Llevamos una temporadita fina y elegante en cuanto a hacking e incidentes varios de seguridad informática. Como sé que me perderé si no lo escribo, aquí va esta entrada como una especie de lista de sucesos interesantes a recordar. Sin otro orden más que lo que voy encontrando:
- El hacking al sitio web de la empresa HBGary (realmente, dos empresas) por el grupo Anonymous. Podemos ver una carta abierta de HBGary hablando un poco del tema.
- El de la empresa RSA, por el que pudo llegar a obtenerse información sobre su producto de autenticación SecurID. Aquí hay una carta abierta de RSA sobre el tema. La forma de perpetrar el ataque fue un phishing a uno de los empleados de la compañía, que recibió un correo con un fichero excel malicioso adjunto, que explotaba una vulnerabilidad en Adobe Flash. Se explica de forma extendida aquí y aquí.
- El de Comodo. El compromiso de una autoridad de registro permitió la generación de certificados digitales falsos de unos cuantos sitios importantes. A destacar, el mecanismo elegido para mitigar el riesgo: en algunos casos se emite una actualización vía OCSP, pero en otros se emite una actualización de software directamente, como es el caso de Microsoft. SecurityByDefault cuenta el incidente muy bien, y nos enseña, además, que si el navegador no puede comprobar si el certificado está revocado o no, no da ninguna alerta al usuario. ElLadoDelMal nos enseña que se conoce la técnica para hacer un man-in-the-middle que evite esta comprobación OCSP.
- El de Mysql, cuyo sitio web fue vulnerado... con una inyección SQL. Mediante el mismo método, además de Mysql.com, les han dado caña a muchos otros últimamente, incluyendo a Comodo y HBGary, como nos explican en el blog de WhitehatSecurity.
- El de PHP.net. El compromiso de uno de sus servidores pudo haber permitido al atacante obtener credenciales para acceder al repositorio del propio código fuente, aunque parece que no ha tenido consecuencias graves.
- El de los foros de Telecinco, se puede ver el defacement hecho aquí.
- La no-presencia de keyloggers en los portátiles de Samsung. Primero se dijo que había, luego se descubrió que era un falso positivo.
- La fuga de direcciones de correo de la empresa de marketing online Epsilon. Se teme que podría dar pie a toda una oleada de ataques de phising contra las entidades que trabajen con esta empresa y cuyas direcciones hayan sido reveladas.
Actualización 12/04/2011: ayer le tocó a Barracuda.
Actualización 27/05/2011: y durante el último mes, muy duramente a Sony.
Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS, seguirlo en Twitter, o