La verdad, fue facil... pensaba que se lo curraron mas... pero fijate una empresa de "seguridad" con un cutre CMS...

Ehm... conseguir sus correos electrónicos puede ser moralmente aceptable si se descubre algun tema grave, pero... destruir sus backups? alterar su página web? eso solo sirve para dar base a que criminalicen cualquier movimiento tipo Anonymous.

No había una foto con fondo de florecillas y campo...no, hacía falta mentar las mismísimas llamas del infierno.

«[Anonymous es] la primera super-conciencia basada en Internet. Anonymous es un grupo, en el sentido de que una bandada de aves es un grupo. ¿Por qué sabes que son un grupo? Porque viajan en la misma dirección. En un momento dado, más aves podrían unirse, irse o cambiar completamente de rumbo».
Landers, Chris, Baltimore City Paper, 2 de abril de 2008[8

Hackear es un arte.

Es cierto que empleando certificados el impacto se hubiese limitado, seguramente, al CMS pero usar contraseñas en ssh no es un fallo de seguridad a menos que:

a)las contraseñas sean faciles de adivinar / crackear
b)se reutilicen las contraseñas

Pero en HBGary fallaron en ambos puntos :facepalm:

Esto me ha llamado la atencion
'hi, do you have public ip? or should i just drop fw?
and it is w0cky - tho no remote root access allowed'

Que bestia, le pregunta si deshabilita completamente el firewall o si le mapea un puerto.

Muy buen articulo y muy bien explicado. Lástima que lo hayan tumbado los de siempre... será que si no entienden no pueden trolear.

NO sé porqué hay tantos negativos. El artículo es buenísimo. Sabíamos muchos detalles de la intrusión de anonymous pero aquí están todos bien detallados y documentas y explicados de una forma entendible para profanos. Es un artículo buenísimo de Ars Technica.

Si el objetivo es ganar dinero, ser profesional no interesa, porque precisa de equipo, formación y revisiones continuas. Al menos a corto plazo.
A medio plazo te comes un marron como este y te das con un canto en los dientes.

#3 HBGary iba a vender informacion de supuestos miembros de anonymous al fbi, es decir, traficaba con informacion privada de la gente, tambien tenia (supuestamente) un plan para tratar de atacar la credibilidad de wikileaks filtrandoles informacion falsa, no son unos santos precisamente

En general veo mal lo de destruir cosas, pero en este caso mas bien parece un "hbgary muerde a anonymous y anonymous les muerde en represalia"

Como me gusta Ars Technica, realmente es un blog cojonudo.

#3 En parte te doy la razón...pero por otro lado una empresa experta en seguridad, que cometa tantos fallos y que con un ataque te puedas cargar los backups..pues que quieres que te diga es la mejor publicidad...para los ex-futuros clientes.

Destrucción de backups... eso si que duele.

Por eso siempre guardo un tercer backup en un medio sin conexión a Internet.

#8 A mi me impresiono el primero

From: Greg
To: Jussi
Subject: need to ssh into rootkit
im in europe and need to ssh into the server. can you drop open up
firewall and allow ssh through port 59022 or something vague?
and is our root password still 88j4bb3rw0cky88 or did we change to
88Scr3am3r88 ?
thanks

#10 No te molestes, ni siquiera te indignes, no vale la pena (si aceptas el consejo), es la misma gente de siempre que vota sistemáticamente negativo a determinadas noticias.

Hablar de anonymous como si fuera un grupo concreto de personas ya me parece un error, no lo digo por este artículo, sino más bien de los medios tradicionales en general. Lo más probable es que varios de los ataques que se atribuyen a anonymous hayan sido hechos por personas que no tienen mayor relación. Anonymous es más bien un fenómeno de internet que un grupo determinado.

#12 Tu frase, en este caso mas bien parece un "hbgary muerde a anonymous y anonymous les muerde en represalia", no es exacta.

Yo creo que sería más correcto decir: "hbgary intenta comer un peón a anonymous, anonymous da jaque mate a hbgary. Fin de la partida". Lo intentaron, y no pudieron. Encima esa estratagema, después de esto, no sirve. ¿Otra partidita?

anonymous somos todos los que estemos en contra de los cortes de libertades, no solo en internet, si no también en la calle, en las protestas de los ciudadanos.

Creo que la máscara de V deja bien claro que lo que se quiere es dar a entender que detrás de estas acciones está cualquiera y que no se puede pisar al pueblo. Al fin y al cabo el pueblo es el país, el pueblo es el mundo, el pueblo somos las personas.

