ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]

1Rodolfo dijo el 22-8-2008 a las 23:05:

Todo se traduce a incompetencia del segic, que por lo demás, es como volver al año 80 en términos de vanguardia tecnológica y desarrollo.

-1ricardo dijo el 22-8-2008 a las 23:10:

puedes subir la base de datos a algun lugar interesante

-2Contemporaneo dijo el 22-8-2008 a las 23:21:

Los de informática de la USACH se ganaron un gran CUACK.

2dasinflames dijo el 22-8-2008 a las 23:24:

lector de hace un par de años del sitio y va bajando el nivel.
el asunto es bien simple; se encontro un problema, se publico la situacion, se dio acceso publico a la informacion que no debia ser publica y ahora se excusan de ello.
entoces, haciendo la cuenta, condoro de la usach y de FL (FayerLUN)

ahora, siendo mas personal el comentario:
soy de la USACH, voy en 4° de electrica y todos los usachinos sabemos que la administracion de la usach es una verdadera mierda.
ademas, SEGIC va de mal en peor, ya que cada vez hay mas problemas. y para que hablar d la acreditacion la universidad.
tampoco hablar del petitorio interno (para los entendidos, sabran que tiene que ver con fisica).
ahora, pensando un poco mejor las cosas, en este instante no sale en algun lugar de la pagina de la usach sobre este incidente y, aparte de la pertinente excusa que se DEBE hacer al alumnado de la usach, creo que esto debe ser el puntapie inicial para mejorar la gestion informatica que tiene la universidad.
claro, puedo seguir hablando de las mil y una yayas que tiene la U en materia de intranet, pero estaria cayendo en el mismo condoro que estoy posteando… por algo no puntualizo los problemas.
y finalmente. ponganse un rato mas al sol los que hacen criticas acidas a la universidad, la calidad de alumnado y eteces varios.
como saben… pasa hasta en las mejores familias xD
PS: FAYERWAYER, SE ME CAYERON DEL PEDESTAL.

3gonzalovalenzuela dijo el 22-8-2008 a las 23:30:

se podrán acabar las piedras, pero jamás se acabarán los weones….

1coco dijo el 22-8-2008 a las 23:43:

OFF TOPIC

@gonzalovalenzuela
anda a acostarte mono rq q magnana te toca duro!

1GotenCool dijo el 23-8-2008 a las 00:04:

Como siempre, el responsable de todo esto es el Segic, ente de la Usach encargado de la seguridad y la gestión informática, quienes no son más que simio conectando cables de red de un lado a otro.
Hace ya uno meses existió otro problema de seguridad, no hallaron nada mejor que bloquear algunos puertos, incluyendo los empleados por los DNS, resumen: nadie podía resolver direcciones y los servidores DNS dentro de la U no eran otra cosa que pisa papeles.

2GotenCool dijo el 23-8-2008 a las 00:08:

@Contemporaneo

En realidad el Segic es el encargado del tema de la gestión informática, esta conformado por ejemplares de toda la fauna universitaria chilena, así que los informáticos de la Usach poco y nada tienen que decir, entre ellos me cuento.
Para los que sabemos como funcionan las cosas en Segic, muchas veces hemos tenido que lidiar con su incompetencia.

1bucheffiano dijo el 23-8-2008 a las 01:10:

muy pero muy mala la manera de manejar la noticia chips, contactense con las autoridades respectivas y luego de eso, condenemos y/o festinemos con tamaña estupidez, pero esto es caer muy bajo

0Alvaro dijo el 23-8-2008 a las 01:42:

La info quedo en la cache de google, se puede ingresar incluso a los txt. La mensaca.

0J dijo el 23-8-2008 a las 01:58:

@Alvaro, ¿seguro? Si no tienes acceso al servidor no podrías ver los txt… explícate.

-2Francisco A. Redard dijo el 23-8-2008 a las 03:36:

Mal por FW al difundir esta info…

El curso natural-no-mala-clase sería:

1.- Avisar a la USACH (y a Google si es posible).
2.- Esperar a que esté arreglado.
3.- Publicar la noticia con imágenes filtradas.

Encuentro demasiado mala clase este artículo de parte de FW. Se cayeron muy feo muchachos.

Saludos.

-2Luis de Temuco dijo el 23-8-2008 a las 04:09:

No entiendo de qué se quejan que el curso de acción tomado fue el incorrecto. La estrategia de “publico cuando lo arrgelen” es esencialmente lo mismo que hacen las empresas antivirus en colusión con los creadores de virus. Éticamente es impresentable avisar al público solo cuando (y más importante, si es que) el problema está arreglado (o más comúnmente, parchado). Después de todo, si la información estuvo tanto tiempo disponible significa que las prioridades del segic eran no las de proteger la información, sino las de no pagarle sueldoe xtra a un empleado para que agregara un .htaccess.

