Eli
66meneos

Hackéalo, Crackéalo, o la seguridad de Menéame

En "Spacebom Blog" reflexionan acerca del ataque sufrido en Meneame y la reacción tanto de Ricardo Galli como de los autores del ataque, Martes13.net, además destacan que Menéame no utilizaba hasta el reporte del bug encriptación en las contraseñas de los usuarios, lo que no deja de ser bastante llamativo.

 32 comentarios en: tecnología, software libre karma: 0
etiquetas: meneame, bugs, seguridad, ética
votos negativos: 18  usuarios: 66  anónimos: 0  
  1. #1   andate!, que uno de estas noticias más y deberian abrir una nueva categoria "hinchar a meneame" ¬¬
    votos: 0, karma: 9
    por emarts el 03-03-2006 15:59 UTC
  2. #2   En ese artículo no es está "hinchando" a nadie, al menos asi lo entiendo yo, el autor contrapone los puntos de vista de ambas partes y critica donde tiene que hacerlo. No se pretende criticar por criticar, las cosas están fundamentadas.
    votos: 0, karma: 7
    por Wopecabs el 03-03-2006 16:05 UTC
  3. #3   Ricardo explicame, guardas contraseñas sin encriptar?
    votos: 0, karma: 6
    por Kowalski el 03-03-2006 16:08 UTC
  4. #4   Kowalski, hasta el "ataque" se guardaban sin cifrar. Ahora ya está actualizado (ver código) y se cifran.
    votos: 0, karma: 14
    por DZPM el 03-03-2006 16:10 UTC
  5. #5   >sin embargo solo modificaron una noticia para probar su hallazgo y así alertar al administrador. ¿Hubiera sido más elegante haberlo comunicado por correo electrónico y que el señor Galli se sacara un parche de la manga?, no lo creo.

    Bueno, modificaron una noticia poniendo un texto absolutamente incalificable. Habría sido más elegante poner un smiley, por ejemplo.

    A mi me parece que un texto en el que se obvia ese pequeño detalle, no se puede considerar acorde con la realidad de lo que pasó y lo voto como erróneo.
    votos: 0, karma: 6
    por anonima el 03-03-2006 16:10 UTC
  6. #6   Como explican en Spacebom Blog, actualmente el sistema de mename si que encripta las contraseñas con MD5 (y supongo que también habrán encriptado todas las almacenadas), pero Ricardo parece reconocer en comentarios de su blog que antes el sistema las guardaba como texto plano SIN encriptar, lo que sería algo lamentable, ¿alguién con una versión antigua del source code de mename para descargar?
    votos: 0, karma: 7
    por Wopecabs el 03-03-2006 16:11 UTC
  7. #7   lotbl00d, no me refiero a hinchar a alguien, sino me refiero, esto no es "hechar mas leña al fuego", yo creo que ya se hablo bastante del asunto, ya se han expuesto ambas partes y sera gallir el que decida o no tomar acciones severas.
    votos: 0, karma: 9
    por emarts el 03-03-2006 16:12 UTC
  8. #8   Sí, acabo de leer el Wiki de Meneame:

    "El día de ayer Menéame sufrió un ataque debido a bug en el código ya convenientemente subsanado. Ricardo Galli recomienda CAMBIAR LA CONTRASEÑA DE USUARIO de Menéame desde tu página de perfil de usuario

