La Web más importantes en cuanto a alojamiento de imágenes, Imageshack, a sufrido un hackeo. La mala noticia es que han cambiado todas las subidas a sus servidores, por lo que solamente se ve el mensaje en negro que han dejado.
Al parecer los encargados de este hackeo a Imageshack forman parte de un grupo de hackers que se hace llamar The Anti-sec Movement.
Afortunadamente el ataque fue temporal ya todo ha regresado a la normalidad, debo destacar que este Blog sufrió las consecuencias de tal ataque ya que las imágenes están alojadas en dicha pagina Web, por eso estuvimos cerrados por algunas angustiosas horas. Ojala este grupo de terroristas informáticos (no encuentro otra palabra para definirlos) dejen de fastidiar la vida de las personas, sinceramente llegue a pensar que este era el fin del blog.
Tengamos en cuenta la cantidad de sitios, blogs, foros, etc que utilizan links directos desde el host. Algunos bloggers, por ejemplo, tuvieron que cambiar a ultimo momento la imágen principal de su blog porque se vio afectada por este incidente. Esto nos habla de la importancia del ataque y de la intención manifiesta de Anti-sec de darse a conocer masivamente.
¿Este incidente afecta a todas las imágenes hosteadas por ImageShack?
Recorriendo varias noticias que se están publicando en estos momentos, se está generando un mito que no es del todo cierto. No afecta a todas las imágenes hosteadas en ImageShack. Por lo que pudimos comprobar, sólo fueron afectadas imágenes en formato JPEG. Así, podemos ver varias imágenes hosteadas en Imageshack pero con otros formatos (PNG, GIF, etc) que funcionan a la prefección.
¿Cómo protejo mi Blog/Website frente a estos ataques?
Pueden ver que en los foros fueron afectadas firmas y otras imágenes en los posts, pero no ocurre lo mismo con los avatares. ¿Por qué? Pues porque las imágenes de los avatares personales están hosteadas por el mismo servidor de los foros. Por ejemplo, en Localstrike las imágenes están hosteadas en Localhost (y no en ImageShack) y por ende no se ven afectados. La recomendación es hostee las imágenes en su mismo sitio o que lo haga su servidor.
¿Puedo seguir subiendo imágenes a ImageShack en este momento?
A pesar de este incidente de seguridad, al parecer el sitio de ImageShack no fue comprometido, por lo que podemos seguir utilizando el servicio tranquilamente. Incluso podemos subir imágenes en formato JPEG (JPG, JPEG; JPE, JFIF) ya que este ataque sólo afectó a las que habían sido subido anteriormente, y a menos que vuelvan a realizar otr ataque, podremos utilizar imágenes en JPEG sin problema. De todas maneras es recomendable subir la imágen en otro formato.
¿Van a eliminar las imágenes que tengo hosteadas?
Ellos mismos nos indican al final de su mensaje que las imágenes no van a sufrir alteraciones, y en general estos grupos son serios y saben limitarse respecto a estos temas.
A continuación les dejo el mensaje de la imagen que dejaron y más abajo una sencilla traducción vía Google.
Textualmente dice:
Proudly presents...
Anti-sec. We're a movement dedicated to the eradication of full-disclosure. We wanted to give everyone an image o what we're all about.
Full-disclosure is the disclosure of exploits publicly - anywhere. The security industry uses full-disclosure to profit and develop scare-tactics to convince people into buying their firewalls, anti-virus software, and auditing services.
Meanwhile, script kiddies copy and paste these exploits and compile them, ready to strike any and all vulnerable servers they can get a hold of. If whitehats were truly about security this stuff would not be published, not even exploits with silly edits to make them slightly unusable.
As an added bonus, if publication wasn't enough, these exploits are mirrored and distributed widely across the Internet with a nice little advertisement embedded in them for the crew or website which first exposed the vulnerability to the public.
It's about money. While the world is difficult to change, and money will certainly continue to be very important in the eyes of many, out battle is that of the removal of full-disclosure for the purpose of making it harder for the security industry to exploit its consequences.
It is our goal that, through mayhem and the destruction of all exploitive and detrimental communities, companies, and individuals, full-disclosure will be abandoned and the security industry will be forced to reform.
How do de plan to archieve this? Through the full and unrelenting, unmerciful elimination of all supporters of full-disclosure and the security industry in its present form. If you own a security blog an exploit publication website or you distribute any exploits... "you are a target and you will be rm'd. Only a matter of time."
This isn't like before. This time everyone and everythings is getting owned.
Signed: The Anti-sec Movement
No images were harmed in the making of this... image.
Y la traducción por google es:
Presenta con orgullo ...
Anti-seg. Somos un movimiento dedicado a la erradicación de la plena revelación. Queríamos dar a todos una imagen de quiénes somos y qué hacemos.
Plena revelación es la revelación de explota públicamente - en cualquier lugar. La industria de seguridad utiliza la plena divulgación de los beneficios y el desarrollo de tácticas de miedo para convencer a la gente a comprar sus firewalls, software anti-virus, y los servicios de auditoría.
Mientras tanto, la escritura Kiddies copiar y pegar estas debilidades y compilar ellos, dispuestos a atacar cualquier y todos los servidores vulnerables que pueden obtener de una bodega. Si verdaderamente son "Sombreros Blancos" acerca de la seguridad esto no sería publicado, ni siquiera explota con ediciones tonto para hacer un poco inservible.
Como bono adicional, si la publicación no era suficiente, estas hazañas se reflejan y se distribuyó ampliamente a través de Internet con un pequeño anuncio incrustado en ellas para que la tripulación o sitio web que por primera vez de manifiesto la vulnerabilidad a la opinión pública.
Se trata de dinero. Si bien el mundo es difícil de cambiar, y el dinero, que seguirá siendo muy importante a los ojos de muchos, es que en la batalla de la eliminación completa de divulgación con el propósito de hacer más difícil para la industria de la seguridad para explotar sus consecuencias.
Es nuestro objetivo que, mediante el caos y la destrucción de todas las comunidades de explotación y perjudiciales, las empresas y los individuos, la plena revelación será abandonado y la industria de la seguridad se verá obligado a la reforma.
¿Cómo hacer de este plan de Archivo? Mediante la plena e implacable, despiadado eliminación de todos los partidarios de la plena revelación y la industria de la seguridad en su forma actual. Si usted es dueño de un blog de seguridad de una explotación de la publicación o sitio web de distribución de cualquier explota ... "usted es un objetivo y se le rm'd. Sólo una cuestión de tiempo."
Esto no es como antes. Esta vez todo y todos se está haciendo de propiedad.
Firmado: El Movimiento de Lucha contra el seg
Las imágenes no fueron afectadas en la elaboración de esta ... imagen.
a mi tambien me afecto