El curso de acción que se tomó, lamentablemente, es el correcto. Aunque mejor desde el punto de vista de “servico al público” hubiera sido 1) publicar que existe un problema (pero no publicar el problema); 2) avisar a la Usach mostrando la noticia; 3) esperar a que se solucione el problema (usando la noticia como propelente ético de que se haga) y 4) publicar el problema. A estas alturas, da igual… Bruce Schneier estaría orgulloso de ustedes.

-1J. Orango dijo el 23-8-2008 a las 05:02:

Coincido plenamente con Luis de Temuco. Artículos como éste son los que necesitamos a diario. El inserto de L. Prieto debió ir al pié del artículo. Más parece censura que actualización. En fin, creo que necesitamos personas como Alex para que la comunicación realmente sea efectiva y no sujeta al habitual doble estandar y censura a la que muchos parecen ya estar adoptando.
Saludos.

2Francisco A. Redard dijo el 23-8-2008 a las 11:42:

O sea, que ustedes dos están dispuestos a PONER datos de gente que no tiene culpa de tamaño error ante cualquier persona (que les recuerdo, incluye tanto personas que son capaces no mirar los datos y sólo la noticia, como gente que mira, usa y distribuye dicha información). A poner información que está MUCHO MÁS EXPUESTA QUE ANTES? Por qué? Porque se expuso ante la comunidad que, en muchos casos, CONOCE a esa gente y la tiene al alcance (para bien o para mal). En estos casos no puedes pensar “ah, pero si nadie va a usar esos datos para nada malo”.

Yo concuerdo con la teoría de don Schneier, porque es totalmente cierto el hecho que una vez que están en dominio público, hay un 99.9% (quizás menos, no sé) de probabilidad que alguien lo sepa de inmediato, PERO eso no excusa la vía correcta de hacer las cosas. Luis tiene razón en el cauce de los eventos, y si te fijas, lo tuyo es un poco más restrictivo. Con el sólo hecho de no poner alguna forma de acceder a ellos.

Siendo bien rebuscado (pero no menos probable, lamentablemente), no se sabe qué psicópata lee esa info. Yo diría que las mujeres que están expuestas ahí están igual o más que las de Failbook.

Yo no defiendo bajo ninguna luz el cauce que tomaron en FW, porque la noticia se pudo haber publicado de todas formas, pero insisto, la METODOLOGÍA seguida no fue la correcta a mi gusto, tal como han señalado muchas personas. Hay que ser periodistas, no peridiotas.

Saludos!

5knox dijo el 23-8-2008 a las 12:16:

Esto es un error grave. Conozco a la gente de SEGIC y no son simios conectados a los servers, son gorditos nerds y computines como el 80% de la gente que entra a este sitio. La cagaron, pero no creo que despidan a nadie por esto… en serio.

Corrijan el nombre del Editor del portal se llama Denik Carrasco, no Denisse (que poco rigurosos con la información).

Me sorprendió la primera respuesta de Mr Chips, estaba como poseído por satán, pero veo que recapacitó y volvió a ser el buen Mr Chips.

Lo último, toda esta situación es muy desagradable, y me parece súper penca que todos los tipos frustrados porque no les dio el puntaje para entrar a la USACH se agarren de esto para tirarle bronca a una de las buenas Universidades del país. Universidad a la que, por cierto, tienen acceso los mejores alumnos de los quintiles más pobres de la población.

3FitoNitroso dijo el 23-8-2008 a las 12:29:

aqui la culpa tiene un sólo nombre

SEGIC!

2FitoNitroso dijo el 23-8-2008 a las 12:30:

@knox: Yo tambien conozco a la gente del Segic.. y de muchas maniobras brujas que ahí se hicieron hace un lustro atras.

-3J. Orango dijo el 23-8-2008 a las 13:05:

@Francisco A. Redard
Psicópata? Curioso que afecte de esa manera a algunas personas el mentado artículo y vean fantasmas donde no los hay. Lo cierto es que no veo para nada una situación apocalíptica dar a conocer datos que en general son ya de conocimiento público. Desde el tiempo de la dictadura que no veía a personas “perseguidas” por cualquier cosa que modifique el status quo del día a día. En resúmen: las noticias hay que darlas a conocer tal cual son conocidas de primera fuente y evitar ante todo filtrar o censurar el contenido de éstas aunque por ello un grupo minoritario se vea afectado directamente y no sólo por el hecho de conocer información que desconocía sino por el impacto que significa reconocer la realidad.

