#5 A mí también me ha chirriado, imagino que con "un disco duro" se refiera a un NAS, en concreto a la solución comercial de synology. Habría estado más acertado llamarlo "un servidor doméstico" o "un ordenador", pero bueno, los que saben un poco han entendido y se han echado unas risas, los que no saben nada de informática se han quedado igual y los que tienen algo de conocimiento habrán dicho: "¿Un disco duro a internet en el que han instalado un proxy? Algo no me cuadra"

Titular un poco sensacionalista, ¿no?

#5 Suele pasar que los diarios:

a) prescinden de pagar a un experto para que le asesoren en la redacción del contenido técnico (de lo que sea)
b) redactan muchos artículos periodísticos por 4 perras y se paga por cantidad no por calidad normalmente.
c) los diarios suelen dar más pienso informativo que información.... Y ni se molestan en currarselo.

#7 como si te roban el coche para cometer un delito y te acusan a ti de hacerlo.

#15 #7 #11 #13

Un ejemplo que ya comenté en el pasado, en donde esta persona fue erroneamente detenida en una redada contra la pornografía infantil y tuvo que pasar un calvario de 8 años, hasta que fue absuelto.

https://indignado7777.wordpress.com/2008/12/11/un-resumen-de-mi-caso/

La culpa es del proxy, no de la aplicación/servidor de la que se extrajo la información

#1 Me parece que es mejor que enlaces directamente la página, no solo la imagen.
https://xkcd.com/327/

Además, así puedes leer la descripción "oculta" de la imagen.

"Ayuda estoy atrapado en una fábrica de carnes de conducir"

#94 Pero mucho. Del too.

#2 Sabes que se puede ser ingeniero de muchas cosas y no solo de informática ¿Verdad?
Por la noticia en la que hablan de que trabajaba con motores, parece que este señor debe de ser ingeniero mecánico o algo similar.

#6 Estaba pensando algo similar.
Es como si tú tienes una propiedad en campo, y de forma legal habilitas un camino de tierra para llegar hasta allí.
Un buen (o mal) día alguien comete un atraco y para fugarse utiliza tu camino y te acusan de cómplice del robo.

#9 Es decir, que tu pretendes utilizar una herramienta informática y encima pretendes hacerlo con responsabilidad. Estamos locos...

#57 En lineas generales no andas muy mal.

En una conexión hay 5 niveles (el modelo OSI dice que hay 7, pero se puede simplificar):
1. Físico: El cable o las ondas de radio. Niveles de señal o de voltaje.
2. Enlace: El adaptador de red donde enchufas el cable de red. Traduce los niveles de voltaje a (0/1) entre dos elementos de red adyacentes (o sea, conectados por un cable o similar).
3. Red: Como enviar bits por ahi a lo loco, permitiendo conectar un origen y un destino. Protocolo IP.
4. Transporte: Como establecer una comunicación extremo a extremo entre una fuente y un destino, usando una red. Protocolo TCP o UDP.
5. Aplicación: Tu aplicación (el chrome) hablando con la aplicación de tu banco. Protocolo HTTPS.

Cada elemento de la cadena se apoya en el anterior. Y cada nivel, si te pones tonto, puede incorporar su propio cifrado (aunque normalmente solo se hace en los niveles 3+).

Una VPN funciona generalmente en el nivel de red. Cuando tu te conectas a google.com a través de una VPN, simplemente estas estableciendo la conexión a través de los servidores de la VPN. Pero eres TU quien se conecta directamente a google.com. Si la IP de salida de la VPN esta en otro pais, google en principio pensara que estas en ese otro país. La VPN añade una capa adicional de cifrado pero NO tienen acceso a tus datos (e.g. usuario y password del banco) que ya estén viajando cifrados por usar HTTPS.

