domingo, agosto 16, 2009

Dos años no son nada

Si miro hacia atrás dos años en mi vida, me veo en una situación totalmente distinta, y más o menos lo mismo. Hace dos años estaba pensando en embarcarme en el master de postgrado tras la finalización de mis estudios de Ingeniería en Informática, pensando en el reto hacking IV sobre Blind LDAP Injection y en si echar o no mi primer paper para BlackHat.

También hace dos años el mundo de la seguridad seguía dando noticias de fallos de seguridad y, como se contaba en Errata Security, hackeaban la web de la ONU [UN] con un SQL Injection. Supongo que una entre tantas que pasan todos los días con las mismas vulnerabilidades.

La gracia de este sitio es que, dos años después, sigue siendo vulnerable también, porque... ¿no les ha dado tiempo? ¿será la burocracia en una organización tan grande?

Es sorprendente el número de sitios que siguen siendo vulnerables años después... y se la bufa...o tal vez siguen ahí sólo para que la gente pueda practicar años después, los SQL Injection Level 1, los Blind SQL Injection, los arithmetic, los Serialized.... o lo que le plazca.

En fin, que... ¿cuántas veces han pasado de ti cuando les has avisado de un fallo de seguridad?

Saludos Malignos!

PD: Gracias Pedro por el link

6 comentarios:

  1. Es más fácil contar las veces que te hacen caso.

    Por otra parte, a mí, el problema que se me plantea en estas situaciones es el de comunicación, la mayoría de webs tienen activo el típico mail de webmaster@XXXX.XXX pero ese mail no lo mira nadie y si lo envías a "atención al cliente" no saben de qué estás hablando.

    Es demasiado esfuerzo para hacerle un favor a alguien que lo más probable es que ni te lo agradezca.

    Bueno, yo ya estoy en fase de "vuelta al cole", cole nuevo, eso sí, a ver cuándo te escapas por Barna otra vez y nos cuentas las andanzas de Las Vegas...

    ResponderEliminar
  2. Dos años pueden ser tambien mucho...

    Yo hace tiempo que deje de avisar, al menos para las cosas "pequeñas".

    ResponderEliminar
  3. @Pedro
    ¿Has avisado del fallo "11.288.698"? :-)

    ResponderEliminar
  4. @Anonimo

    Ya esta en buenas manos ;-)

    ResponderEliminar
  5. Pues toma, dos tazas:

    Entre 2006 y 2008
    Un 'cracker' de 28 años, acusado de robar datos de 130 millones de tarjetas de crédito

    http://www.elmundo.es/elmundo/2009/08/17/navegante/1250535175.html


    Primero, los criminales fueron a establecimientos para identificar el tipo de máquinas de pago que utilizaban. "A partir de octubre de 2006, Gonzales y sus conspiradores investigaron los sistemas de tarjetas de crédito y débito empleados por sus víctimas; idearon un sofisticado ataque [un 'SQL Injection'] para penetrar en sus redes y robar los datos de tarjetas de crédito y débito; y después enviaron esos datos a servidores que operaban en California, Illinois, Letonia, Holanda y Ucrania", indica el Departamento de Justicia en una nota.

    ResponderEliminar
  6. Aunque les avises normalmente se lo pasan por los cojones. Es triste pero es así.

    Yo avise de un par de cosas pequeñas. Pero ni te envían email, ni lo arreglan, ni nada de nada.

    ResponderEliminar