12 de Junio de 2007
Sobre el asalto a Arsys
No puedo resistirme a poner unas líneas sobre el asalto a Arsys y sucesos posteriores, como la nota de prensa del ISP o el artículo de seguimiento de hoy de "El País".
La primera pregunta que me hice cuando leí la noticia fue: ¿Por qué la han filtrado? ¿Por qué la Guardia Civil filtra una noticia cuando aún no han cogido al "malo", están en plena investigación y no pueden ponerse la medalla? ¿Qué sentido tiene? ¿Qué intención oculta? ¿Quizás querían filtrar algún dato en concreto que hiciese dar un paso en falso a los malos?
Carlos Sánchez Almeida escribe hoy un artículo, La Revelación de San Bernabé, donde se pregunta también el por qué de la filtración, que considera "inoportuna", teniendo en cuenta que se está cocinando una ley precisamente sobre datos personales y su almacenamiento en los ISP. La ley, explica Almeida, obligará a que "todos los datos de tráfico de las comunicaciones electrónicas deberán registrarse y custodiarse durante un plazo de un año, al objeto de que puedan utilizarse por Juzgados y Tribunales para la persecución de delitos"
Si no me equivoco, esto cuadra con la última charla que le oí a Juan Salom, jefe de los ciberguardiaciviles. Salom casi suplicaba esta ley porque, explicó, no hay forma de trabajar con la que tenemos ahora: los ISP están obligados a guardar los datos de tráfico un máximo de x meses, pero no un mínimo. Por tanto, hay ISP que guardan los datos sólo un par de semanas y, cuando les vas a investigar qué hizo un usuario tal día, ya no hay nada.
Visto el contexto, me pregunto: ¿Filtrar esta noticia es una forma de mostrar que hay mucho crimen por combatir y esta ley es necesaria para pillar a los delincuentes?
Pero, si lo que decía la noticia de "El País" es cierto: "Algunos indicios apuntan a que han actuado a través de servidores ubicados en Rusia y EE UU. Ello dificulta el localizarles, porque utilizan servidores anónimos". No entiendo de qué serviría poder acceder a datos de tráfico de ISPs españoles para pillar a gente que ha actuado desde Rusia y proxies anónimos...
La segunda parte del texto de Almeida habla de la enmienda 72, que ha sido rechazada. Esta enmienda a la próxima ley "establecía que dichos datos de tráfico deberían cifrarse y la clave de cifrado debería ser custodiada por el Centro Criptológico Nacional".
Los datos robados en Arsys no eran de tráfico, pero eran datos. Y lo ocurrido es ciertamente un toque de atención hacia el peligro de que las empresas en la red guarden datos personales sin cifrarlos. Creo que la Ley de Protección de Datos tiene algo que decir sobre esto. Pero también el sentido común: ¿cómo es posible que las contraseñas de los usuarios se guarden en claro? Sinceramente, no me lo creo. No me creo que, a estas alturas y con tantos clientes, un ISP cometa un error de parvulario...
Tampoco entiendo a los intrusos, que fue la segunda pregunta que me hice: ¿Por qué han hecho el indio? Nunca he robado una base de datos pero, por lo que he oído, es relativamente fácil. Entras, la descargas y te largas. Nadie tiene por qué enterarse. Entonces, ¿por qué montar el pollo de manipular webs de clientes y que se entere todo dios?
¿Eran simples ladronzuelos? Decía la noticia de "El Pais": "Dada la sofisticación de medios empleada por los piratas, los investigadores están teniendo problemas". Habría que ver qué entienden las fuentes del periodista por "sofisticación" pero, si eres sofisticado, ¿montas tal cristo?. A no ser que quieras montarlo. A no ser que, quizás, el objetivo sea que se sepa. Y si no es por hacktivismo pro enmienda 72, que me huelo que no, ¿será por mandar a la porra la reputación de la empresa?
Paranoica estoy hoy :) Posiblemente eran unos script-kiddies que ni sabían donde estaban ;)
Precisamente el otro día hablaba en el blog de leyes y netiqueta y buscaba ejemplos de ciberdelitos comunes. Aquí tenemos uno que no ha seguido la ética del hacking. ¿Qué hacemos con esto? Pues que se apliquen las leyes. Pero para todos.
Una de las cosas que más me ha llamado la atención del caso Arsys es que, al conocerse la noticia, todo el mundo andaba preguntando el nombre del ISP víctima del asalto. Ya que hablamos de leyes, algunos estados norteamericanos tienen una muy interesante. No sirve para cazar al delincuente, pero sí para que los ciudadanos estén más informados, lo que significa tranquilos o con los datos suficientes para pasar a la acción, sea la que sea. Esta ley obliga a las empresas a informar públicamente de robos y pérdidas de datos de usuarios/clientes. Si tuviésemos esta ley aquí, se habrían evitado muchos sustos, incertidumbre y miedo.
Mercè a las 01:26 PM | Referencias 0No te quepa duda, compañera del frente conspiranoico. Las noticias sobre malignas actividades en Internet corren parejas con los intentos de este nuestro gobierno por protegernos a base de decreto. Y cuando quieran prohibir, qué se yo, las redes wifi abiertas, seguro que encontrarán a un cuñado de un simpatizante de Al Qaeda que una vez usó wifi para leer en aljazeera.com.