Un proxy puede funcionar tanto en el nivel de transporte como en el nivel de aplicación. Si lo hace en el nivel de aplicación, eso significa que si te conectas a google.com, hay DOS conexiones totalmente separadas. Una entre el tu y el proxy, y otra entre el proxy y google. Eso significa que el proxy tiene acceso a todos tus datos ya que cada conexión se cifra de forma independiente. El proxy, por tanto, puede saber tu usuario y contraseña.

En principio, ni el proxy ni la VPN garantizan el anonimato. Eso dependerá de su configuración de acceso y de logs. Pero ambos pueden saber perfectamente que alguien se conecto desde tu IP a tal hora y accedió a tal y tal pagina (aunque hay formas de ponérselo difícil).

Luego hay mil detalles de configuración que pueden cambiar lo que he contado. Hay VPNs que también se meten en el nivel transporte y mil historias particulares. Pero por defecto suele ser asi.

Llegas un día a comprar el pan.
Te bajas del coche, y sin darte cuenta te dejas el coche sin cerrar.
Mientras estás en la panadería, unos ladrones de europa del este, o de la malvadísima Rusia por ejemplo, entran en tu coche, le hacen el puente se lo llevan y cometen un robo a un banco. Son tan finos, que cuando terminan te lo dejan donde lo habías aparcado tal cual y ni te enteras.

Dias después, la policía acordona tu casa, te interrogan, te echan de tu trabajo y te acusan de haber robado un banco.

O sea, empuran a estos ingenieros básicamente porque no han podido encontrar al culpable.

#21 hackean a los mossos y hackean al señor y acaba enmarronado el pobre señor por tal de no enmarronar al que hizo el software vulnerable que originó la filtración. Vaya tela.

#1 La viñeta del bueno de Bobby al primer comentario, bien!

#4 Estos titulares que reducen simplistamente los hechos para caricaturizarlo son muy sensacionalistas. La mayoría de noticias con titulares que te dejan pensando "cómo es posible que esto pase" son sensacionalistas, y habitualmente hay letra pequeña que lo explica perfectamente. Estés de acuerdo o no con dicha explicación.

Además, me parece que cuando quieres denunciar un despropósito, si efectivamente es un despropósito no hace falta caricaturizarlo más.

#59, mmm, carnes de conducir, sabrosas y jugosas

cc/ #1

#2 "Quien esté libre de pecado tire la primera piedra"
Un fallo en el sistema informático de Justicia permite acceder a todos los casos

Hace 7 años | Por lomejor a elconfidencial.com

Publicado hace 7 años por lomejor a elconfidencial.com

Un fallo en el sistema informático de Justicia per...

elconfidencial.com

#15 Pues algo parecido le pasó a un amigo mio (no tan gore, eso si): Se fue de vacaciones 1 semana y a la vuelta vio que le habían robado el coche.
Lo denunció, pero resulta que el coche los chorizos lo habían abandonado en un lugar prohibido.
Como la policia encontró el coche mal aparcado antes de que pusiera mi amigo la denuncia (recordad que estaba de vacaciones), pues no sólo tuvo que pagarse los desperfectos que le habían hecho al coche, sino también la multa por tenerlo mal aparcado.
Él demostró que había estado de vacaciones, pero le dijeron que claro, no se podía saber que no lo hubiera aparcado ahí antes... asi que se comió todos los marrones, aún tuvo suerte de que no utilizaran el coche para atracar un banco como tu dices (por los restos que encontraron en el coche sospechamos que seguramente lo utilizaron para ir a algún poblado de la droga y luego lo abandonaron)

#5 Siempre que veo una noticia de algo que conozco de primera mano, el periodista invariablemente comete alguna cagada que hace cambiar el sentido de la noticia o da datos contradictorios que demuestra que el tipo no tiene ni puta sobre lo que está informando y muchas otras veces datos inexactos. Y sólo estoy hablando de cuando lo hacen sin mala intención.

