Coincido con lo expresado por JMiur. Es innegable el apoyo que todos hemos brindado de una forma u otra a la causa, pero no creo que sea tiempo aún de levantar las banderas de la victoria.
Por un lado debemos insistir exigiendo a Google una respuesta de su parte ante este hecho, porque les guste o no, los afecta directamente.
Como vengo diciendo hace tiempo, Google tiene una mala política de seguridad, al delegar en una misma cuenta de correo todos sus servicios. En otras palabras, pierdo mi cuenta de correo por la causa que fuere, y pierdo todo.
Por lo que aquí entra en juego un punto que considero importante: educar. Y ésta es una tarea que les compete a aquellos que tengan una relación directa con la seguridad informática.
Porque no sólo basta informar de tal o cual fallo de seguridad o herramienta de protección, si no educamos a los usuarios para que adopten "la conducta correcta" de comportamiento en el uso de esta maravillosa herramienta de comunicación, Internet.
En estos días leí algunos consejos para minimizar las posibilidades de que nos ocurra un hecho desgraciado como el acontecido. Y si bien me parecen fantásticos, ¿son los correctos?
Se presume que el posible agujero de seguridad se encuentra en la herramienta de actualización (en mi opinión personal, mal llamada "ping") de los sitios blogalaxia y blogscolombia, puesto que al utilizarla, ésta envía información de la cuenta de los usuarios allí registrados.
Es posible. Pero aquí me gustaría analizar un poco este asunto, desde la óptica de un tipo que nada tiene que ver con la seguridad informática, pero que se le ocurrió utilizar un poco, el sentido común.
En primera instancia, convengamos que -y esta es sólo una especulación- puesto que se encontró como denominador común a todos los blogs crackeados, que éstos tenían cuentas en los sitios antes mencionados, el tema podía venir por allí y se aconsejaba no "pinguear" a dichos servicios.
(Al menos es la única información que pude leer y creo que realmente sería conveniente contar con más detalles).
Supongamos que esto sea así. Entonces me pregunto:
1) ¿Porqué sólo se vieron afectados los de la plataforma Blogger? (Al menos es la información que tengo.
2) Los bloggers afectados, al registrarse en los mencionados sitios ¿utilizaron sus cuentas de gmail con el mismo password que utilizan para ingresar en éste?
Porque a menos que las respuestas a las dos preguntas anteriores sean afirmativas, por más fallo de seguridad que tengan dichos sitios, me parece poco probable el que los atacantes hayan podido utilizar dichos datos -enviados a través del servicio de ping- para adueñarse de las cuentas de Gmail.
Lo que me lleva a pensar que, a no ser que a los bloggers afectados se les haya instalado algún keylog o hayan sido víctimas de algún programa sniffer, debemos pensar de que el problema recide en un fallo de seguridad de Google.
Como ya han mencionado, no es nada nuevo ni muy complicado adueñarse de una cuenta de gmail aprovechando algún exploits de éste, ya sea por phishing o a través de "la pregunta secreta".
De hecho ya ha habido casos anteriores, algunos de los cuales recientes, y que si bien fueron solucionados, no implica el que no haya nuevos agujeros de seguridad que puedan ser explotados por algún cracker.
Y ustedes se preguntarán, ¿qué tiene que ver todo esto con el asunto que nos concierne? Es que aquí es donde entra en juego el término "educar", que antes mencioné.
Regla de oro: la seguridad absoluta no existe. Por lo tanto debemos mantenermos informados para minimizar toda posibilidad que pueda ponernos en situaciones de riesgo. Y lo más importante, el tomar conciencia de que nadie estamos excentos de estos actos de niños imbéciles jugando a ser crakcers, por lo que la seguridad, no es sólo cuestión de un conjunto de herramientas o procedimientos, si no, de una conducta.
Por lo tanto mis humildes consejos son, como ya mencioné en otro post:
Por un lado debemos insistir exigiendo a Google una respuesta de su parte ante este hecho, porque les guste o no, los afecta directamente.
Como vengo diciendo hace tiempo, Google tiene una mala política de seguridad, al delegar en una misma cuenta de correo todos sus servicios. En otras palabras, pierdo mi cuenta de correo por la causa que fuere, y pierdo todo.
Por lo que aquí entra en juego un punto que considero importante: educar. Y ésta es una tarea que les compete a aquellos que tengan una relación directa con la seguridad informática.