Vaya seguridad para ser una empresa de seguridad, primero dejan la BBDD a huevo para un SQL Injection, usan un CMS no estandar, para el que no sepa que es un CMS goo.gl/frlNO en vez de usar vignette o algo parecido free o no, passwords pobres y reutilizables, yo, no dejaría mis datos en sus manos, es como darle las llaves de casa a un ladrón y esperar que no te robe

Solo diré dos cosas: Tontos

y

www.youtube.com/watch?v=rX7wtNOkuHo

Yo añadiré una cosa más.

www.youtube.com/watch?v=i15eFc_BCu4&feature=related

Y lo de que te metan un SQL injection es de pringaos...

Interesante y muy bien explicado :).

De lo mejorcito que he leído sobre hacking ultimamente. Muy instructivo.

¿Una empresa experta en seguridad informática, víctima de un ataque de inyección SQL?

Se merecían el ataque por inútiles. Aunque eso sí, borrarles los backups ya es excesiva mala leche.

So what do we have in total? A Web application with SQL injection flaws and insecure passwords. Passwords that were badly chosen. Passwords that were reused. Servers that allowed password-based authentication. Systems that weren't patched. And an astonishing willingness to hand out credentials over e-mail, even when the person being asked for them should have realized something was up.

Les faltó publicar el usuario y contraseña en facebook para hacerlo un poco más fácil, nada más. Se puede hacer peor, pero hay que esforzarse para ello.

Y es una empresa de seguridad?

Espero que todos los participantes de estos actos terminen en la cárcel.

En general me gustan las cosas que hace Anonymous, pero algunas veces se les puede ir la pinza y hacer cosas que la gente no entienda, y dejarlo a huevo para que les criminalicen, lo cual sería una pena.

También es un colectivo que es, por su naturaleza, fácil de infiltrar. No entiendo, por ejemplo, los ataques de 'Anonymous' a la página Aporrea.

Alégrame el día.

#29 Yo espero a que te refieras a los participantes en la conspiración anti-wikileaks

el cazador cazado...
en serio esta gente no conoce la mítica funcion mysql_real_escape_string()?

En casa del herrero...

Muy interesante artículo para los que trabajan en este campo. Demuestra cómo un fallo de seguridad puede acabar extendiéndose a todo el sistema.

#19 realmente creo que HBGary simplemente intentaba sacar dinero del fbi, por lo visto los datos que tenian de anonymous eran simplemente idiotas (anonymous por lo que se los facilito en abierto a todo el mundo), vamos cuando salio la noticia me imagine a directivos de hbgary diciendo un "pues sacamos los datos que podamos, anonymous igual nos hace un ataque ddos como suele hacer que nos deja la web inaccesible un dia o dos y aprovechamos para lamentarnos y pedir mas dinero aun al fbi" un negocio "redondo" que les ha rebotado en la cara, y vamos se han quedado con una imagen de pena, en cuanto a seguridad informatica unos inutiles (en general que se entre en los servidores de una empresa normal no es tampoco para escandalizarse en mi opinion, la mayoria de las veces el sysadmin ni existe en una empresa normal, o si existe es realmente un informatico para todo que si tiene tiempo puede dedicar media hora a la semana a tareas de seguridad, pero en una empresa que se dedica a eso pues demuestra su inutilidad) por otro lado su negocio era vender datos privados de gente como el mas ratero de los spamers, inculpando a gente de ser supuestos cabecillas de anonymous y por lo visto sin demasiadas pruebas , asi que no me dan precisamente pena

Aquí se cuenta cómo lo hicieron, y lo que supone para el resto de nosotros, meros mortales que utilizamos internet.

¿Se están creyendo dioses? Pregunto.

#37: RTFA

#17 Yo antes de votar una noticia, me aseguro de que el usuario no se dedique a votar casi siempre negativamente a los demás.Alguien que tiene una proporción de 20-48(con mas de 10 ya me lo pienso) votos negativos en la primera pagina de enlaces votados no merece que le des karma.

El problema es que son unos "karma whore" que envían noticias para tener lo máximo de karma y poder hundir las que les molestan. Si fuéramos con cuidado con esos engendros y no les votásemos no tendrían karma para estas cosas.

Me gusta mucho el estilo "V de Vendetta" que usa Anonymus, ahora lo que hace falta es que destruyan la web de la SGAE jajajaja