Si hablásemos con los periodistas nos dirían con razón que no tienen tiempo material para investigar todas las noticias sobre las que escriben sin tener ni idea, lo cual supongo que no es culpa suya totalmente...
Peor a fin de cuentas lo que tenemos por H o por B es una basura de información que nos dan los medios, y yo al menos tengo claro que no te puedes fiar nunca de los datos del cuerpo de la noticia nunca porque su calidad es pésima siempre o casi siempre.

#3 Hombre, primero está lo de conceder permisos, luego está si eso ponerle logs... no sé, yo así sin más no sé hacerlo pero si me lo planteo, lo haría así.

#8 La culpa es de los proxis, que las visten como putas.

#3 pero cualquiera que haga eso lo securiza un mínimo ....
Y también hay que echar un ojo de cuando en cuando ...

#2 Hasta que punto se puede considerar a este señor ingeniero

Tendrá un título de Ingeniero Microsoft

#27 pero cualquiera que haga eso lo securiza un mínimo

Humm... conozco mucha gente que es de siguiente/siguiente/terminar. ¿Funciona? genial, a disfrutar. Así debería ser todo el software y no como esos pirados que andan configurando todo a mano.

#2 Un ingeniero no tiene obligación de saber de todo y menos de lo que no es de su campo ya que el tío no es ingeniero informático.

#12 lo pasaste por las unidades de delitos informáticos de la policía o la guardia civil? o lo dejaste en manos de la AGPD (esperando, como sería lógico, que ellos lo tramitasen a través de la policía o guardia civil)
Porque estos cuerpos suelen ser mucho más efectivos. Otra cosa es que tengan mucho trabajo y prioricen.

#38 Impresionante. Se dedican a acusar a una persona y ni siquiera son capaces de decir de qué se le acusa.

#2 Yo tengo una raspberry pi conectada a internet. Estoy seguro que si un hacker de verdad quisiera acceder no tardaría mas de 1h, aprovechando alguna vulnerabilidad existente. Y sinceramente, mientras funcione nunca miro los logs.

#12 Bueno, si te hubiera amenazado Errejón lo mismo lo investigaban...

PS: En todo caso creo que es mejor denunciarlo en el juzgado, porque en la policía suelen hacer su propia criba de denuncias.

#1 yo prefiero esta imagen para que se entienda ...

#2 ¿Hasta qué punto puede mentir un ingeniero acusado en un interrogatorio judicial?

#77 El acusado, sea ingeniero o no, puede mentir lo que le salga del nabo. Quien no puede mentir es un testigo.

osti tu lo de 'Phineas Fisher' y los mosos, ¡ya ni me acordaba de la que lio..
https://en.wikipedia.org/wiki/Phineas_Fisher

aun lo están buscando y no lo van a encontrar... poca broma con él
hasta anunció en la Vice cuando los mossos dijeron a bombo y platillo que lo habian detenido que estaba ok y estaban deteniendo a otra gente para tapar su incompetencia

https://www.vice.com/en/article/3dpkp3/phineas-fisher-raids

Hours after the news of the arrests and raids were reported, Phineas Fisher, using the same email address they had been using for the past few months, sent an email claiming they were still at large.

"I think the Mossos just arrested some people that retweeted the link to their personal info, or maybe just arrested some activisty/anarchisty people to pretend they are doing something," Phineas Fisher,

se ha de ser hijodeputa cargarle el muerto a estos 3 pq son los únicos que han relacionado con el asunto por tener un proxy

#2 No soy ninguna experta, después de leer esto, tengo unas dudas:

Un 'proxy' es simplemente un servidor que hace de intermediario entre dos peticiones de sendas máquinas conectadas a internet. Tiene múltiples usos, algunos relacionados con el anonimato en internet, otros como una manera más de control del tráfico web, instalar o saltarse ciertas restricciones, etc.

