El grupo de activistas Anonymous no se queda quieto. Esta vez obtuvo más de 90.000 correos (con sus hashes) de personal militar estadounidense, como resultado de una operación llamada ‘Militar Meltdown Monday’ –’Lunes de Crisis Militar’–, y los compartió en un torrent disponible en The Pirate Bay que puede descargar cualquier usuario.
En la página de la descripción del archivo, Anonymous señala que logró infiltrarse de manera muy fácil a los servidores de Booz Allen Hamilton, una firma consultora con gran presencia como contratista de entidades gubernamentales y militares de Estados Unidos, cuyo trabajo principal se centra en la defensa y seguridad nacional y en los programas de ayuda militar de este país.
Además de los correos, Anonymous obtuvo acceso a servidores de la consultora, así como mapas y contraseñas de algunas agencias gubernamentales y contratistas.
En el comunicado publicado en la página del torrent declara que “hemos infiltrado en un servidor de su red (de Booz Allen Hamilton) que, básicamente, no tenía las medidas de seguridad en su lugar. Fuimos capaces de ejecutar nuestra aplicación y empezamos a saquear un botín”.
Jason Ukman, de The Washington Post, preguntó vía Twitter a Booz Allen Hamilton si tenía algún comentario sobre el ‘hackeo’ de su servidor, a lo que contestó públicamente en su cuenta corporativa que, como parte de la política de la compañía, no hará comentarios al respecto de este ataque en contra de sus sistemas.
Uno de los mayores peligros que presenta este ataque para la Booz Allen Hamilton y las fuerzas militares estadounidenses es que, si se logra obtener las contraseñas de los de los correos de 90.000 funcionarios, se podría enviar información falsa a través de ellos.
La opreación ‘Lunes de Crisis Militar’ no es la primera de Anonymous tras su alianza con el grupo LulzSec, con la que crearon la operación permanente AntiSec, y dentro de la cual han hecho ataques a blancos tan disímiles como firmas de seguridad, el Departamento de Justicia de Estados Unidos, la Nasa, Universal Music, los gobiernos de Turquía, Brasil y Australia, contratistas del FBI, la OTAN y Apple.
La curiosa factura a su víctima.
Aunque el grupo de piratas informáticos LulzSec supuestamente desapareció y de él queda la operación AntiSec junto a Anonymous, su estilo de burlarse de las víctimas y divertir a la audiencia no se ha perdido del todo. Dentro de la información provista por Anonymous sobre el ataque a Booz Allen Hamilton se incluye una factura por los ‘servicios prestados’ –incluyendo ‘prensa y relaciones públicas’– por 310 dólares. Estos son los detalles:
«Se adjunta la factura de la auditoría de sus sistemas de seguridad, así como la conclusión del auditor.
4 horas de mano de obra: $40,00
Auditoría de red: $35,00
Auditoría de aplicaciones web: $35,00
Red de infiltración *: $0,00
Derribamiento de contraseñas y SQL **: $200,00
Descifrado de datos ***: $0,00
Prensa y relaciones públicas ****: $0,00
Total de la factura: $310,00
* El costo se basa en la cantidad de esfuerzo requerido.
** El costo se basa en la cantidad de datos mal asegurada por derribar, que en
este caso fue una cantidad importante.
*** No hay ninguna seguridad en el lugar, ningún esfuerzo para la intrusión fue necesario.
**** ‘Trollear’ es nuestra especialidad; ofrecemos este servicio de forma gratuita».
En el comunicado se despiden con “un saludo a todos nuestros amigos: recuerden, ¡dejen que fluya! #AntiSec” Esto indica que seguiremos teniendo noticia de Anonymous y sus operaciones AntiSec.
http://pastebin.com/nHMtSnKF
Como es posible que una empresa dedicada a la salvaguardar esta información tan delicada no pueda contrarrestar un ataque o preveerlo, pero no me queda claro el por qué hicieron, pues estos ataques deben tener una fuerte razón para divulgar el resultado públicamente.
ESTA GRUPO » ANONYMOUS» merecen el calificativo de !! genios !! . ESTO SIRVE PARA QUE LAS ENTIDADES TOMEN MEDIDAS Y SE CAPACIETEN MEJOR PARA MEJORAR LA SEGURIDAD DE DATOS.
La red está diseñada originalmente para compartir, no para restringir, es por eso que por más que quieran tratar de «brindar seguridad» por definición es imposible, tendrían que crear otra estructura de red muy distinta, y eso se tomaría muchísimos años. Este ejemplo, junto con el de hbgary no hacen más que demostrar que la seguridad por medio de la ignorancia es imposible, porque estos supuestos grupos de white hat solo confían en que la gente no comprenda como funcionan las cosas, esa es su única «seguridad». ¿Cómo más se le podría llamar a un ataque, que ademas fué anunciado?
Genios hasta que le hagan un daño personal por intermedio de alguna empresa con la cual tenga algun tipo de servicio o negocio, ahi creo que va a cambiar su palabra genio.
El día de ayer el mismo grupo publicó unos datos sobre algunas entidades en Colombia. Se vieron afectadas la Secretaría de Educación del Atlantico entre otras entidades.