El 18/12/06, José Miguel Vidal lavín<[EMAIL PROTECTED]> escribió: > Sergio E. Miranda escribió: > > Estimados, > > Estamos tratando de bajar un sitio phishing alojado en la maquina > > 200.75.29.158, de gtdinternet, la cual esta siendo usada por la empresa > > sertotal.cl > > Señores > > Respondo tarde a este mail por motivos de exceso de trabajo fuera de > santiago, varios puntos a comentar. > > 1.- Alguien de ustedes entregaria informacion a una persona que llama y > dice ser de tal institucion y al minuto pide info de los servidores y > correos y cosas por el estilo sin que uno pueda confirmar si esta > persona realmente cumple esas funciones?
Basta decir "Ya estamos trabajando en ese asunto, por lo que no se preocupe. Nosotros no podemos brindarle esta información por el hecho de ser privada y no podemos comprobar su identidad en un periodo de tiempo tan corto." > 2.- me parece extremadamente informal el hecho de no presentarse > personalmente en las dependencias nuestras para resolver el tema, con > documentacion en mano. Eso es cierto, sin embargo en /todas/ las ocasiones que conozco en que ha habido un compromiso de seguridad revelado por terceros, primero se averigua si efectivamente hay tal y luego se comprueba la identidad de la persona: un aviso poco serio puede ser por causas realmente /graves/ (p.ej. phpmyadmin en http://www.victima.com/phpmyadmin/ sin clave y accesible para todos... no falta el idiota) > 3.- quien les da el derecho de publicar esta informacion en una lista > como la de linux y la de sysadmin?, es un tema delicado y privado. Desde los primeros correos discutimos respecto de si es procedente hacer un disclosure de fallos de seguridad. > 4.- Yo soy el admin que les colgo por la falta de seriedad y cero > procedimientos que tienen. Estamos ante un caso dificil de resolver. Por una parte, si fue improcedente realizar un anuncio de errores de seguridad en una lista. Por otra parte, el administrador de sistemas debe proceder de manera éticamente correcta, esto es: no proporcionando datos sobre servidores /ni aunque la persona se identifique correctamente como una entidad de confianza y comprobable: la ingenieria social aunque no queramos funciona/ y dejando en claro que ya se esta trabajando en el asunto, por lo que en un corto plazo deberia solucionarse: /no colgando/ porque eso hace suponer cosas terribles. > ahora, se dignaran a cooperar como corresponden? Esta lista de discusion es un grupo homogeneo, en el que cada persona se responsabiliza por los correos electronicos que envia, y al momento de inscribirse esta claro que toma conocimiento de la cantidad de usuarios existentes en el momento. Por lo demas, si existen dudas /tecnicas/ que se puedan solucionar a traves de la lista y para el conocimiento publico, el procedimiento ya es conocido por todos los lectores. > ya el tema esta resuelto y si quieren informacion solo deben pedirla por > mail o personalmente en nuestras oficinas. Muchas gracias. -- Rodrigo Fuentealba Cartes Desarrollador de Sistemas Web Registered User 387639 - http://counter.li.org