¿Desde cuando un proxy garantiza "el anonimato" (siempre pensé que eso lo hacía una VPN que codifica tu conexión, algo que el proxy no hace)? Siempre creí que un proxy es un servidor intermediario entre tu navegador (IP) y la que quieres acceder y es útil en caso de que quieras acceder a contenido al que por su geolocalización no tienes acceso. Digamos si yo quiero acceder a una página de EEUU que tiene bloqueados a los usuarios europeos, puedo acceder a esa página a través de un proxy que dé a entender a la página de EEUU que estoy en una zona sin bloqueo.

Algo que es relativamente sencillo: buscas el proxy que quieres utilizar (datos del proxy en Internet) y pones esos datos en tu navegador indicando que quieres navegar a través de ese proxy. Esto no te garantiza ninguna seguridad y no debes alojarte o dar ningún dato (e-mail, etc.) ya que estás navegando a través de otra conexión y no está codificada.

Un VPN sí que tiene codificación, pero es a través de pago y tienes que ser consciente de que la compañía que te contrata este servicio a pesar de asegurarte la codificación de los datos, puede dar esos datos a terceros si sospechan que estás haciendo algo ilegal.

Esto es lo que creo yo en mi gran ignorancia del asunto.

Seguro que en mi comentario hay muchos errores, aún así soy consciente de que nunca instalaría un proxy para trabajar en remoto, precisamente por la falta de codificación (encriptación) del proxy. Aunque a lo mejor estoy equivocada. No soy ingeniera y no conozco esto demasiado.

#FreeAssange

#57 Dijiste:
“¿Desde cuando un proxy garantiza "el anonimato?”
Sin ser un experto… si no guarda logs de quien lo usa al final puede ser anónimo (es como usar el wifi completamente abierto de alguien)

#58 ¿Sabes si nunca puede guardar logs de quien los usa? Pregunto con la mayor inocencia porque no tengo ni idea.

#Freeassange

#61 ni zorris, sé que en Linux puedes hacer un seguimiento total de quien entra, qué mira, a qué accede, cuánto tiempo está, qué ha tocado/modificado, etc (en wx entiendo que es lo mismo o con ciertas herramientas sería lo mismo)

#62 Es que si es así, técnicamente un proxy no garantiza nunca el anonimato.

#FreeAssange

#11 Pero con el tema de conectarse a un Wifi ajeno para cometer un delito ha ocurrido ya muchas veces... De todas maneras no es buena idea montar un proxy público, ni un relé de salida de Tor, a nivel legal puede haber problemas.

#98 Muchos de los responsables de seguridad sólo piensan en su ombligo, sin evaluar las necesidades de los empleados, tanto laborales como no laborales.

He trabajado como desarrollador java en empresas como Prisma (los que tienen la tarjeta VISA en Argentina), donde mi computadora no tenía acceso a internet de ningún tipo.
Ni para buscar errores en google, ni para descargar dependencias, ni para capacitarse, nada.

Todo sea en pos de la seguridad.

Así funcionan los sistemas de VISA en nuestro país.

#9 Muy fácil: primero se instala un proxy con cualquier herramienta que hace el deploy automático y te instala todo.

Segundo se comprueba que funciona y se usa.

Problema? Que si pasan 8 años pues probablemente los standares de seguridad hayan cambiado bastante y las vulnerabilidades que hayan salido serán también unas cuantas.

Esto responde perfectamente a instalo y uso para mi uso particular, y como no espero que nadie más tenga que usarlo ni me preocupa la seguridad no actualizo nada en esos 8 años

#44 A los fiscales hay que pedirles que sepan de leyes, obviamente, y también que sepan del tema que estén juzgando. Lo de los asesores es una mierda pinchada en un palo que nos clavan los del gobierno para tener la excusa cuando no tienen ni p*ta idea de lo que están haciendo.
¿O tú ves que las cajeras del mercadona tengan asesores de contabilidad porque ellas lo que tienen que saber es pasar los productos por caja?
Que luego pasa lo que pasa, alguien comentó recientemente en una noticia de la DGT que le pusieron una multa con un detector, él pudo demostrar con matemáticas que el ángulo del detector podía haber pillado otros coches, y el juez concluyó que eso de las matemáticas era sólo una teoría.

