Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Nuevo ataque a Sony o el mito de la seguridad corporativa.

En este nuevo incidente, se descubren más aspectos que nos hacen reflexionar no sólo sobre la seguridad instalada de Sony, sino sobre ésta en general.

Se ha publicado que miembros de una organización que se hace llamar LulzSec, rompieron la seguridad de Sony Music y robaron datos que se estima pertenecen a un millón de cuentas, publicandolos en su sitio.

La organización tiene el mismo perfil de muchos de estos grupos: se consideran muy buenos en sus conocimientos computacionales, pero al mismo tiempo tienen la necesidad imperiosa de probarlo constantemente.

En este punto ya nada de esto es novedad, considerando la fragilidad que ha evidenciado tener la seguridad manejada por Sony. Si acaso resulta de interés el que los datos extraídos de una base de datos contenían contraseñas *sin cifrar*, detalle que resulta exageradamente ingenuo, pues lo normal es guardar las contraseñas cifradas y al recibir la de un usuario se compara su versión cifrada con la que tenemos en la base.

Se pensó de entrada que podrían ser datos falsos, por lo menos parcialmente, pero de algunas pruebas elementales se encontró que parecen ser genuinos. Por ejemplo, se verificó si existía una de las personas listadas y resultó ser una anciana de 84 años de edad, residente del estado de Minnesota, EEUU, quien confirmó la información publicada, pero dijo no estar preocupada pues, no tiene dinero ni nada que puedan robarle. En este caso, la red en cuestión es Sony Music.

PCWorld, ha publicado una nota con consejos para aquéllos que sospechen que se encuentran entre los afectados, pues ahora el rebote de esto serán seguramente las estafas, incluso por correo postal.

Las discusiones se han desviado por caminos, en la opinión de quien escribe, por caminos intrascendentes. Que si Sony avisó con tiempo o no lo hizo. Que si en incidentes similares se han tardado más que Sony en notificar. Que si fueron hackers chinos los que atacaron a Google o de otro sitio. La realidad del asunto es que las prácticas superficiales tanto de usuarios como de compañías son las que propician la inseguridad.

Simplemente, los usuarios no ponemos atención en donde proporcionamos nuestros datos: es el sitio real o es una copia? De todas las personas que conozco, probablemente una en 20 o en 50 alguna vez ve la barra de estatus para enterarse a dónde la está redirigiendo el navegador. Esta es una herramienta importante para notar cuando hay algo raro. Se cree que de esta forma fue como se consiguió atacar con éxito a algunas cuentas de Google.

Por otra parte, las compañías están muy ocupadas decidiendo qué tan rimbombante suena la herramienta que emplearán para su siguiente portal y los desarrolladores se distraen en medio de elaborados procesos, en vez de cumplir con las mínimas normas de seguridad, como lo muestra el caso de Sony. Ahora han aprendido que tienen que cifrar sus contraseñas. Adelantamos aquí en Alcance Libre otro tema para que lo vayan viendo, porque pensamos que por ahí los están explotando en sus bases de datos: inyección de código SQL.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/20110603173700690
  • Nuevo ataque a Sony o el mito de la seguridad corporativa.
  • 0comentarios
  • Crea cuenta nueva
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.