Categoría: Seguridad

La triste historia de JournalSpace

El caso de JournalSpace ha tenido notoridad a lo largo de este fin de semana e incluso ha aparecido en Slashdot. En resumen la empresa perdió todos los datos de sus usuarios debido a que el encargado del TIC sobreescribió toda la base de datos, con lo que la información se perdió para siempre. Al menos es la explicación que dio el CEO de la compañía en el blog de la misma:

"This sounds like an ancient Chinese curse: ‘may you be featured on Slashdot and have 80 Twitter followers.’

Some more background for the folks who caught the news on Slashdot or another blog: yes, I was a huge idiot, first and foremost.

It was the guy handling the IT (and, yes, the same guy who I caught stealing from the company, and who did a slash-and-burn on some servers on his way out) who made the choice to rely on RAID as the only backup mechanism for the SQL server. He had set up automated backups for the HTTP server which contains the PHP code, but, inscrutibly, had no backup system in place for the SQL data. The ironic thing here is that one of his hobbies was telling everybody how smart he was.

This doesn’t excuse what happened, though: I should have taken a better look at what he’d left behind, and fixed all of the things that needed fixing."

Es decir toda las medidas de back-up de dicha empresa eran un RAID 1. Al parecer esta compañía ha corrido con bastante suerte todos estos años, pues de acuerdo a Slashdot, estan en el negocio desde el 2002. Yo he visto morir RAID 1 y 5 tantas veces a lo largo de mi experiencia profesional que me sorprende que no hayan tenido aunque sea un backup semanal. Incluso ahora es tan barato y fácil que se puede hacer un cluster de multiples master con MySQL.

Como una vez le exponía a mi jefe el por qué no es suficiente solo el RAID 5. Mi ejemplo fue el siguiente: "Imagine que tiene un avion con 4 motores, y justo en medio del recorrido uno falla. Lo primero que hace el piloto es ubicar el aereopuerto más cercano para practicar un aterrizaje de emergencia, para poder reparar el desperfecto y continuar con la travesía. Esa es la forma de proceder con un RAID 5". Al parecer muchas personas leen sólo los comentarios sobre las tecnologías, pero jamas las han visto aplicadas a la vida real.

El caso de JournalSpace ha causado tanto revuelo en la blogosfera que hasta ha sido comentado en TechCrunch, justamente al final del post el autor del mismo se pregunta cuando fue la última vez que el lector hizo un back-up de sus datos.

Lo más sorprendente del caso de JournalSpace es que sencillamente dejará de operar; es más estan rematando en eBay el servicio de hosting del cual aún les quedan 6 meses y sus nombres de dominio "journalspace.com" y "journalspace.net". Los sufridos usuarios que tenían sus blogs alli, sencillamente se quedaran sin sus datos y como único consuelo la explicación breve del CEO en el blog de la compañía, culpando al encargado del departamento TIC, que era un chico malo que arruinó a la empresa. Meditelo un momento que tal si en lugar de ser los datos hubiera sido el dinero de una persona, acaso el dueño de un banco puede alegar, que debido a que el contador se llevó la plata los ahorristas se quedaron sin dinero. Creo que debería legislarce sobre esto y exigir un mínimo de seguridad en los datos que confiamos a empresas que solo vemos a través de nuestro navegador.

Publicado el por volkan68 1

El mayor temor de los negocios on-line se hace realidad

El procolo SSL usado por los certificados digitales en todos los websites de comercio electrónico y banca electrónica como una forma segura no sólo de encriptar la información que se intercambia entre dos partes sobre Internet, sino que además nos permite validar la autenticidad de un servidor web ha sido roto haciendo uso de un cluster de 200 PlayStation3, por un grupo de investigadores liderados por Alexander Sotirov y Jacob Appelbaum, la técnica puede ser leída en detalle en un documento publicado por Sotirov aquí. Aunque Verisign la propietaria de la marca RapidSSL, cuya seguridad fuera rota y expuesta como evidencia en el 25vo Congreso del Chaos Computer Club (25C3), asegura que el problema ha sido resuelto, sin embargo la invulnerabilidad de la técnica de autoridad central para garantizar la autenticidad de un website ha quedado en duda.