#116 Gracias por las indicaciones y la información.

#FreeAssange

#121 Muchísimas gracias por la detallada información. Guardo tu comentario en favoritos. Me encanta aprender este tipo de cosas.
Pena que no te pueda poner 20 votos.

Un saludo.

#FreeAssange

#147 Internet es muy mala, seguro que pones como saltarse el firewall de tu empresa y te pone los comandos copy pegui para hacerlo tu mismo

#1 Se sabe qué software era el del campus virtual del que dicen que consiguieron los datos?

Por cierto, vaya ingeniero que tenía el proxy abierto a cualquiera .... ¿había hecho un proxy http en lugar de usar proxy socks por SSH restringido por IP y con intercambio de llave para acceder?

#91 Claro, alquilas un servidor donde quieras, montas un proxy y ya puedes navegar a través de él. Si está bien configurado, tu proveedor de internet solo ve tráfico a tu proxy y no qué webs visitas, y las páginas que visitas no concen tu dirección, solo la de tu proxy.

#121 Si te conectas a google con un proxy, el proxy no puede saber tu usuario y contraseña, porque la comunicación va cifrada desde tu navegador hasta google. Luego puede haber otras capas de cifrado encima.
El proxy si sabe tu dirección IP, y a donde te estás conectando, eso sí, pero no el contenido de tu tráfico.
Si sale el candadito en tu navegador, el contenido de la conexión no se puede leer.

#5 ¿y bien?

"por tener encendido un ordenador en casa", de los creadores de "por hacer una manifestación", "por amor" o "por conducir". Benditos titulares.

#63 _{me lo has quitado del teclado...}

#64 Si el proxy es ya tuyo y tienes permisos o los has escalado, puedes desactivar los logs o simplemente borrarlo.

#91 Te haces una cuenta en un proveedor de nube te creas una MV y ahi puedes montar lo que quieras. Registras un dominio o directamente configuras la ip en tu navegador y lo tienes.

#98 ¿De acuerdo con qué sentencia? Yo no veo que la noticia hable de ninguna sentencia. ¿Y cómo puedes estar de acuerdo con que se proceda contra estas personas por un delito doloso, si al mismo tiempo crees que lo que hicieron lo hicieron porque pensaban "que las políticas de seguridad están para fastidiar a los que quieren leer el marca"?

#45 Sí llegó al juzgado, me llegó una notificación para que me ratificara o no con la denuncia.

#71 #76 #79 #82 Ignorad mi comentario que no había entendido bien la noticia. Pensaba que el proxy estaba conectado a la intranet de los Mossos y los atacantes habían robado los datos colándose por ahí. Ahora veo que los atacantes solo usaron el proxy para publicar los datos. Entonces efectivamente el ingeniero no tiene responsabilidad alguna.

#99 Ni con un proxy

#52 si el atropello es en tu finca y no hay rastro de que te hayan entrado a robar hay indicios suficientes para que tengas que pasar por juzgado.

Edito: Siempre y cuando no se trate de un mero accidente, claro.

#28 la culpa de todo la tiene Yoko Ono

Es que vaya con el titular. No "por dar o posibilitar acceso a datos sensibles" o "instalar un software para acceder desde su casa a información protegida"... no. "Por tener un ordenador encendido en casa".
Entonces, yo que lo tengo encendido ininterrumpidamente desde que lo compré, no hay años para condenarme...