Por cierto, te dejo aquí mi propia visión del asunto: http://www.filmica.com/arturo_quirantes/archivos/006038.html
Salu2. Arturo Q.
Arturo Quirantes | 12 de Junio de 2007 - 08:59 PM"[...] Aquí tenemos uno que no ha seguido la ética del hacking." Claro, ¿serán crakers?
Lectura recomendable 100%:
"L'ètica del hacker i l'esperit de l'era de la informació". Con prólogo de Linus Torvalds, epílogo de Manuel Castells y escrito por Pekka Himanen. ISBN 84-7306-839-4
Un abrazo...
El Calvo vengador | 12 de Junio de 2007 - 09:41 PMMu güeno el post, arturo, ya te lo he dicho pero lo repito :D
Mercè | 13 de Junio de 2007 - 10:47 AMCalvo... estoy llegando a la conclusión de que la gente que se pasa no merece ni nombre.
Mercè | 13 de Junio de 2007 - 10:54 AMMercè, pues yo te apoyo en tus conspiranoias. Algún día los paranoicis dejaremos de ser paranoicos, y será un día triste porque nos estarán dando la razón.
Esto huele a chapuza, a litros de sangre en la moqueta, como en CSI...
Es como estos retos públicos en que dicen «ponemos una computadora para que resista 24h sin ser "hackeada"». La gente capaz de hacerlo no lo hará porque no es un reto y si lo hicieran y robaran información no lo notaría nadie (porque de eso se trata) de forma que sólo lo intenta gente que no sabe o que acaban siendo pillados... Y el fabricante se cuelga su medalla «qué pc más seguro». Esto es igual... a los ladrones de datos no los pillan tan fácil. Y la retención de datos es un ataque a mis derechos.
Por cierto, tengo entendido que la LOPD ya prevé que en caso de robo de datos la empresa avise a las personas cuyos datos están en peligro de toda incidencia... Parece que Arsys envió hace un par de meses un correo con milongas que ahora quiere hacer pasar por tal aviso...
Versvs | 13 de Junio de 2007 - 01:57 PMMe resulta curioso que, dado que hoy dia 13 acaba el plazo de presentación de ofertas para el Programa N.E.W. (Ninguna Empresa sin Web) de RED.es, y que hay una sección de proveedores de hosting a nivel nacional, el daño que le hace a Arsys esta polémica sustracción es mas que inoportuna. Tanto que al salir de presentar nuestra oferta para una comunidad autónoma, he llegado a pensar hasta que punto es realmente casual tanto la filtración como el 'ataque'. ¿Conspiranoia? Pues si, lo siento pero así es. Demasiada coincidencia en el tiempo y una filtración demasiado 'sutil'. "Se han filtrado datos pero no decimos de quien...". Venga, a mi me parece bastante plausible.
Stash | 13 de Junio de 2007 - 02:30 PMEl objetivo de los "ladronzuelos" era contaminar las páginas con código malicioso, que se aprovecharía de las vulnerabilidades de los navegadores de los visitantes de dichas páginas para instalar mal-ware, y convertirlos así en ordenadores zombie para enviar spam o realizar ataques DDoS.
Saludetes Mercè! ;)
Merodeador | 13 de Junio de 2007 - 03:16 PMSi es por mi, tranquila, no volverá a suceder. Mil disculpas...a partir de hoy solo leeré tus post.
El Calvo vengador | 13 de Junio de 2007 - 07:19 PMMercè, no te sorprenda que se conserven contraseñas en claro en las bases de datos. No es nada extraño, incluso hoy en día. Existe todavía la percepción de "qué más da cifrarlas... si aquí (la base de datos) nucna saldrá de esta máquina".
Como decía Jaume Balmes, el sentido común es el menos común de los sentidos.
xavier caballe | 14 de Junio de 2007 - 02:30 PMNosotros también nos hemos presentado al Programa N.E.W. (a nivel regional), y sí, también pensamos en que la zancadilla a Arsys venía por ahí.
Por cierto... ¿sabéis cuando se nos dice algo sobre el resultado de la preselección del N.E.W.?
Sin2 | 18 de Junio de 2007 - 12:49 PMYo fui uno de esos clientes a los que arsys.es informó de que en una web nos habían colado un virus. Les pregunté cómo había podido pasar, y su respuesta fue que "adivinaron" la contraseña del FTP (era una contraseña de gran fortaleza). En fin... como esto ha sido la gota que ha colmado el vaso, queda poco para que dejen de ser mi proveedor.
Afectado | 20 de Junio de 2007 - 11:40 PMMentira todo pura mentira:
Arsy es un completo robo, son unos bandidos, yo les contraté un hosting y me han desocupado la cuenta corriente, me pretenden cobrar 2000 mil Euros por subir unos archivos al FTP, eso es lo que son esos tales de Arsys, unos ladrones de mucho cuidado
Andres | 19 de Agosto de 2007 - 07:09 PM