    * Para evitar futuros problemas de estos (seguramente todavía hay bugs por descubrir y script kiddies por conocer) las claves de usuarios ya se guardan "cifradas" en MD5. Para los que uséis el software: la migración se hace de forma automática al acceder a los datos de usuario o cuando ese usuario accede al servidor. En todo caso, si queréis aseguraros, ejecutad tomd5.php (está en el directorio scripts), si funciona bien el sist...  » ver todo el comentario
    votos: 0, karma: 7
    por Wopecabs el 03-03-2006 16:13 UTC
  9. #9   Por cierto.. que alguien (con karma suficiente) cambie en la reseña "Ricardo Gallir" por Ricardo Galli.
    votos: 0, karma: 7
    por ctovar el 03-03-2006 16:18 UTC
  10. #10   cambiado ctovar
    votos: 0, karma: 6
    por alexsancho el 03-03-2006 16:20 UTC
  11. #11   Cambiado.
    votos: 0, karma: 14
    por DZPM el 03-03-2006 16:20 UTC
  12. #12   Ya cambie la contraseña ;) gracias. Igual pienso lotbl00d.
    votos: 0, karma: 6
    por Kowalski el 03-03-2006 16:24 UTC
  13. #13   q veo mas.. spam o provocacion?, gans de buscar lios .. :S¿ quien sabe
    votos: 0, karma: 6
    por onzo el 03-03-2006 16:26 UTC
  14. #14   No pienso que la crítica moleste a Ricardo, fue gracias a este ataque que se implemento una medida de seguridad necesaria, respecto a la nota sólo es informativa.
    votos: 0, karma: 6
    por Kowalski el 03-03-2006 16:29 UTC
  15. #15   Hablando como simple observador, creo que siempre es bueno/necesario conocer lo que dicen y opinan los demás. Luego, con la información en la mano, cada uno que se haga su composción de lugar.
    votos: 0, karma: 20
    por s0phisma el 03-03-2006 16:29 UTC
  16. #16   Vuestras contraseñas no parecen estar comprometidas. La migración estaba preparada desde hace tiempo (si alguien tiene versión antigua, ver el comentario en libs/login.php)

    Pero ya me he flagelado por capullo, que lotbl00d no sufra tanto. No te preocupes, que no se ha perdido absolutamente nada (sólo horas a mi sueño y mi autoestima) y el menéame no ha dejado de funcionar ni un minuto durante todo el incidente.


    PS: curioso que ahora todos sean expertos y antes nadie miró el código y envió un parche (bueno, sí, una persona me preguntó y le expliqué las razones de ese momento).
    votos: 0, karma: 16
    por perl el 03-03-2006 16:32 UTC
  17. #17   Creo que se esta siendo un poco exagerado por ambas partes, ¿que datos personales se guardan en meneame?, ¿una direccion de correo? (que estoy seguro de que el 90% de los usuarios han metido alguna de gmail o similar). ¿El nombre real del usuario?; ¿que daño han causado los "hackers"?, ¿modificar una noticia?, ¿poner en evidencia que el responsable del servicio es humano y como tal comete errores?, ¿tanto ruido por esto?. En fin este mundo esta lleno de paradojas e incongruencias, y esta es otra de ellas.
    votos: 0, karma: 6
    por alexsancho el 03-03-2006 16:33 UTC
  18. #18   Ánimo Ricardo!, eres grande! este proyecto es genial! me quedo con meneame!
    votos: 0, karma: 6
    por Kowalski el 03-03-2006 16:39 UTC
  19. #19   #16 gallir: Ahora, una vez encriptadas, están algo más aseguradas que antes, y me importa un cuerno que la migración estuviera ya preparada, sabes de sobra que las codificaciones de passwords se hacen desde el primer momento en que comienza a funcionar en abierto un sistema, y vamos eso te lo enseñan el primer día de programación de cualquier escuela y/o estudio, y tú eres profe tio.

    Un saludo.
    votos: 0, karma: 7
    por Wopecabs el 03-03-2006 16:39 UTC
  20. #20   otia, esto parece un chat :P
    votos: 0, karma: 6
    por AntiCiencia el 03-03-2006 16:40 UTC
  21. #21   Da igual que tengan mi mail, si me mandan spam, será uno más xD
    votos: 0, karma: 6
    por Kowalski el 03-03-2006 16:41 UTC
  22. #22   > sabes de sobra que las codificaciones de passwords se hacen desde el primer momento en que comienza a funcionar en abierto un sistema

    Sí, y ya me flagelé, te lo dije. Tienes [parte] de razón.

    Pero no es verdad que todos los hacen, te sorprenderías la cantidad de software de blogging y foros que guardan la contraseña en texto claro (hint: por ejemplo todos aquellos que te envían la contraseña).

    Por otro lado, menéame no tiene datos "personales" y en el momento que haces el login tu contraseña viaja clara por la red, como en todos los blogs y weblogs. Te sorprenderías cómo de accesible es esa información, especialmente si ibas/vas por un proxy o lo haces desde cualquier red corporativa.