#102 No sé donde vi que si te hurtaban una herramienta potencialmente peligrosa (no habías puesto las medidas necesarias para custodiarlas e impedir que alguien se las apropiase) podías tener una cierta responsabilidad

En cuanto a que lo que atañe a los seguros, solo veo esto.


https://www.autobild.es/practicos/cubre-seguro-no-caso-te-roben-coche-403879

El seguro cubre el robo, no el hurto

Lo primero es tener claro qué robo y hurto no son sinónimos y que las compañías de seguros solo se dan cobertura en caso de robo.

robo es cuando se utiliza la fuerza
hurto cuando no la hay

Por ejemplo, si te roban el coche y para ello te rompen la ventanilla se considera robo, pero si se lo llevan porque por despiste al ir a repostar has dejado las llaves puestas no será un robo sino un hurto. En el primer caso tendrás el apoyo de la compañía de seguros; en el segundo, no.

#98 #126 Joder, vaya caraja.
Mis disculpas y ya voy encargando el oscar a la peli que me he montado.

#3 Soy responsable se seguridad de una empresa y he trabajado en muchas. Si un empleado necesita para su trabajo acceder a vídeos técnicos, se evalúa y se concede o no. Aquí hay un ingeniero, que se ha creído el más listo del barrio montando un agujero de seguridad en su empresa, por algo se controla por donde navegan los empleados, y encima le ha dado barra libre a los “malos” para que se aprovechen se ese proxy. Bravo por la sentencia, estoy totalmente de acuerdo con ella. Así la gente aprende que las políticas de seguridad no están para fastidiar a los que quieren leer el marca, y que si no sabes torear, no te metas al ruedo.

#5 NAS = Network Attached Storage = Almacenaje externo conectado en red. Es una cuestión de términos, pero no hay nada terriblemente incorrecto en esa frase.

#54 según la noticia fue una inyección sql por lo que el proxy no afecta en nada.

#3 O por lo menos haces que solo escuche en localhost y te conectas mediante un tunel ssh (suponiendo que tenga el ssh al dia).

#1 gracias pero a esos les enseñé yo

#90 ¿Puedes tener un proxy? Es decir comprar un servidor extranjero para redirigir el tráfico de tu navegador... Lo pregunto con total curiosidad, ya que no tengo ni idea.

#FreeAssange

#3 Para eso están los logs, esos pequeños archivos que nunca se miran hasta que peta algo.

#77 Mucho?

#3 Log, se llama simple log, y nunca está de más.

#22 Los ingenieros mecánicos que conozco no son mancos. La telemetría hay que procesarla, y no se hace con una llave inglesa, ni con papel y boli.

#98 Espero que lo de que eres responsable de seguridad sea un invent. A cualquier responsable de seguridad le resultaría raro que alguien haya montado un proxy web para limitar la navegación y se le haya olvidado montar un firewall para impedir que lechones conecten al ordenador de su casa donde tienen un proxy. He conocido profesores de instituto que con pfsense han montado cosas mejores que la deben tener allí y que tienen más celo profesional por la seguridad de la que tu aparentas tener.

#130 Ese es el nivel

#146 Hombre, no lo es de informática (viene) pero si se ha montado toro ese chinringuito (algo que yo nunca he hecho por ej) y no es capaz de imaginar lo que puede ocurrir desde allí me parece que no tiene dos dedos de frente (que siendo ingeniero debería tenerlos)

#56 Al menos pretendo sumar 2 y 2. No sabré hacerlo, pero me buscaría las castañas hasta donde fuese posible.

#55 El tema está en que si ese ingeniero no protegió mínimamente ese proxy, no existe el hackeo.
Es el equivalente a tener una wifi sin contraseña...
Y sí, tenemos el CP que tenemos.

#105 Hummm, pido el comodín del abogado.

#117 Pero, digo yo, ¿Eso no tiene un control de acceso?

#122 Yo no he acusado de eso en ningún momento. Sí puedo decir "ya te vale", pero no digo que eso sea delito.

#119 Esto... estaba hablando de hacer la instalación de un programa para acceso externo, punto. Lo de hablar de justicia está fuera de mi comentario.

#108 En todo caso, no funcionan, ¿no?

Ahhh nuestro amigo Phineas Fisher seguro que usó una cadena de proxy's, tonto no parecía. Sigan buscando