El ataque ha sido posible debido a un error conocido del algoritmo md5 llamado collision construction md5, aunque esta vulnerabilidad era conocida desde el 2004, sin embargo no había sido posible sino hasta el día de ayer 30 de diciembre, que alguien había podido implementarla exitosamente. Lo que si ha quedado claro es que se necesita un tremendo poder de cálculo para poder implementar la técnica del collison construction. Las consolas de juego PlayStation 3, vienen equipadas con los procesadores Cell de IBM, que pueden ser capaces de ejecutar hasta 25.6 GFLOPS en teoría.

Una de las mayores limitaciones impuestas a los países considerados hostiles a los USA, es que no pueden adquirir supercomputadoras, la pregunta es que impide a un país como Iran, Korea del Norte o Cuba a comprarle a Japón 1000 o 2000 PlayStation 3 (en teoría son juguetes) y usarlas para desarrollar supercomputadoras para investigación atómica o sencillamente el romper los códigos que se utilizan para mover importante información financiera o militar.

Las implicancias para la seguridad del comercio electrónico son claras, pero las que pueden derivar en una amenaza para la seguridad misma del estado son aún mayores, ya que mientras a un delincuente sólo le interesa el robo del dinero, un enemigo podría crear el caos atacando el sistema bancario o la bolsa de valores de un país. Es decir que la antigua película "Juegos de Guerra", vuelve a tomar actualidad gracias a la demostración práctica de que a pesar de los billones de dólares gastados para hacer las redes más seguras, cualquiera con un presupuesto modesto puede armar tremendo alboroto.

Aquí la foto, tomada del blog de Amrit Williams del equipo que puedo romper el encriptamiento md5 usado en el protocolo SSL (Alex Sotriov, Jacob Appelbaum, Mark Stevens, Arjen Lenstra, David Molnar, Dag Arne Osvik y Benne De Weger):

Alexander Sotirov y Jacob Appelbaum
Publicado el por volkan68 0

Un año de carcel por borrar la DB de correos

En ArsTechnica he leido una noticia anecdótica pero de la cual se pueden extraer valiosas lecciones. Esta es la historia de Steven Barnes, ingeniero y encargado de TIC de la compañía Akimbo Systems, Barnes fue despedido y según su testimonio varios miembros del staff de su ex-empleador, uno de los cuales portaba un bate de baseball, se presentaron en su casa para llevarse tanto su PC personal como la del trabajo, esto ocurrió en abril del 2003. No esta claro si los equipos fueron devueltos a Barnes, pero al parecer dicha acción enfureció bastante a Barnes y alentó sus deseos de venganza.

Cinco meses más tarde, el 30 de setiembre del 2003, según testimonio del propio Barnes que se ha declarado culpable de los cargos, decidió probar unos login/passwords que aún tenía en su poder, Barnes alega que sus ex-empleadores debieron haber cambiado los passwords, según su propio testimonio el descubrió que esto no había ocurrido y se percató que tampoco tenían un firewall, razón por la cuál decidió tomar venganza por lo ocurrido meses atras.

Dado que tenía el privilegio de administrador del sistema, convirtió al servidor de correo en un open relay (es decir un servidor que puede ser usado por cualquiera para enviar spam), luego borro la base de datos del Exchange con todos los contactos y los correos electrónicos de la compañía, finalmente para tratar de borrar sus huellas borro varios archivos para asegurarce de que el sistema jamas pueda arrancar luego de un reinicio. Al parecer no hizo bien esta última parte pues pudo ser rastreado e identificado como el autor del ataque.

En su defensa Barnes alega de que tenía problemas de alcoholismo y drogadicción en esa etapa de su vida y por ello actuó sin pensar en las consecuencias, al parecer ese alegato no convenció al juez que lo ha sentenciado a 1 año y 1 día de prisión efectivo, el pago de $54,000 como compensación por daños a su ex-empleador y a tres años de libertad bajo palabra, efectiva luego de su liberación de la carcel.

Bueno, algunas de las lecciones que podemos extraer de esta historia son las siguientes:

  1. Cualquiera, incluyendo alguien bajo los efectos del alcohol o las drogas puede manejar un servidor Windows.
  2. La seguridad impuestas por los system administrators de Windows es realmente muy relajada.
  3. El alojar servicios criticos para el negocio dentro de la propia red, como lo es el correo, no siempre es más seguro que alojarlo en la nuebe (cloud).

Bromas aparte, como dice muy claramente el conocido hacker Kevin Mitnick, la mayor vulnerabilidad de un sistema no está en la tecnología sino en el factor humano. Para que intentar buscar una vulnerabilidad en un sistema, cuando es más fácil llamar por teléfono a alguien en una compañía y preguntar por un password.

