Hack a ImageShack

ImageShack, uno de los sitios para hospedar imágenes más grandes en la web, fue hackeado esta noche, aproximadamente a las 9:35 P.M. hora del centro. Cómo resultado de este ataque, una gran cantidad de imágenes hospedadas en los servidores de ImageShack (no he confirmado que hayan sido todas) fueron reemplazadas por un manifiesto de Anti-Sec, el grupo que se acredita el hecho.

Anti-Sec se declara un movimiento en contra del "full-disclosure", y la publicación indiscriminada de los "exploits". Evidentemente la oración anterior requiere una explicación. Según la Wiki:

En el campo de la seguridad computacional, full-disclosure significa revelar todos los detalles de un problema de seguridad que son conocidos. Es una filosofía del manejo de seguridad completamente opuesta a la idea de "seguridad mediante obscuridad"

Además...

Un exploit es una pieza de software, un conjunto de datos, o secuencia de comandos que toman ventaja de un debilidad, defecto o vulnerabilidad para causar comportamiento no deseado o inesperado en software, hardware o un dispositivo electrónico (usualmente computarizado). Esto frecuentemente incluye acciones tales como tomar control de un sistema computacional violentamente o permitir un ataque DoS -Denial Of Service, negación del servicio o desconexión.

En su manifiesto de esta noche, Anti-Sec denuncia estas práctica de la Industria de la Seguridad, y amenaza:

Es nuestra meta que a través de atacar y destruir a todas las comunidades, compañias e individuos que difunden los exploits, la práctica de full-disclosure sera abandonada y la industria de la seguridad será forzada a reformarse.

Cómo planeamos conseguir esto? A través de la total, incesante e inmisericorde eliminación de todos los que apoyan la práctica de full-disclosure y la industria de la seguridad en su forma presente. Si tu posees un blog de seguridad, una website de publicación de exploits, o si los distribuyes... "Eres un objetivo y seras removido. Es sólo cuestión de tiempo".

Suena radical, ciertamente. La esencia de la premisa que explica los motivos detrás de este grupo tiene cierto sentido. Me declaro un mero aficionado en computación e ignorante en seguridad computacional, mas allá de la que me provee mi propio sentido común, pero a poco no han sospechado alguna vez que las compañías que fabrican antivirus, firewalls, y demás herramientas de seguridad no son en parte los mismos detrás de tanto mugre "viros" (Minne dixit), gusano, bicho, troyano y demás inmundicias que nos desmadran nuestros equipos a cada rato?

Sin embargo, y como un usuario mas de internet afectado por este ataque (me dí cuenta porque el fotocartón de ayer fue reemplazado por la imagen mencionada) tengo que decir que no pienso que este sea el camino, ni tampoco que ocultar la información sobre las debilidades de seguridad computacionales sea lo correcto. El abuso de cualquiera de las dos prácticas terminará por causar daño, así que prefiero tomar el lado de los que creen que la información sobre estos problemas debe ser tan pública y disponible como sea posible.

Nuestra responsabilidad como usuarios computacionales es prepararnos, informarnos, darle atención a nuestros equipos, y como consumidores, en base a la información, demandar mejores productos y favorecer aquellos que demuestren su calidad y efectividad (que no siempre son los que publican los anuncios mas grandes).

Después de todo hay que aceptarlo... una de las razones por las que hay tantas computadoras tan vulnerables es porque son propiedad de mucho zonzo que hace "click" donde no debe.

UPDATE, 11:20 PM. Tal cual lo declararon al final de su manifiesto, Anti-Sec no destruyo las imágenes hospedadas en ImageShack y han regresado a la normalidad.

11:25 PM La comunidad twittera reacciona al hack de ImageShack

11:35 PM Acalorado debate sobre el ataque y la práctica de full-disclosure, en Mashable.com, donde encontré la primera información sobre el tema. (En Inglés)