La primera piedra

¿Soy el unico que ve esto? O es que el que està infectado soy yo...

En una anterior entrada, en mitad del codigo fuente del texto, "1996 era de 125.909; y el 1 de enero de 2004" un codigo noscript incrustado con un enlace de spam.

Supongo que tendria que haber insistido algo más en su momento.

IE no es un navegador web, es un peligro público.

Tienes razón, admin. He visto la noticia y aúnque creo, personalmente, que si bien Escolar tiene su porción de culpa no es menos cierto que ha sido victíma (una más) de los fallos del software que utilizamos cotídianamente. ¿No ha habido noticias de páginas de empresas antivirus que infectaban a sus usuarios con malware? ¿ y empresas de hardware que con sus dispositivos difundian algun que otro troyano o virus?. Buscar culpables es la solución más fácil y más comóda. Escolar lo tiene que estar pasándo mal y desde aquí le muestro mi apoyo. A veces se aprende más de los fallos que de los aciertos y también es verdad que no somos Dios sino simples humanos con ganas de aprender. Internet es como la vida misma, sujeta a peligros y a la mala leche de algún hijop... Esto nos enseña que hay que extremar las precauciones y no fiarnos y recordándo la frase de un sargento de policía en una antigua y famosa serie de TV : "Tened cuidado ahí fuera".

Saludos

Y eso de ser paranoicos ya no es suficiente.

---
http://www.perusec.org/
http://laballena.org/

Hoy en día, cualquiera puede ser víctima de un "hacking" de estos. Muchos se despreocupan, y ese es el gran error. No saben la de daño que se puede hacer desde fuera de una web.

Los comentarios, es decir, el permitir que una persona que no conoces altere el contenido de tu web, es una vía de ataques segura que debería estar perfectamente blindada.

Wordpress ha ido acumulando últimamente un bug detrás de otro, y parece que hay algo de desidia en este tema de la seguridad.

Drupal, por lo que llevamos visto, se toma este tema mucho más en serio, y aunque algunos días nos despertemos con avisos de bug, se solucionan rápidamente y no ocultan los fallos más de lo estrictamente necesario.

Yo usé PHPNuke, y fui víctima también de múltiples hackeos. Uno de ellos fue especialmente grave.

Lo más chocante de todo esto, es que hoy en día parece que no se puede tener una web online sin un equipo de expertos detrás. Parece que es fácil montar una web, pero igual de fácil les es a algunos destrozarlas.

Hola a todos,

Disculpad mi ignorancia pero no entiendo nada: Me parece muy bien (me parece fatal) que alguien haya irrumpido en el sitio web escolar.net, pero bueno, con volver a restaurar los backup y actualizar sistema, quien le dice que es un sitio atacante? El antivirus del cliente? El antispyware? Bien, pero de ahi a cambiar su web...

Creo que no he entendido la jugada.

Gracias

Coincido en que Escolar puede tener un mínimo de culpa por no actualizar su software a tiempo y permitir la infección de sus lectores, pero leche. Yo soy lector y me interesa navegar con seguridad, vaya por páginas conocidas o no. Si me la cuelan por IE la cuestión es que IE es vulnerable a ataques contra mi ordenador y la versión de WP que tenía Escolar era vulnerable contra el ataque que realizaron para colarle el script. Si visitaba la página infectada con, pongamos como ejemplo, Opera no me habría infectado. Vamos, que la seguridad tiene varios niveles en los que actuar y el último es nuestro propio ordenador. Sobre ese tenemos nosotros el control (normalmente)

Yo he leído el blog de Escolar alguna vez en los últimos días y no he tenido problemas de infección, ¿será que navego seguro y con un SO algo más robusto?

Como han dicho esto no quita que le pueda pasar a cualquiera.

Hoy en día, cualquier que use un CMS debe tener claro que en el momento que se publica una vulnerabilidad del producto ya puede "hacer cuentas" para planificar la actualización. Tan sólo hay que estar subscrito al RSS de Security Focus para que cada mañana se te ponga el pelo como "escarpias" de la vulnerabilidad aparecidas. Por ejemplo, los usuarios de Mambo/joomla tienen que estar muy contentos en las últimas semanas!!! Por supuesto, Drupal tampoco está libre "de pecado" pero parece que sus desarrolladores se esfuerzan en evitar vulnerabilidades en su código.

Y todos lo sabemos. "En casa de herrero......"

Actualicese, Sr. Escolar, actualicese ;-)

Y se fue al garete por que se fue la luz, y al volver, el pico de tensión fastidió la fuente de alimentación. Ahora estoy sin servidor web.

Siempre hay algo en lo que no piensas.

Los servicios que presta Admin por medio de Kriptópolis, no los pagamos, nadie nos obliga a visitar su web, lo hacemos porque nos beneficia en muchas formas y si bien Admin adquiere, porque así lo desea, una responsabilidad con sus visitantes, que en última instancia son la razón de ser, tampoco es el responsable absoluto de nuestra seguridad. Como usuarios, y máxime de un servicio gratuito, no podemos pretender que nuestra seguridad dependa exclusivamente de otros. La seguridad es para todos y por tanto es un asunto de todos.

La verdad es que mas allá de toda discusión filosófica de Software Libre, Microsoft IE o administración de sitios, todo pasa en definitiva por una cuestión moral.

La culpa de todo esto y de que las cosas se compliquen cada día mas para los usuarios es la proliferación de estos delicuentes que se dedican a explotar defectos para beneficio propio.

Eso es lo mismo que una persona llegue todos los dias a tu casa a probar si dejaste la puerta mal cerrada, hasta que un dia vos estas confiado y distraido con quien sabe que problema del mundo real y te olvidaste trabar la puerta. ¿Es etico que venga una persona, la encuentre abierta y te robe o destruya tu propiedad? El problema de algunos hackers es que su actitud no es buena, cuando encuentran un roblema en un sitio no avisan a su propietario del problema o a la autoridad competente para solucionar o minimizar las repercusiones.

Como dice el admin, nadie es omnisciente u omnipresente pero si otras personas ayudaran la cosa sería distinta...

Como dije, es una cuestión moral, de respeto y de ética que mucho tiene que ver con la educación tan pobre que se les esta dando a muchos de nuestros congéneres.

Se buscan culpables, y la mayoría de los tipos listos y duros que analizan el problema se olvidan de lo obvio: el culpable es el delincuente. Pues sí , señores, el menda que se preocupó de introducir código malicioso al Escolar es el culpable; sorpresa, ¿verdad?

¿Hablamos de legalidad o de seguridad? Por que yo ya me he perdido, si resulta que la culpa es del ciberdelicuente no hay problema, se denuncia a la policía que han entrado en tu web y ya está, que ellos se encarguen (como pasa cuando asaltan tu casa).

¿Qué la web no estaba debidamente asegurada? No conozco ninguna ley que me obligue a hacerlo, al igual que nadie me puede obligar a cerrar la puerta de mi casa o de mi coche, como si las dejo abiertas, eso es propiedad privada y solo el dueño o personas autorizadas pueden entrar (hablando legalmente, claro).

Evidentemente lo cómodo es echarle la culpa al que pringa con todo el asunto, por que está más a mano. Si se descubriese quién fue el invadió la web veríamos si iban a ver tanto revuelo con la seguridad de la web.