La Nación se dejó decir que un hacker puso una bandera nica en el portal de la Casa Presidencial de Costa Rica debido a que se utilizaba un software barato creado por el INA.
Que sea gratis, más o menos barato no tiene nada que ver con seguridad. Si no le dan mantenimiento al portal ni le hacen actualizaciones de seguridad es muy probable que tarde o temprano alguien pueda aprovechar vulnerabilidades y accesar.
Pero voy a ir un poco más allá porque me parece sospecho el uso de la palabra "barato", pudo decir que la calidad, o que la vulnerabilidad o que la falta de actualización... pero barato es usada por vendedores de software...
El 29 de agosto del 2009 Informa-tico.com informaba:
El día del ataque fue el 4 de noviembre del 2009 en la noche, ese mismo día en Joomla se anunciaban la reparación de dos vulnerabilidades con sus respectivos parches (aclaro que esas vulnerabilidades no pudieron ser descubiertas ese día sino que fueron descubiertas desde antes, ese día se hicieron publicas ya que ya estaban publicados sus respectivos parches) . Dentro de estas había una que permitía a alguien con acceso como Autor poder reemplazar algo escrito por otro usuario. Si ese fuera el caso el acceso se pudo dar por una clave muy fácil de alguno de quienes tenía permisos para escribir en el portal.
En todo caso se pudo deber a una combinación de las dos cosas ya que podemos perdonarle a los administradores del sitio de Casa Presidencial que no realizaran la actualización de forma inmediata, pero si el ataque se dio atraves de esas vulnerabilidades para poder hacer algo se debía tener un mínimo de privilegios para poder escribir algo.
Aclaro que el ataque pudo ser hasta al servidor, o por otro medio pero con esto desmiento lo que se trató de dar a entender en la Noticia dada por La Nación, de que se debe a que el software es barato (software libre) y por ende inseguro.
Fuentes: La foto fue tomada de 89Decibeles.com y su contenido esta bajo licencia Creative Commons.
Que sea gratis, más o menos barato no tiene nada que ver con seguridad. Si no le dan mantenimiento al portal ni le hacen actualizaciones de seguridad es muy probable que tarde o temprano alguien pueda aprovechar vulnerabilidades y accesar.
Pero voy a ir un poco más allá porque me parece sospecho el uso de la palabra "barato", pudo decir que la calidad, o que la vulnerabilidad o que la falta de actualización... pero barato es usada por vendedores de software...
El 29 de agosto del 2009 Informa-tico.com informaba:
"El nuevo sitio de Casa Presidencial en Internet luce más moderno y fue realizado por el Instituto Nacional de Aprendizaje, además está desarrollado en el sistema de manejo de contenidos "Joomla", de software libre".
El día del ataque fue el 4 de noviembre del 2009 en la noche, ese mismo día en Joomla se anunciaban la reparación de dos vulnerabilidades con sus respectivos parches (aclaro que esas vulnerabilidades no pudieron ser descubiertas ese día sino que fueron descubiertas desde antes, ese día se hicieron publicas ya que ya estaban publicados sus respectivos parches) . Dentro de estas había una que permitía a alguien con acceso como Autor poder reemplazar algo escrito por otro usuario. Si ese fuera el caso el acceso se pudo dar por una clave muy fácil de alguno de quienes tenía permisos para escribir en el portal.
En todo caso se pudo deber a una combinación de las dos cosas ya que podemos perdonarle a los administradores del sitio de Casa Presidencial que no realizaran la actualización de forma inmediata, pero si el ataque se dio atraves de esas vulnerabilidades para poder hacer algo se debía tener un mínimo de privilegios para poder escribir algo.
Aclaro que el ataque pudo ser hasta al servidor, o por otro medio pero con esto desmiento lo que se trató de dar a entender en la Noticia dada por La Nación, de que se debe a que el software es barato (software libre) y por ende inseguro.
Fuentes: La foto fue tomada de 89Decibeles.com y su contenido esta bajo licencia Creative Commons.
5 comentarios:
a mi tambine me parecio una mala seleccion de palabras... hasta me parecio una intencion de culpar al INA.
Obviamente hay una intención oculta para dañar la imagen del open source.
Estoy totalmente deacuerdo con sus comentarios. Creo que es una falta de respeto al intelecto medio del Costarricense que salgan con tal estupidez. Yo no soy experto en seguridad ni mucho menos, soy menos que un power-user, pero hasta yo supe que ese comentario estaba fuera de lugar y lleno de "digasle eso..."
Me gustaria ver un artículo en los periodicos o en los noticiarios a profundidad... Talves como esta de moda renunciar, el pelele que dijo eso renuncie por baboso...
Pura Vida
Nada que ver que sea barato o no. Por ejemplo, los sistemas con Linux son de licencia libre y código abierto, y son muy buenos y robustos pero no exentos de fallas. E igual, uno paga por usar windows y sólo fallas y vulnerabilidades.
De hecho si el servidor de casapres fuera hecho sobre Windows Server seguro se lo hubieran mandado al carajo.
El que sea libre o valga una millonada no tiene ninguna relación en absoluto.
Saludos,
Lo bueno es que, según parece, no van a caer en la trampa del precio. Por ahí leí que iban a actualizarlo pero sin costo...
Publicar un comentario