Skip to content

Cibercagadas I: ThePirateBay.org

mayo 4, 2011

“I think it would be absolutely reckless and irresponsible for anyone to try and break up Microsoft. ”

Steve Balmer

Contra todo pronóstico, la llegada de internet a los hogares fue el principio del fin de la privacidad. Todo pintaba muy bien, estábamos detrás de un módem y éramos indetectables. Ya podíamos irrumpir en altavista o en el IRC y comenzar nuestras particulares desventuras. Vamos, ver fotos de Pamela Andersson en tetas.

Pero de repente, las compañías se empeñaron en entrar en este mundillo (lo cual no es muy de extrañar, teniendo en cuenta los cientos de millones de clientes potenciales) y según llegaron, empezaron a cagarla. De todas las habidas (incontables) iba a hacer un resumen de ellas en un sólo post, pero como están curiosas y puedo profundizar en ellas, he decidido dedicar un post a cada una, al menos a las más reseñables. Si echáis de menos que profundice aún más, no tenéis más que indicarlo, aunque no me gustaría aburriros aún más. Hoy, ThePirateBay.

ThePirateBay.org: 4 millones de usuarios afectados, acceso a toda la base de datos vía SQL Injection, incluída la de usuarios. Quizá sea una de las peores. No por número de usuarios, que no es excesivo (ya veréis, ya veréis), sino por las circunstancias. Primero porque PirateBay es un sitio concienciado con la seguridad; de frikis informáticos para frikis informáticos. Lo más flagrante del tema es que muchas veces pensamos que este tipo de páginas son las más seguras por el tipo de personas que hay detrás o porque la gente no está interesada en hackearlas. El fallo de SQL-Injection habría sido fácilmente evitable utilizando pruebas unitarias durante el desarrollo. ¿Quién sabe si alguna autoridad no la habría hackeado previamente para hacerse con estos suculentos datos?

¿Cómo ocurrió?¿Qué pasó? Bien, pues resulta que un hacker-psicólogo argentino, llamado Ch Russo,  estaba con unos amiguitos en casa bebiendo mate y cerveza de yonkilata. Como todos los argentinos, filosofaban y divagaban sobre la influencia del hacking en la vida diaria, mientras jugueteaban con los POSTS y los GET de la página en cuestión. Descubrieron, que si el gato caminaba por el teclado se provocaba un fallo de seguridad tipo SQL Injection; varias comillas, comillas invertidas y eses dólar más tarde, ya tenían acceso a las BB.DD. Russo afirma, que en ningún momento, ni él ni sus compañeros alteraron o modificaron los datos de las bases de datos, aunque  no están seguros de lo que pudo hacer el gato (y eso que podrían haberlo hecho, torrents, seeds, nombres de usuarios, contraseñas…), si que hicieron copia de algunos datos que mostraban humildemente a los periodistas (hashes de passwords de los administradores Top, la descripción de las tablas de las BB.DD…). Parafraseando a Valdano, “El hacking es así” respondía Russo.

Por si esto no fuera cagada suficiente, thepiratebay.org, famosa por su filosofía underground y su apoyo a anonymous, actuó como la peor de las compañías comerciales. Russo y el periodista intentaron contactar con los creadores de la página lo que resultó en baneo de los canales irc y del tracker. Sin lugar a dudas una pena y muy lejos de la filosofía comunitaria de caza-talentos y respeto.

¿Cómo lo solucionaron? Nada de fixes ni cosas parecidas… Simplemente eliminaron el componente de la página web. Desde luego, todo mucho más cutre de lo que cabría esperar.

Cómo resultado, un 10 para Ch Russo, que avisó a la administración y un 2 para PirateBay, por haber arreglado el sitio de la peor manera posible y por ignorar los mensajes.

Más info aquí en inglés.

SqlInjection en Wikipedia.

Hasta el siguiente post.

Anuncios
One Comment leave one →
  1. mayo 10, 2011 11:11 am

    ¿Sabes con qué NO se evita un SQL-Injection? ¡Con un goto! Los gotoeros deberían morir como perros, ¡como niños moros perros vestidos de payaso!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: