Ataques Web

En realidad todo forma parte de un ejercicio planificado, dirigido a entrenar a los futuros responsables de proteger las redes informáticas militares de los Estados Unidos. Para ello, la NSA se encargó de lanzar ataques coordinados contra redes específicamente diseñadas para este ejercicio emplazadas en siete academias militares, entre ellas West Point.

Wired narra las incidencias del ataque sobre West Point casi como si se tratara de un partido de fútbol. Al parecer los 34 cadetes del equipo habían preparado minuciosamente durante tres semanas una red basada en Linux y FreeBSD. Según se cuenta, la NSA fue incrementando progresivamente la peligrosidad de sus ataques, desde inyecciones de SQL en el servidor Apache de un Fedora 8, hasta el intento de instalar un rootkit que "llamara a casa".

El final oficial del "partido" es que los cadetes resistieron, pero la NSA advierte que no quiso forzar demasiado las cosas, y que desde luego dispone de recursos mucho más eficientes para colarse en cualquier red.

¿Alguien lo duda...?

Entre la enorme lista de víctimas se encuentran esta vez los sitios de organismos oficiales (Naciones Unidas, UNICEF, Department of Homeland Security, Servicio Civil del Reino Unido...), revistas (Redmond Magazine, Pocket PC Magazine...), empresas (Aeroflot...), etc, etc.

El mecanismo es el habitual. Se explota de forma masiva una vulnerabilidad peculiaridad de Microsoft IIS y Microsoft SQL Server para insertar javascript en los servidores afectados, que se sirve a los navegadores de sus visitantes de modo que éstos resultan redirigidos a otros sitios maliciosos, donde se ensayan diferentes exploits para varias vulnerabilidades conocidas, buscando instalar malware en sus máquinas.

Y también, como es habitual, están a salvo los usuarios de Firefox con NoScript...

Andan hoy algunos revueltos por la caída en combate de un líder blogsférico, y no falta quien esgrime ya, presta, la piedra en la mano. Por mi parte (y sin que nadie me lo pida, como debe ser) me pongo incondicionalmente de lado de Escolar, a quien en modo alguno puede considerarse "culpable" de lo ocurrido, sino -por el contrario- tan víctima como los usuarios de su web.

Hoy es Wordpress, pero mañana puede ser Drupal. Hoy es Escolar (como hace unas semanas fue Menéame), pero mañana puede ser Kriptópolis... o cualquier otro. Por desgracia la mayoría de nosotros, simples aficionados voluntariosos, ni somos omniscientes ni podemos considerar todas las variables que componen hoy en día los vectores de ataque, desde los sistemas de publicación a los servidores que los alojan, y desde los navegadores de los usuarios a los fanáticos del Google Hacking.

Hace algún tiempo vengo advirtiendo de que la Web se ha convertido en territorio minado. Si hace unos años había que saber y "currárselo" para infiltrar malware en un sitio web, hoy cualquier robaperas te amarga el día y de paso intenta hundirte la reputación.

Eso no significa que tiremos la toalla, sino que somos realistas. Y desde que nos levantamos cada mañana, también posibles víctimas. Todos.

Al parecer Scotland Yard no dio demasiada importancia al sabotaje del sitio web que mostraba a Brobee (el muñeco protagonista de un programa infantil de la televisión británica) hace un mes. Sin embargo, la "broma" puede haber tenido sus consecuencias, por cuanto una auditoría ha revelado el posible compromiso de dos bases de datos conteniendo solicitudes de empleo y los datos personales de cientos de agentes.

"Esta información podría ser muy útil para los suplantadores de identidad, y no tiene precio para los delincuentes", ha afirmado al Daily Mirror una fuente...

Creo que cualquier persona con interés en Internet debería leer el relato completo de las aventuras de Ricardo Galli siguiendo todos los links. Estamos ante la mejor novela policíaca de todos los tiempos, con el añadido de que todo es verdad. No es que la realidad supere a la ficción; es que en este caso la realidad descalifica a cualquier escritor, porque nadie podría haber imaginado nada que le llegue a la suela del zapato a la odisea de Ricardo.

Vista como obra de arte, se trata de un performance aterradora con el clásico argumento de la persona normal que se ve envuelta en un lío en el que cuantos más hilos estira, más se enreda el ovillo. La aventura (o desventura) está narrada en el lenguaje convulso y roto de Internet. Muchos personajes no se sabe ni quiénes son y muchas escenas acontecen en el ciberespacio forero, con su mezcla de abstracción y realidad más brutal. Ciertamente nadie podrá volver a vivirlo de la forma en que lo ha vivido Ricardo Galli, pero lo ha narrado sobre la marcha dejando un testimonio inapreciable de lo que es la vida en la Red a principios del siglo XXI...