fin y al cabo una web está escuchando en un puerto, y yo le envío información para que me devuelva una salida, por lo que yo no he hecho nada malo que se salga de ese esquema, simplemente envío información y me devuelve una salida.

Mis compañeros siguen diciendo que es como entrar a una casa abierta, entrar a una red wifi que alguien se ha dejado abierto sin querer, o coger una cartera del suelo y quedarte el dinero porque no lleva dni. Defendiendo la postura de que no hay que hacerlo (Aunque bien que se rieron hasta no poder cuando vieron lo que había hecho).

¿Vosotros qué opináis? ¿Tenemos nosotros la culpa de que no se programe con calidad? ¿Qué ética aplicaríais?

Un saludo a todos y espero más puntos de vista.

jaja pues si yo pudiese hacer eso lo explotaría al máximo ( siempre que el profesor no se entere yo ahora mismo estoy en un grado medio y si pudiese tocar las pelotas a los profesores lo haría

ademas de reírme y ya si puedes cogerle el control sin que se entere y ponerte a dibujar cosas en la pizarra electrónica bua yo me partiría en tu clase

suerte

hanschrome · 13 Ene 2014

Me agrada mucho tu respuesta Julio, todo sea por las oportunidades de negocio

Por tu parte Bull,... mi intención no era tocar las pelotas, ni hacerlo de manera "clandestina" ya que le informé al instante al profesor, mis intenciones no eran del todo malas, porque sino le hubiera quitado la sesión al profesor y hubiera rebuscado en busca de exámenes colgados en la plataforma. Ese objetivo de fastidiar no lo comparto.

housedir · 13 Ene 2014

A pss yo si lo haria no veo nada de malo, eso les demuestra lo mediocres que son y asi ver si aunquesea hacen las cosas bien, yo he tenido profesores que simplemente les molesta que un alumno sepa mas que ellos

Usuario eliminado 45713 · 13 Ene 2014

Ese Hans sacando su parte malévola ajajajj :devilish::devilish::devilish:

flowxd · 13 Ene 2014

Lo estás haciendo mal... se dió cuenta de que sos vos, el juego terminó.
Aplicando lo que decís vos: Levantaste la billetera, pero el dueño te vió hacerlo y te dijo es mía. Se la devolvés

si te la quedás te puede cagar a trompadas, o en tu caso perder tiempo de estudio

hanschrome · 13 Ene 2014

iChemaFX dijo:
Ese Hans sacando su parte malévola ajajajj :devilish::devilish::devilish:

Como he dicho antes mis intenciones no eran del todo malas.

housedir dijo:
A pss yo si lo haria no veo nada de malo, eso les demuestra lo mediocres que son y asi ver si aunquesea hacen las cosas bien, yo he tenido profesores que simplemente les molesta que un alumno sepa mas que ellos

Dicho de una manera vulgar y algo vejatoria comparto tu opinión, exceptuando lo de los profesores, he tenido suerte con los míos excepto con uno... pero bueno, es muy mayor el hombre. La web no está hecha por mis profesores, es un negocio privado que fue publicitado en un instituto público. Julio Rodríguez, Ha sido el profesor quién nos ha presentado la plataforma privada, no es ningún moodle, está programada desde 0 parece ser, el moodle que tienen oficial del instituto no creo que tenga vulnerabilidades tan cantosas.

jtsamper · 13 Ene 2014

Seguro que ese profesor que no te cae bien es el que lo hizo. Y por ello coge y te a puesto en su punto de mira, por encotrar esa vulnerabilidad.

Yo soy tu y lo compartiria, para obligarlo a repararlo si o si, eso si intenta desviar sus sospechas hacia otro alumno, o vete a jefatura o dirección, demostrandoles el error y decir que si tu lo encontrases cualquier otro alumno con acceso podria tambien encontrarlo y podria ser peor.

Mi vena malvada es que cogerias y vendieras los examenes de la plataforma, a tus compis seguro que unos € te sacas :greedy_dollars:

housedir · 13 Ene 2014

Julio Rodríguez dijo:
[MENTION=26198]housedir[/MENTION] [MENTION=79168]hanschrome[/MENTION] mhucos profesores solo intentan que los alumnos aprendan, ellos no tienen la culpa de la plataforma.

Mi hermana es profesora de Gallego y tienen un aula virtual con moodle, una versión vieja y vulnerable... porque tiene que pagar ella por que el colegio sea centralizado y tengan en todo españa la misma mierda...

hanschrome dijo:
Como he dicho antes mis intenciones no eran del todo malas.

Dicho de una manera vulgar y algo vejatoria comparto tu opinión, exceptuando lo de los profesores, he tenido suerte con los míos excepto con uno... pero bueno, es muy mayor el hombre. La web no está hecha por mis profesores, es un negocio privado que fue publicitado en un instituto público. Julio Rodríguez, Ha sido el profesor quién nos ha presentado la plataforma privada, no es ningún moodle, está programada desde 0 parece ser, el moodle que tienen oficial del instituto no creo que tenga vulnerabilidades tan cantosas.

