Estas aquiContenido / Servicios británicos de Inteligencia utilizan buscadores vulnerables
Servicios británicos de Inteligencia utilizan buscadores vulnerables
A pesar de lo poco que cuesta disponer de un buscador propio, más de 200.000 sitios parecen haber optado por adquirir Google Search Appliance, cuyo precio parte de 30.000 euros.
Una opción muy respetable, pero que puede haberse revelado peligrosa, al menos según el "hacker" ucraniano apodado MustLive, quien afirma haber descubierto una vulnerabilidad XSS en el producto de Google que deja a sus usuarios indefensos ante las consecuencias habituales de este tipo de ataques: robo de cookies, secuestro de sesiones y -en general- cualquier cosa que se pueda lograr mediante scripts ejecutados en el navegador.
Entre los afectados, nada menos que el servicio británico de Inteligencia MI-5...
Según MustLive, también el MI-6 sufre una vulnerabilidad en su buscador local, aunque en este caso no se trata del producto de Google.
Esto de usar el motor de búsqueda de Google en el MI5 me parece fortísimo, ja ja...
Felicidades, este blog siempre tiene cuenta cosas interesantes de las que nunca dicen en el telediario.
Yo es que debo ser muy raro porque ni me gusta el futbol ni me importa nada cachuli :-)
Bodie y Doyle del CI5 nunca necesitaron del Google para resolver los casos.
Agentes secretos eran los de antes. :P
Bodie y Doyle eran señores agentes... ;)
Pero sin duda que esta noticia parece más digna del agente F-86 que otra cosa. :D
Puede que la cosa no sea tan mala como parece.
1º Un hacker ucraniano "dice", y como dice la sabiduría popular "del dicho al hecho, va un trecho", si puede hackear la maquina de Google que lo demuestre, hasta entonces para mi es pura propaganda.
Ojo no digo que el aparato Googleniano sea la Octava maravilla, solo que el hacker ese se ha hecho un nombre por algo que "dice" saber, como si yo digo que fabrico oro a partir de paja...
2º la información confidencial que maneja el Mi-5 y MI-6, jamas, de los jamases debería estar en una red con conexión al exterior, si todavía no se han dado cuenta de esto, da un poco igual si ponen la maquina de Google o alguna otra; es cuestión que alguien se les meta dento
1) No sólo dice, sino que también lo demuestra, proporcionando una muestra de ataque que funciona.
y 2) no se habla de la información "confidencial" del MI, sino de un ataque XSS, basado por tanto en convencer a su servidor de que ejecute código malicioso en los navegadores de los visitantes.
Como siempre, NoScript nos vuelve a salvar el día. Deberían dar un premio a su autor :)
Normal, contratan a chavales sin titulación para implantar los Google Search Appliances y luego pasa lo que pasa. Vulnerabilidades e ineficiencias a pasto
No tiene nada que ver. Una vulnerabilidad XSS es responsabilidad de los creadores de la aplicación, no de quienes la implementan, con independencia de la titulitis que te preocupa.