... me pregunto si era sencilló hakear un facebook. Es muy sensillo, no se los voy a negar, ....

El equipo se seguridad de Facebook no trabaja diario para que salgas con esas tonterías xD

A mi pensar no es tan "sencillo" el hackeo de facebook o un sólo perfil. Pienso que Facebook trabaja a diario para evitar vulnerabilidades  xD. Por otro lado, independientemente de lo que diga Chema Alonso, "Ética" es algo que cada quien decide, considero que la mayoría de los que estamos en este foro sabemos que en el tema de seguridad no hay blanco y negro, sino que  todo esta en tonalidades de grises, así que decir "Este tipo de cosas manchan muchísimo a los hackers, habiendo tantas cosas mejores que hacer mal a una persona", es más una respuesta "políticamente correcta" que lo que pasa en el mundo real.

Coincido totalmente en la parte que mencionas sobre las inclinaciones políticas y morales. En cuanto a la parte técnica, ahí discreparía un poco debido a que al hablar explicitamente de cosas técnicas, eliminas cualquier tipo de contexto y te limitas únicamente al conocimiento sin meter como bien dices cuestiones políticas morales y éticas, ahí no hay colores.

Regresando un poco a mi comentario, el sentido que quiero dar es que no podemos hablar de un sentido "ético puro", ya que muchas personas lo usan nada más como discurso pero si pudieran lo aplicaran para otras cosas. Más de uno (me incluyo) alguna vez nos ha pasado por la mente sacar provecho del conocer cosas de seguridad para obtener algún beneficio, entonces considero a veces hipócrita el decir "habiendo tantas cosas mejores que hacer mal a una persona, porque si, es algo estúpido no?".

Pero como bien dices todo es debatible.

La direccion de mis palabras no iba en esa linea. De hecho no estaba ni siquiera pensando en sistemas webs o sistemas de empresas cuando comentaba eso. Iba mas dirigido a ver problemas del navegador, antivirus, sistemas operativos. Cualquier programa o sistema que podamos utilizar y poner en nuestros equipos.

El atacar un sistema en produccion tiene sus problemas evidentes, y lo peor es que estas realizando pruebas en el trabajo de otros.  Pero lo dicho, mi propuesta y mi afirmacion de etica iba por otros derroteros (No se si te has escurrido o sobreexcitado con mi post o simplemente estaba mal explicado y se entendia del reves). De ahi lo de sacar beneficio de ello porque  mi discurso iba mas por exploits y errores de sistemas de uso comun. Tu te montas tu entorno de pruebas y tu haces las pruebas con gaseosa.

Si yo tengo un programa y le saco un fallo y doy a conocer a la comunidad o empresa el error para que se pueda corregir, hasta donde yo veo. No creo que suponga un problema etico para nadie (me quedo solo en el aspecto tecnico). Si no hubiese gente sacando fallos a programas como samba, apache, joomla, drupal, OSX, etc etc..  tendriamos sistemas probablemente bastante menos seguros. Y si, creo que ahi estas haciendo un favor, y gordo a la empresa, comunidad o programador de turno. Creo que no veo en que perjudicas.

De todas formas me da la impresion de que tu critica iba mas a te hackeo tu empresa o tu sistema o entro en tu ordenador y te doy aviso de que tienes fallos en tu sistema. Y eso evidentemente tiene los problemas de que para hacer eso has tenido que vulnerar determinadas cosas privadas. Al hacer un sql estas interceptando datos privados de una base de datos, al entrar en un sistema del que no eres propietario estas mirando o teniendo acceso a archivos a los que no deberias.

Lo de sacar partido del error, iba en la direccion de sacar partido economico via extorsion o venta a terceros. Si haces un POC de un exploit de un programa y te da pasta la empresa que lo ha creado genial. Si sacas un exploit de un programa y lo utilizas para extorsionar pues.... Simplemente no veo otra forma de sacar partido, o notificas y quedas a expensas de la posible gratificacion (economica o de indole social) de la empresa o sponson que sea, o no veo otra posibilidad de sacar partido que no implique ya venta en mercados negros o similares para uso malicioso.

¿¿Y cual es la idea??
Si por ejemplo mi IP es la 139.87.12.12 y la de facebook 31.13.83.36 algo asi como poner desde tu casa en el wireshark el filtro:

ip.src=139.87.12.12 and ip.dst=31.13.83.36

y con eso mayormente ¿La intencion es coger cuando pase por tu ordenador  el paquete que va  con el usuario y el password desde mi ordenador a facebook? Mas o menos ¿la idea va por ahi?