Tag: Hackers

Como asegurar WordPress

Con el paso del tiempo ha ido bajando el precio de los nombres de dominio y el servicio de hospedaje, por lo que es más común tener un blog, ya sea personal o de alguna temática. Pero al mismo tiempo que los precios de estos servicios han disminuido, también ha aumentado la cantidad de gente que desea hacer daño, por el simple hecho de hacerlo, y es por ello que es importante tomar en cuenta algunas medidas de seguridad en nuestros blogs.

Esta es una lista de 11 puntos de lo que se puede hacer para evitar sorpresas:

  • Encriptar el acceso
    Siempre que accedemos a WordPress la información va de una manera sin encriptar, eso quiere decir que cualquier persona puede obtener la información con algún programa para detectar esta comunicación. Existe un plug-in que se llama Chap Secure Login que ayuda para que la información viaje encriptada de manera segura.
  • Usar una contraseña fuerte
    No sirve de mucho enviar la información de acceso encriptada si la contraseña no es lo suficientemente fuerte. Ya he hablado en otras ocasiones sobre lo importante que es que la contraseña contenga una combinación de letras mayúsculas, minúsculas y números. Si se quiere agregar una mayor cantidad de seguridad se pueden poner también símbolos. Si no estas seguro de que tan fuerte es tu contraseña, a partir de la versión 2.5 de WordPress tiene incluido un verificador al momento de cambiar la contraseña.
  • Cambia el usuario de administrador
    Ya todos saben que el primer usuario, con privilegios de administrador (continua leyendo…)

Lulz Security ataca Sony Pictures

Soy un gran fan de los videojuegos desde hace 20 años aproximadamente y recuerdo bien que desde que se lanzó el PS3, Sony comenzó con una serie de declaraciones bastante ridículas (justificando el precio y que no vendían tanto porque tenían competencia), además que sus grandes lanzamientos no lograban mejorar las ventas de la consola (aún con juegos muy buenos), por lo que los seguidores más fieles de la marca tomaron una frase para su lucha: “El 200X/20XX es el año de Sony”

Y por fin le atinaron, 2011 es el año de Sony, el año en que han demostrado al mundo las deficiencias de seguridad que tienen como compañía en la mayoría de sus divisiones, y es que en abril fueron robadas 77 millones de cuentas de la PlayStation Network, en mayo Sony Online Entertainment perdió 24 millones de cuentas, luego a pocos días del restablecimiento de la PSN se descubrió otra falla de seguridad, también Sony Music de Japón fue víctima de los hackers y el día de hoy tenemos la noticia que Sony Pictures también ha sido objeto de ataques con la pérdida de 1 millón de cuentas y 3.5 millones de cupones para música.

Es en estos momentos y antes de continuar que ya no sé que es más correcto:

¿Los hackers lo hacen de nuevo?

¿Sony lo hace de nuevo?

Los hackers están cometiendo un delito, para mí no queda duda de eso, ya que están robando información de usuarios que nada tienen que ver con las decisiones que toma Sony, incluso no es una forma de protesta valida (en ese caso si tienen problemas con Sony basta que dejen de comprar sus productos), ni tampoco es un juego como dice Lulz Security que su ataque de hoy no fue sofisticado y que sólo lo hacen para avergonzar más a Sony (los directivos de la empresa pueden solos con eso).

Después del ataque de hoy Lulz Security ha dicho lo siguiente:

Nuestro objetivo aquí no es aparecer como hackers maestros, por eso vamos a revelar lo siguiente: SonyPictures.com fue violada con una muy simple inyección de SQL, una de las vulnerabilidades más primitivas y comunes, como todos deberían saber. Con una sola inyección, accedimos a TODO. ¿Por qué ponen tanta fe en una compañía que se deja abierta a estos ataques tan simples? Lo que es peor, es que cada bit de datos que tomamos no estaba encriptado.

¿Cómo es posible que después de todos los ataques que han tenido tengan 1 millón de passwords en texto simple y que los obtuvieran sólo con un SQL injection? Por cierto, lo que robaron ya puede ser encontrado en torrents.

Es importante mencionar (y siendo justos con Sony) que no todos los ataques tienen la misma magnitud, ni por número de usuarios ni por la información que fue comprometida, en mi opinión el mayor es el de la PSN ya que muchas de las cuentas involucradas tenían entre otros datos, los números de tarjetas de crédito de los usuarios (lo que tampoco le quita relevancia a los otros ataques).

Lo que también es increíble es que una compañía del tamaño de Sony sea tan vulnerable a este tipo de ataques y peor aún que sea en varias de sus divisiones, me pregunto si tienen algún DRP o BCP para estos casos, y si es que cuentan con algún estándar de seguridad como ISO 27000PCI y sobre todo, ¿cómo fue que los consiguieron?

Hace unos años una famosa cantante tenía muchos problemas con drogas y alcohol por lo que una página web lanzo un reto, el que adivinara la fecha y hora de la muerte de ella se ganaba un PlayStation 3, muchos participaron en el reto pero nadie ganó porque ella sigue vida. Hoy no me extrañaría que alguna web lance un reto para pronosticar el siguiente ataque a Sony, o peor aún, que se lance un concurso para ver quien ataca a Sony primero (y que el premio sea un PS3).

No se ve cuando va a terminar esto, pero por los antecedentes no creo que pronto, sólo espero que Sony empiece a ocuparse por su seguridad, porque aunque parezca que el fuego ya termino con todo, aún hay muchas divisiones de Sony en peligro.

 


Derecho Informático - IT Lawyers. Siempre solicite la autorización del autor para reproducir los contenidos de este blog.
iDream theme by Templates Next | Powered by WordPress