Claro yo lo digo en el caso que el profesor sea el que se diseño el programita para enseñarles, pense que ese era el caso

, ahora si es un programa que tiene la universidad para que los profesores enseñen, eso tambien deberia ser corregido por ellos, no deberian tener ese tipo de bugs en la plataforma y menos si tiene contenido valioso como las preguntas de los examenes por ejemplo

AcidShout · 13 Ene 2014

A mi me parece bien, al igual que entrar a un wifi abierto.

Si lo han dejado abierto, pues entras. Si lo cierran, pues no. Es culpa del profesor, no tuya.

Vzk91 · 13 Ene 2014

Vamos a ver, seamos logicos. No puedes comparar el explotar una vulnerabilidad con entrar a un wifi abierto o coger una cartera del suelo. Para empezar al dejar un wifi abierto, si tu te conectas y te pillan no ocurre nada. Si tu aprovechas una vulnerabilidad en un sistema y te pillan, te comes una denuncia como una casa y te puedo asegurar (al menos en españa) la multa que te meten son elevadas.

Si no equivoco, lo que te meten es descubrimiento y revelación de secretos y tiene una sanción que puede llegar hasta los 4 años de carcel.

Es importantisimo que antes de hacer "tonterias" al descubrir una vulnerabilidad en algun sitio, pienses en las consecuencias que puede tener si te pillan. Porque sinceramente, si se ponen tontos no creo que merezca la pena arriesgar tu libertad por quitarle la sesion aun profesor. Y ya ni te cuento si se te ocurre buscar examenes y comerciar con ellos...

pd: Tambien te digo, que otros compañeros te han sugerido revelar la vulnerabilidad para meter presión y que la arreglen. Tambien decirte que es la mayor estupidez que puedes hacer, porque de la misma manera te meten descubrimiento y revelación de secretos

ciberutilidades · 13 Ene 2014

Que interesante tema, creo se puede ir viendo quienes tienen un poco de etica y quienes no(buen dato para mis futuros negocios :witless

. En mi opinion personal pienso que es tonto por no decirto mas fuerte, ganas mas con reportarlo quien sabe lo reportas y te piden que ayudes a mejorar el sistema y eso significa $$$$, vender examenes? Ok, lo hces, te pillan y te votan de la uni, siendo que si reportabas no solo ganabas $$$$ y te podrian recomendar, eso vale mas que miseros centavos que sacaras aprovechando bugs de cualquier sistema. Ademas piensa como te sentirias si fuera tu sistema y viene alguien y te lo baja, no solo eso sino que hace negocio con vulnerabilidades del sistema, piensa en eso. Ahora que recuerdo en mi pais cosas similares son un delito de informatica, asi que mejor ten cuidado y lee las leyes de tu pais sobre seguridad informatica, no sea que te lleves una sorpresa.

EsLoQueHiHa · 13 Ene 2014

Yo creo que depende del objetivo que persigas. Si lo usas para el mal, está mal. Si no, pues no.

* Si usas una red wifi abierta para escuchar sus puertos, capturar información de sus cuentas del banco y robarle, entonces está mal. Si usas una web wifi abierta para navegar y entrar en tu facebook, pues no está mal.

* Si te encuentras una cartera en el suelo y usas el dinero para dar de comer a tus hijos hambrientos, pues no está mal. Pero si usas el dinero para comprar drogra y putas, pues está mal.

Vzk91 · 13 Ene 2014

Como te dice el compañero de arriba, si tu etica te empuja a explotar esa vulnerabilidad para sacar algo o siemplemente fastidiar, primero investiga sobre la ley vigente en tu pais y luego sopesa si te sale rentable. si tu etica te empuja a ser honrado, no difundas esa vulnerabilidad y ves directo a hablar con jefe del departamento de informatica de tu universidad y reportarles el fallo.

Juanpa Duran · 13 Ene 2014

Yo creo que hubieras sacado mas provecho reportandolo, eso de bajar examenes y ponerte las cosas faciles seria restarle calidad a tu nivel academico y aprendizaje.

Galbatorix · 13 Ene 2014

Cuanto maniqueísmo, neta. En la vida real, el juego es que uno gana y otro pierde.

Porque ahora resulta que no es ético si te puede perjudicar, como en el caso del profesor, pero robarse la wifi es banal.

Creo que lo importante con respecto a la ética profesional es ubicarse como "parte interesada" en el éxito del negocio.

La cosa es así, la vulnerabilidad existe. El hecho que la hayas descubierto tu es de hecho algo bueno. Porque si no la descubrirás tu, la iba a descubrir otro, porque la vulnerabilidad estaba ahí. Solo que como tu estás interesado en el éxito del proyecto la expones con el fin de eliminarla.

En otras ocasiones, el juego de suma cero supone que el interés en el éxito de un proyecto supone que DEBES APROVECHARTE de la vulnerabilidad de otro en beneficio propio propio.

