Un fallo en Word permitió intrusión en los ordenadores del Departamento de Estado

Enviado por admin el 19. Abril 2007 - 11:02.

Hoy se ha sabido que los ordenadores del Departamento de Estado de los Estados Unidos sufrieron una brecha de seguridad el pasado verano. Los atacantes utilizaron una vulnerabilidad aún no publicada en Microsoft Word, que explotaron mediante un correo de apariencia legítima remitido a un funcionario del departamento.

Cuando el Departamento de Estado supo de la intrusión (que estableció una vía de comunicación oculta desde la red del departamento hacia los intrusos), se movilizó al Departamento de Seguridad Interior y al FBI para urgir a Microsoft la elaboración de un parche, que sin embargo tardó dos meses en estar disponible...

Aunque el Departamento de Estado dice que detectó la intrusión de inmediato, intentó mantenerla en secreto mientras trataba de localizar a los atacantes, pero la prensa se enteró de la situación y rompió el velo de silencio.

Más información:
State Department's Got Mail, and Hackers [The Guardian].

Relacionada:
Mentiras arriesgadas (y gobiernos que se dejan seducir por ellas) [Kriptópolis].

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Me lo imagino...

Enviado por anónimo el 19. Abril 2007 - 21:10.

Me lo imagino...

Salta el Clipo y dice: "Observo que está usted intentando crakear el servidor... ¿Necesita ayuda...?"

Microsoft tenía que ser...

Enviado por anónimo el 19. Abril 2007 - 22:07.

Para variar, ¿de quién era el programa?

Después tardan siglos en corregir los fallos y pasa lo que pasa.

¿No se les puede demandar en un caso así?

Eso para por usar word desactualizado.

Enviado por anónimo el 19. Abril 2007 - 23:17.

Tengo la ligera impresión que si hubieran usado office con todas las actualizaciones, o cualquier open office no caerían tan fácil...

Un saludo.

Pues no sé

Enviado por anónimo el 20. Abril 2007 - 8:19.

ten en cuenta que se usó una vulnerabilidad no publicada y que no existía parche.

Varias aclaraciones

Enviado por anónimo el 21. Abril 2007 - 15:24.

En relación al colega que pregunta sobre si se les puede demandar:

Claro que sí que se les puede demandar. Cualquiera puede demandar a cualquiera por cualquier cosa. El problema es que en el momento que haces clic en "Aceptar" cuando instalas el programa y te aparece el texto del contrato de usuario final aceptas sus cláusulas. Si lees bien verás que en algún sitio pone algo así como que

"MS no acepta ninguna responsabilidad por el uso que se le pueda dar a tal programa ni acepta responsabilidades por pérdida de datos o cualesquiera pérdiadas económicas etc. etc. etc. Tampoco garantiza que tal programa esté libre de errores o su adecuación para cualquier propósito etc etc etc."

En otras palabras: si no te sirve o se te cuelga o te provoca pérdidas de datos o filtraciones de datos, o si tienes una base de datos con las referencias de tus proveedores y clientes y se te daña o borra y como consecuencia de ello tienes cualqueir pérdida económica o de tiempo ACEPTAS que es TU problema y eximes de culaquier responabilidad a MS.

Para poder exigir una compensación un juez debería dictaminar que tales cláusulas son abusivas e ilegales. En tal caso la decisión judicial seguramente sería apelada por la defensa de la empresa creadora del software y en definitiva te verías envuelto en un largo y costoso proceso.

Por otra parte está claro que algunos lectores no leen bien ni las cláusulas de los contratos ni los textos de esta web. Según la noticia MS tardó DOS MESES en sacar el parche. Así en este caso poco sirve tener el programa "actualizado".

El otro aspecto rocambolesco del asunto es que esto le pase al Departamento de Estado de EUA.

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...