Otro conclusión importante que podemos extraer de este evento, es que si se es una pequeña o mediana compañía no puede pagar el costo de un sistema real que este 99.9% del tiempo en línea, con respaldo automático y un equipo de mantenimiento 24/7, la mejor opción es una solución SaaS como puede ser Google Apps.

Publicado el por volkan68 1

Richard Stallman dice que la Cloud Computing es una trampa

Richard StallmanHe leído un interesante comentario de Richard Stallman, en el diario británico Guardian, según Stallman la Cloud Computing, no sería más que un caballo de troya que permitiría a las grandes corporaciones obligar al uso de software propietario. Hay que recordar que la Cloud Computing, o la tan famosa "nube", ha alcanzado gran connotación en los blogs y foros, y tiene sus máximos exponentes en Google Docs, Gmail o Zoho. Sin embargo Stallman no esta sólo en su crítica a la Cloud Computing la semana pasada Larry Ellison, CEO de Oracle criticó severamente a la Cloud Computing y calificó a la industria TIC de ser la única industria más influenciada por la moda que la indurstria de la moda femenina en el marco de la conferencia Oracle OpenWorld.

En lo personal creo que tanto Stallman como Ellison están enfocando mal el asunto. Con respecto a Stallman, por ejemplo podemos decir que si nos pusieramos puristas no deberíamos ni siquiera usar computadoras, porque al poner nuestra información alli, estaríamos otorgandole al que fabricó la computadora, poder sobre nuestros datos. Y respecto a Ellison, si es cierto la industria TIC esta guidada por la moda, y no sólo por la moda, sino por el falso sentido de superioridad que se tiene al poseer el último juguete tecnológico, la gratificación de hacer aquello que jamas se ha hecho antes también juegan un rol en la industria TIC, ¿es eso malo?. Pues no, de ser malo la industria no hubiera avanzado tanto en los últimos 20 años, es sin duda la vanidad y la estar a la moda como una expresión de la misma, una de las más poderosas fuerzas del mercado. Además que Ellison no se venga a rasgar las vestiduras ahorita, porque su misma compañía Oracle, le debe todos sus millones a este comportamiento de moda dependiente de la industria TIC.

En lo personal creo que la nube es la evolución natural de las TIC, y las aplicaciones basadas en ella son el futuro. El tener una PC en casa es importante porque nos permite lidiar con las complejidades del mundo moderno, pero si comparamos las TIC con la industria eléctrica, tener un PC en casa es el equivalente a tener cada uno nuestro propio generador en casa, claro somos más independientes, pero los costos de operación y mentenimiento de dicha infraestructura son muy altos y no todo el mundo puede pagarlos. La nube es en pocas palabras como la red electrica, sobre la cuál miles de fabricantes podran distribuir sus aplicaciones. Acaso un fabricante de licuadoras critica a la compañía eléctrica, lo que debemos asegurarnos es que no exista un monopolio en la nube, es decir que no sea una compañía la dueña de la red, así como nos aseguramos de que no sea una sola compañía la dueña de la red telefónica, de la red eléctrica o de la red de TV por cable.

Publicado el por volkan68 0

Internet colapso en Sudamérica

El día de ayer (24 de setiembre), los siguientes países sudamericanos Argentina, Bolivia, Chile, Perú y Uruguay, sufrieron una interrupción en el servicio de Internet entre las 19:00 y 21:00 horas (hora de New York), según han aceptado voceros de la compañía Telefónica del Perú, en un reporte aparecido en el diario peruano La República, que recoge el forum MobileCloseUp.

Aunque el problema ha sido superado y ahora los internautas de dichos países gozan de completa contabildiad, por lo expresado en comunicados oficiales y recogido en los medios de comunicación, no hay una explicación clara de lo ocurrido, al parecer no se ha debido a una falla del cable que interconecta a estos países (el cable panamericano), sino a una falla lógica. Hasta donde se puede entender de una lectura entre líneas puede haber ocurrido algun intento de hacking en el grupo de routers que intercambian tráfico entre dichos países. Nunca Telefónica se ha caracterizado por una transparencia sobre sus asuntos técnicos, pero debido a lo amplio del problema (ha afectado a 5 países sudamericanos), esta vez debería de dar una explicación satisfactoria a sus clientes en todos esos países.

Ya me imagino que los Internautas sudamericanos habran estado como Enjuto Mojamuto en el episodio "Peor día de mi vida":

Publicado el por volkan68 0