O sea que lo que digo es edto

Es ético encontrar una vulnerabilidad y obtener un beneficio de ella. Porque por ejemplo, el corregirla y eliminarla supone una mejora y por lo tanto un beneficio.

Enviado desde mi Galaxy Nexus mediante Tapatalk

jtsamper · 13 Ene 2014

Me vais a perdonar, todos, pero no creo que este permitido "amenazar" a un alumno, por encontrar una vulnerabilidad que cualquier otra persona, podría haber descubierto. Y máxime no habiéndolo explotado y habiendo sido comunidado. Lo normal hubiera sido, un gracias, lo solucionaremos lo antes posible...

Si en algunos de mis script tuviera un fallo de ese tipo, se me caería la cara de vergüenza, porque se supone que un programador debería proteger tanto sus códigos como a sus clientes. Y imaginaros el caso de Snapchat, que tenia un agujero en su api y permitia robar millones de teléfonos con nombre e email (creo recordar) el descubridor se lo notifico a la suso dicha empresa y esta no lo cerro hasta que publicaron el método de obtención. Os imaginais que vuestros datos fueran publicados, a quien se le caería el pelo, al que descubrió el fallo o al que no lo soluciono cuando se lo dijeron....

Esto es un arma de doble filo

ciberutilidades dijo:
Ademas piensa como te sentirias si fuera tu sistema y viene alguien y te lo baja, no solo eso sino que hace negocio con vulnerabilidades del sistema, piensa en eso.

Si ese fuera mi caso no me llamaria programador. Puede estar con el patron MVC o sin él, pero no puedo permitir fallos en el sistema que puedan comprometer la aplicación que he vendido a un tercero.

ciberutilidades · 13 Ene 2014

jtsamper dijo:
Me vais a perdonar, todos, pero no creo que este permitido "amenazar" a un alumno, por encontrar una vulnerabilidad que cualquier otra persona, podría haber descubierto. Y máxime no habiéndolo explotado y habiendo sido comunidado. Lo normal hubiera sido, un gracias, lo solucionaremos lo antes posible...

Si en algunos de mis script tuviera un fallo de ese tipo, se me caería la cara de vergüenza, porque se supone que un programador debería proteger tanto sus códigos como a sus clientes. Y imaginaros el caso de Snapchat, que tenia un agujero en su api y permitia robar millones de teléfonos con nombre e email (creo recordar) el descubridor se lo notifico a la suso dicha empresa y esta no lo cerro hasta que publicaron el método de obtención. Os imaginais que vuestros datos fueran publicados, a quien se le caería el pelo, al que descubrió el fallo o al que no lo soluciono cuando se lo dijeron....

Esto es un arma de doble filo

Si ese fuera mi caso no me llamaria programador. Puede estar con el patron MVC o sin él, pero no puedo permitir fallos en el sistema que puedan comprometer la aplicación que he vendido a un tercero.

No tienes parece en mente una frase muy usada entre los programadores que es "no hay sistema perfecto", acuerdate o sino aprende, y no es hacerse el sabio sino saber algo tan obvio como eso

Vzk91 · 13 Ene 2014

Es ético encontrar una vulnerabilidad y obtener un beneficio de ella. Porque por ejemplo, el corregirla y eliminarla supone una mejora y por lo tanto un beneficio.

En serio ??

Es etico encontrar una vulnerabilidad ??? Si, porque no. Es etico obtener un beneficio de ella ?? Desde mi punto de vista no. No es necesario sacar algo de beneficio para que dicho fallo sea reportado y arreglado.

En mi opinion todos somos humanos y los errores existen pero no por eso el que lo descubra tiene derecho a sacar provecho de ello...

---------- Post agregado el 13-ene-2014 hora: 14:58 ----------

ciberutilidades dijo:
No tienes parece en mente una frase muy usada entre los programadores que es "no hay sistema perfecto", acuerdate o sino aprende, y no es hacerse el sabio sino saber algo tan obvio como eso

Por fin alguien comparte una opinion como la mia jajaja

jtsamper · 13 Ene 2014

ciberutilidades dijo:
No tienes parece en mente una frase muy usada entre los programadores que es "no hay sistema perfecto", acuerdate o sino aprende, y no es hacerse el sabio sino saber algo tan obvio como eso

Se que no hay nada perfecto, pero si vendes un producto, que por lo menos el agujero no sea visible facilmente, o que los fallos mas explotados sean corregidos...
Pero nos estamos saliendo del tema.

Yo veo etico que si has encontrado un fallo cojas y lo digas al responsable es mas, yo soy el primero que voy y lo reporto al suso dicho, pero tambien veo etico darle un escarmiento si despues de la notificacion y de su periodo de reparación, no ha sido resuelto meterle caña... Imaginate que esa web contiene tu información personal, te gustaria que despues de darle un aviso y darle un tiempo siguiera con el mismo fallo... Creo que no

Ética de programación

Usuario eliminado 45713

AcidShout