Porque no sólo basta informar de tal o cual fallo de seguridad o herramienta de protección, si no educamos a los usuarios para que adopten "la conducta correcta" de comportamiento en el uso de esta maravillosa herramienta de comunicación, Internet.
En estos días leí algunos consejos para minimizar las posibilidades de que nos ocurra un hecho desgraciado como el acontecido. Y si bien me parecen fantásticos, ¿son los correctos?
Se presume que el posible agujero de seguridad se encuentra en la herramienta de actualización (en mi opinión personal, mal llamada "ping") de los sitios blogalaxia y blogscolombia, puesto que al utilizarla, ésta envía información de la cuenta de los usuarios allí registrados.
Es posible. Pero aquí me gustaría analizar un poco este asunto, desde la óptica de un tipo que nada tiene que ver con la seguridad informática, pero que se le ocurrió utilizar un poco, el sentido común.
En primera instancia, convengamos que -y esta es sólo una especulación- puesto que se encontró como denominador común a todos los blogs crackeados, que éstos tenían cuentas en los sitios antes mencionados, el tema podía venir por allí y se aconsejaba no "pinguear" a dichos servicios.
(Al menos es la única información que pude leer y creo que realmente sería conveniente contar con más detalles).
Supongamos que esto sea así. Entonces me pregunto:
1) ¿Porqué sólo se vieron afectados los de la plataforma Blogger? (Al menos es la información que tengo.
2) Los bloggers afectados, al registrarse en los mencionados sitios ¿utilizaron sus cuentas de gmail con el mismo password que utilizan para ingresar en éste?
Porque a menos que las respuestas a las dos preguntas anteriores sean afirmativas, por más fallo de seguridad que tengan dichos sitios, me parece poco probable el que los atacantes hayan podido utilizar dichos datos -enviados a través del servicio de ping- para adueñarse de las cuentas de Gmail.
Lo que me lleva a pensar que, a no ser que a los bloggers afectados se les haya instalado algún keylog o hayan sido víctimas de algún programa sniffer, debemos pensar de que el problema recide en un fallo de seguridad de Google.
Como ya han mencionado, no es nada nuevo ni muy complicado adueñarse de una cuenta de gmail aprovechando algún exploits de éste, ya sea por phishing o a través de "la pregunta secreta".
De hecho ya ha habido casos anteriores, algunos de los cuales recientes, y que si bien fueron solucionados, no implica el que no haya nuevos agujeros de seguridad que puedan ser explotados por algún cracker.
Y ustedes se preguntarán, ¿qué tiene que ver todo esto con el asunto que nos concierne? Es que aquí es donde entra en juego el término "educar", que antes mencioné.
Regla de oro: la seguridad absoluta no existe. Por lo tanto debemos mantenermos informados para minimizar toda posibilidad que pueda ponernos en situaciones de riesgo. Y lo más importante, el tomar conciencia de que nadie estamos excentos de estos actos de niños imbéciles jugando a ser crakcers, por lo que la seguridad, no es sólo cuestión de un conjunto de herramientas o procedimientos, si no, de una conducta.
Por lo tanto mis humildes consejos son, como ya mencioné en otro post:
a) Backupear nuestras plantillas periódicamente de acuerdo a la frecuencia de posteo.
b) Que nuestra cuenta de Gmail asociada a nuestro blog sea exclusivamente para éste, no enviándo información importante en la misma.
c) Si utilizamos nuestra cuenta de Gmail para registrarnos en algún sitio, no utilizar la misma pass que la de ésta.
d) No clickear en ningún link de algún mail recibido si no conocemos su procedencia, inclusive aún si conociéramos a quien nos lo envía, pero sospecháramos del contenido, comunicarnos con éste antes de tomar cualquier acción con dicho mail.
e) La misma regla anterior para cualquier contacto de nuestros mensajeros.
Se que ésto no aporta solución alguna a los ya afectados, por los que tendremos que seguir luchando con nuestra herramienta más fuerte, "la palabra", hasta lograr que, llámese Google, Blogger o quien corresponda, tome cartas en este asunto para encontrar una solución real; pero considero también importante el que tomemos conciencia de que en la seguridad, nuestra conducta tiene un papel preponderante y que depende de nosotros el hacerles más o menos fácil, el trabajo a estos delincuentes.
0 comentarios:
Publicar un comentario