Imagina que llegas un día a tu casa y al ir a meter la llave en la cerradura del portal, un señor policía te sujeta la mano y te dice, con mucha educación, que no puedes pasar. Tú le dices que vives allí, y le enseñas la llave como prueba. Él te explica que hay una banda de ladrones rubios en el barrio y que no dejan pasar a ningún rubio como medida preventiva, por orden del propietario. Maldita ascendencia nórdica, piensas, sin acabar de creértelo. Llamas a tu casero que te confirma que él mismo ha contratado a los policías. Te dice que lo siente, pero que en nombre de la seguridad de la comunidad y de sus viviendas, no puede dejarte pasar.
Una historia absurda pero real: esto es lo que les pasó hace un mes a los inquilinos de CDMon.
Hace un mes se produjo un ataque a páginas funcionando con el software WordPress. El ataque, denominado de fuerza bruta, consistió en intentar acceder al área de administración de estas páginas usando el usuario admin, usuario administrador por omisión en WordPress hasta la la versión 3.0, y una base de datos con contraseñas típicas. El ataque es inteligente y peligroso porque no se soluciona con una actualización de seguridad, sino que debe ser cada usuario el que cambie las credenciales de acceso a su página, en el caso de ser vulnerables.
La empresa española CDMon alquila espacio en servidores de internet, son caseros digitales vaya. Las primeras informaciones revelaron que el ataque se estaba produciendo en su mayoría desde direcciones IP de fuera de España. Como medida preventiva CDMon impidió el acceso a sus servidores desde cualquier IP no española.
Afortunadamente no tengo como casero digital a CDMon; desafortunadamente sí que tengo clientes que están alojados en los servidores de CDMon, y además vivo en Francia, lo que viene siendo ser rubio en nuestra metafórica historia introductoria. Así que hace un mes me encontré, llave en mano, con que no podía acceder a los servidores de mis clientes para trabajar.
La situación en la que se encontraron los inquilinos de CDMon fue de vulnerabilidad absoluta ante el ataque, pero sobre todo ante su propio casero.
En términos de seguridad, la medida adoptada por CDMon no garantizaba estar a salvo del ataque. Matt Mullenweg, creador de WordPress, lo explicaba en su blog un día después del inicio del ataque:
…supposedly this botnet has over 90,000 IP addresses, so an IP limiting or login throttling plugin isn’t going to be great (they could try from a different IP a second for 24 hours).
Vaya, que limitar el acceso filtrando por IP no serviría de mucho. Como le dije al pobre trabajador del servicio técnico que le toco aguantar mi cabreo cuando llamé: «ya puestos, podríais haber apagado los servidores», medida mucho más eficaz.
La decisión de CDMon revela que no tenemos ninguna soberanía sobre los espacios digitales que usamos, incluso en los que pagamos. No tenemos ninguna capacidad de decisión sobre «nuestros» espacios, sobre todo cuando se produce una situación incómoda para sus propietarios. Da igual si son presiones de un gobierno para obtener datos de los inquilinos o un ataque de fuerza bruta.
Lo único que nos queda es intentar elegir bien a nuestros caseros.
6 comentarios
Tal cual… :/
La verdad es que Internet está lejos de ser el espacio democrático, libre y abierto que dice ser mientras esté en manos de unas empresas.
Lo malo es que es difícil encontrar alternativas reales (utilizar un ordenador conectado al ADSL como servidor donde alojar todo no me parece una alternativa ni segura ni rápida ni factible para la mayoría de situaciones).
¿Y mientras tanto, qué hacemos?
Buena pregunta, Carlos.
Como digo en el post, lo que sí nos queda es elegir bien nuestros caseros o hacernos propietarios :)
Desde luego, el primer paso es elegir bien a los caseros. Es un buen principio.