Y si nos roban la cuenta de Google

He leido ya en varios blogs ingleses sobre el hacking que se está efectuando en cuentas de Google, y la verdad es alarmante pensar que puede pasar a algunos que usamos bastante dichas cuentas, lo que me hace pensar lo "agarrado" que nos tiene Google y la cantidad de información que existe que depende de una sola clave.

Veamos un poco por encima que podría obtener un hacker si consigue la clave de una "cuenta media" de un usuario que usa sus servicios:

• Si tienes un blog con Blogspot podrían borrar, alterar o incluir información falsa de tí, de tu canal, que al final y al cabo es tu ventana de comunicación con el mundo
• Sabrían todas tus citas con tu Calendario de eventos
• Verían los documentos que tienes privados en Docs, y conozco a mucha gente que tiene verdaderas joyas de su economía metidas ahí dentro.
• Por supuesto, la propia cuenta de correo en Gmail, podría dar acceso a muchísimos sitios donde te has registrado con esta cuenta, desde registro de dominios, hasta tiendas donde se guarda tu tarjeta de crédito para futuras compras "cómodas".
• Y si la cosa es fastidiar, imagínate que empiezan a subir contenidos ilegales (abuso infantil, …) a Youtube con tu cuenta. Lo que si tendrías probablemente es mucho tiempo que perder explicando que no has sido

Esto es sólo un ejemplo sencillo para demostrar que no hay que poner todos los huevos en la misma cesta y que existen muchísimos sitios en Internet que ofrecen los mismos servicios y es mejor diversificar aunque uno "te lo de todo hecho y junto".

Por cierto, no es menos importante saber cambiar la contraseña de cada sitio para que no todos tengan la misma. Existen muchas formas de crear claves automáticamente y acordarte siempre de ellas.

El que avisa no es traidor…

google, servicios, claves, hacker, hacking
Relacionadas , Google sufre phising, ¿Tanto servicio es útil, productivo y provechoso?, Información confidencial en la basura, Pitorreo

Posible ataque masivo a Internet: phpBB de nuevo

Leo en un foro algo que me preocupa bastante. Y me preocupa por un tema que me gustaría debatir. Como muchos sabeís existe una clase de foros en Internet, en las páginas, llamado phpBB, es un programa fácil de instalar y personalizar que usan muchos webmasters para poner rápidamente un foro.

El problema de este programa es que debería prohibirse definitivamente. Me parece que es el programa con más fallos de seguridad y con más formas de "hackear" que se ha visto en toda la historia de Internet. Yo, si fuera uno de los programadores, abandonaría y tiraría la toalla, pues se ha demostrado que ya no es viable tener estos programas funcionando.

El problema no viene en que tenga agujeros de seguridad, el problema está en que las personas que lo instalan (el 99%, webmasters que no tienen mucha idea y que además no se preocupan por ir actualizándolo con los parches adecuados), están en servidores de alojamientos compartidos (o virtuales) que comprometen la seguridad de su alojamiento y de todos los que están allí, que no hablar del dolor de cabeza que darán a los pobres administradores de sistemas de las empresas que dan estos alojamientos.

Recientemente, como leía en el foro, un nick llamado FuntKlakow-bot se ha dado de alta en los últimos días en miles de foros de phpBB. ¿Para que?. Bueno, lo más normal es que se prepare para el siguiente fallo publicado de phpBB.

Además lo ha preparado para poder enviar a los foros lo que sea necesario, tal y como vemos en estos dos ejemplos. Y ahí sigue, en esos dos foros y en miles más, esperando, calladito y sin decir nada.

Posiblemente entonces, cuando aparezca el siguiente fallo (que estadística y desgraciadamente no tardará más de 1 mes en aparecer) el creador de este BOT posiblemente con un sólo click pueda infectar todos los foros phpBB que no estén actualizados en esas siguientes 24 horas a la aparición del fallo.

Como decía, muchas veces, los fallos comprometen el servidor, de forma que podría haber un ataque a gran escala por miles de servidores con los cientos de alojamientos que hay por servidor… no es para tomarselo a broma, la verdad.

Para el phpBB tendría que haber un módulo instalado de base que baneara ciertos BOTS que se cogiesen de una lista pública y consensuada en los servidores de phpbb.com. La verdad, que los administradores y programadores de éste (lo siento) desastroso programa de foros, tendrían que tomarse más en serio la infinitamente lista de vulnerabilidades que sufren.

Por cierto, para el que quiera un foro de verdad seguro y con más funcionalidades que el phpBB, tiene una larga lista en esta página de HotScripts, del cual recomiendo el SMF.

phpbb, foros, ataque, internet, hacker
Relacionadas , Ataque masivo a 120.000 clientes y sus datos personales en un ISP, Youtube no va, No es ataque terrorista, pero no es casual tampoco, Cuil, (otro posible) competidor de Google