    Si estás preocupado por eso, espera a que pongamos un servidor SSL... (aunque no creo que lo hagamos, el menos no mientras no haga falta DNI, teléfono o dirección para darse de alta).

    Me voy a continuar con el flagelamiento...
    votos: 0, karma: 16
    por perl el 03-03-2006 16:51 UTC
  23. #23   Una pregunta, ¿si no estaban las contraseñas encriptadas, basta con crear una web con el código de meneame para conseguir las claves de acceso de miles de usuario?
    Partiendo de que la gente tiene mala leche, y que los usuarios no somos muy vivos y usamos la misma contraseña para todo... si me monto una web con el código de meneame, ¿puedo entrar donde quiera no?
    votos: 0, karma: 7
    por aNieto2k el 03-03-2006 16:51 UTC
  24. #24   > ¿si no estaban las contraseñas encriptadas, basta con crear una web con el código de meneame para conseguir las claves de acceso de miles de usuario?

    Cualquier servidor web que tengas puede tener tus contraseñas, están siempre accesibles en texto plano cuando lo pones en el formulario de login o de registro. Estos datos SIEMPRE llegan en texto plano al otro extremo, aunque pasen por un SSL o cifres al final. Todo se basa en la confianza de que la gente del servidor no hará uso de esa información y sobre todo en usar contraseñas distintas.
    votos: 0, karma: 16
    por perl el 03-03-2006 16:54 UTC
  25. #25   > si me monto una web con el código de meneame, ¿puedo entrar donde quiera no?

    No, estáis confundiendo, las contraseñas nunca se exportaron de este servidor. En eso sí fui muy cuidadoso...
    votos: 0, karma: 16
    por perl el 03-03-2006 16:55 UTC
  26. #26   quééééé????? contraseñas sin encriptar????? enseguida la cambio!!!!!! al menos deberías guardarlas en md5
    votos: 0, karma: 6
    por carloslmz el 03-03-2006 17:03 UTC
  27. #27   Bueno, si las guardas "hasheadas" (que verbo, ¿no?) ya no nos las podrás enviar en el supuesto caso que las perdamos. ¿Correcto?

    Por tanto, todo servicio que permite enviar la contraseña al que la olvida, debe guardarlas en texto plano o cifradas, pero de forma que sea reversible (lo cual en caso de compromiso del sistema, es igual de peligroso). ¿Es así?

    Si es así, ¿Por que la indignación de algunos? No entiendo, de verdad.

    Saludos
    votos: 0, karma: 7
    por ctovar el 03-03-2006 17:06 UTC
  28. #28   sasto ctovar, pero es que la ignorancia es mala consejera y suele ser muy impetuosa ;)
    votos: 0, karma: 6
    por alexsancho el 03-03-2006 17:10 UTC
  29. #29   todos somos humanos... demasiado drama...
    votos: 0, karma: 6
    por WiZaRd_ el 03-03-2006 17:16 UTC
  30. #30   Pues si, todo por una direcciónde correo que al comentar en muchos blogs se hace pública y por una contraseña que lo único que permite es participar en meneame, no sacar dinero de la cuenta de un banco, vamos.

    Y si alguien ha puesto la misma contraseña al correo que a la cuenta en meneame pues la verdad lo que está demostrando es que no le importa la seguridad ni la privacidad, que eso si que es una falta de prudencia elemental.
    votos: 0, karma: 6
    por anonima el 03-03-2006 17:24 UTC
  31. #31   No es cuestión de flagelarse Ricardo, pero bueno, no pretendo causar polémica, por mi tema cerrado.

    Saludos.
    votos: 0, karma: 7
    por Wopecabs el 03-03-2006 17:28 UTC
  32. #32   Ricardo no pidio tantos datos como nos pide Yahoo, el ingresar el nombre real era opcional, aunque tampoco no le veo tanta importancia, ni tan grave, lo del password no creo que utilizen el mismo password para todo (¿me equivoco?) xD
    votos: 0, karma: 6
    por Kowalski el 03-03-2006 17:31 UTC
comentarios cerrados

menéame