0Luis de Temuco dijo el 23-8-2008 a las 14:43:

@Francisco A. Retard:
No, no estoy dispuesto a poner datos d egente como tu dics. Por favor tómate el tiempo de leer con calma y con un diccionario en la mano mi post si te hace falta. Lo que he indicado es que había mejores opciones, pero en nuestra realidad, donde los problemas sólo se parchan (no solucionan) cuando ya hay daño (no cuando hay conocimiento), la decisión tomada fue éticamente, no utilitariamente, la correcta.

En casos como éste hay mucho que sopesar para cualquier medio periodístico serio, en particular con una línea editorial informática: el “posible” daño a personas que ya han sido “dañadas”,la posible o segura distención entre la autoridad competente y la autoridad normada para efectuar las correcciones, el interés del público general y el significado de no haber publicado la noticia. Coincido en J. Orango en que ahora la gente se anda sintiendo perseguida por cualquier cosa, cuando los perfiles publicados ya eran públicos y han estado disponibles quién sabe cuánto tiempo (y no solo de esa fuente). Y coincido contigo (Francisco) en que la metodología no fue la correcta, solo el proceso lo fue.

Como siempre sucede cuando hay conflictos de información, existen demasiadas rutas a seguir, cada una con ventajas y riesgos inherentes a la información. Se tomó una alternativa que busca proteger contra casos futuros, a costa de un daño extra marginal al aplicado en este caso, y se hizo de manera éticamente correcta. Estando en el país que estamos, teniendo la tecnología y los empleados del SEGIC que tenemos, no podría esperar nada mejor…

0Javi dijo el 23-8-2008 a las 19:15:

Lo penca es que los que salen de la usach son buenos [no como dice Limon], pero los que trabajan son taan poco eficientes… No lo digo por todos, pero son bastantes los casos…

Igual soy feliz siendo de la Usach… aunque deben haber salido mis datos xD

0dario lopez dijo el 23-8-2008 a las 20:55:

soy de la usach, realmente me averguenza esta situacion.

2J dijo el 23-8-2008 a las 23:50:

Lo más estúpido sería que el público discutiera por tal o cual forma de manifestarse FW…..

y lo otro estúpido sería que le echen mierda a la USACH, siendo que en estos tiempos todos esos servicios se los dejan a empresas externas…

soy de otra u, pero se que USACH es buena y no tiene nada q ver su prestigio con q le haya pasado esto, a cualquiera le puede tocar.

Y pa finalizar, las discusiones debieran ser del tipo inseguridad de información, tal como lo hace el autor del blog que escribe el artículo original (no los de FW), no así discusiones de cómo actuó FW o el prestigio de la universidad.

1Luis de Temuco dijo el 24-8-2008 a las 01:17:

Pues si hablamos de inseguridad de información, a grandes rasgos está dicho. Mala configuración, o falta de configuración, de al menos cuatro niveles de acceso a los datos del servidor, eso sin contar que esos datos nunca debieron estar en la interface pública de ese servidor ni haberse almacenado con ese formato para empezar.

Lo mínimo que pides a un potencial empleado cuando lo vas a contratar para procesar datos que requieren privilegios de acceso no es sólo que que tenga un dominio básico e las tecnologías (htaccess, SQL, chmod, qué-se-yo) sino que también tenga experiencia en procedimientos estándar de protección de datos. O sea, al menos otros dos niveles más de error por el lado “humano” y unos cuantos más por le lado de “recursos humanos”, empezando por las condiciones de contratación. No hablemos de los posibles sueldos que reciben los empelados del SEGIC, que no les alcanzan para, en el caso más simple, agregar 15 caracteres a un archivo de texto.

Y de ahí para adelante ya me empieza a dar pena hablar. Estamos hablando de un accidente que fue ocasionado por una cadena d eal menos 10 errores, cada uno de ellos en un core competence específico que debía ser atendido. O sea, un orden de magnitud más que cualquier condoro doméstico.

0Francisco A. Redard dijo el 24-8-2008 a las 10:11:

@J. Orango: Hola. Sólo te puedo decir que estás apuntando el lado optimista y no-crítico de lo que dije. Si fuese así, nadie protegería datos personales como se hacía, al menos, hace algunos años. O me vas a decir que acaso la violencia familiar, los homicidios, violaciones, y cosas así, son cosas mitológicas? Sólo porque no ha ocurrido en tu “vecindad” (radio pequeño de redes de contactos), no implica que no ocurra. Ningún sacrificio vale la pena cuando siempre hay una forma de evitarlo. Por Dios, qué ética predicas tú? Además, no hablamos de censura en escencia, hablamos de saber cuándo es el momento de publicar la información correcto. El que pongas la información de esa gente al descubierto (donde yo recalco que no agrega valor al artículo en sí), no hará que tu articulo sea algo revelador ni magnificente. Entonces, hablamos de “medir”, no “censurar”.

@Luis: Hola. Primero, ese no es mi Apellido… Al parecer también tienes que darte un poco más de tiempo para escribir mejor. Segundo: partiendo desde tu post donde dices: “lo mismo que hacen las empresas antivirus en colusión con los creadores de virus”. Algún link que afirme eso? Porque no es algo menos importante. Ahora, si hablas de que hay empresas que ofrecen servicios de Antivirus que pagan a programadores para que encuentren formas de romper la seguridad que ofrecen sus productos, estamos hablando de cosas muy distintas donde no concordamos. Y lo escencial: sí, hablamos de metodología que entra en lo que es ética profesional que implica una línea editorial. No es el fin del mundo por este error, pero hay que hacerlo notar BIEN, porque a algunas personas (Mr. Potatoships) les cuesta entender algunas veces que se equivocaron. Algunos pueden señalarlo mejor que otros, pero bueno. Hay de todo en la viña del Señor, no?

Por otro lado, también concuerdo que no es problema (solamente) de quienes trabajan en el SEGIC, si no de quienes ponen en sus manos la información. Nadie le pasa una tetera con agua caliente a un niño de 3 años, verdad? Es mucho más difícil medir la capacidad de una persona en su puesto de trabajo, pero quienes estén encargados de eso, fallaron también. Y así, como dices Luis, se va agregando errores a la cadena de “fail” en este asunto.

Saludos!

0rodrigo pino dijo el 24-8-2008 a las 23:41:

errar es humano…. un pastelazo se lo manda cualquiera. Pero creo que en los tiempos de internet , con hacks , troyanos y que se yo dando vuelta en la red , los responsables de la administración de la web en cuestión deverian ser un poco mas cautos en los permisos de acceso de cada directorio publicado en la web.

Yo me he mandado varios cagazos con chmod pero en sitios personales, cuando es “trabajo” reviso bien porciaca …ya que un error y quedas como chaleco de mono y como ésto mismo, los errores se difunden mas rapido que los logros.

Por lo menos ojalá sabiendo de este error de seguridad hayan hecho una auditoria como la gente de sus sitios, muchas universidades de la REUNA hasta hace un tiempo era un chiste sus servidores, entrabas muy facil ….en varios circulos se leía si quieres aprender prueba en las 146.83.xxx.xxx o las 152.54.xxx.xxx ya que era extremadamente sensillo entrar.Hablo de los buenos años de IRC ya que ahora la seguridad ha evolucionado “un poco” pero es un chiste que cuentas creadas hace mas de 5 años esten todavia activas y sirviendo archivos brujamente.

Bueno saludos y admins se sistemas que les sirva para mejorar sus sistemas y cada cierto tiempo tratense de ser chicos malos con sus propios servidores para ver cuan promiscuos están.

Saludos

0Luis de Temuco dijo el 25-8-2008 a las 01:41:

@Francisco Redard: primero, pido disculpas por lo del nombre. La mala costumbre de andar corrigiendo a plastas y poke-emo-lais en sitios como ElAntro donde ese término se usa mucho… No puedo creer que se me escapó. Mis públicas disculpas.

Sobre lo de los antivirus: por supuesto que no tengo un link. ¿Qué clase de conspiración sería si encontraras evidencia sustentable en Google? Simplemente hago lo que cualquier pensador lógico: asocia Doctrina de Monroe, falsa seguridad por medio de la eliminación de privacidad, y mercado capitalista basado en la venta de servicios parciales asociadosa bienes inferiores. Después de todo la “mano invisible” de Smith trabaja mejor cuando hay un “brazo invisible” que la mueve. En lenguaje lego, los gringos son y serán gringos. Y por cierto, si buscas información verás que algunas compañías AV trataron (y tratan) de contratar a los autores de Sasser, Melissa, etc…

En cuanto a lo demás, desgraciadamente pasamos del punto de fallo máximo hace rato, ahora solo se considera el resultado de las acciones. Se puede decir “se hizo mal” (los aserruchadores nunca faltan), pero lo que falló fue la aplicación de la parte utilitaria de la metodología (necesidad y logística), que usualmente cambia para mejor con cada error. Considerando que sólo se agregó un daño marginal, creo que es significativo que quede el precedente y que a futuro en casos similares FW haga las cosas en un orden más adecuado.

Lo de la cadena de “fail” fue algo sublime, tengo que decirlo. Mis saludos.

0JarDisk.com » Blog Archive » Recordando acontecimientos pasados dijo el 25-8-2008 a las 04:28:

[...] una filtración en desde la paina de la [...]