11 diciembre 2014

La administración Española se hace 'Hacker friendly'

Ayer se estrenó en España el portal de la transparencia, una iniciativa gubernamental para que cualquier ciudadano pueda revisar donde se gastan sus impuestos.

Sin duda una iniciativa muy positiva. No obstante, llama la atención lo enormemente descriptivo de los datos. Cuando se revisa una compra, aparecen modelos exactos y el suministrador.

Desde un punto de vista informático, tanta información tiene un contrapunto bastante negativo. Hoy día donde los ataques informáticos han mutado en verdaderas operaciones de espionaje, estudiar el entorno que se pretende atacar es clave y vital para asegurar el éxito.

Gran parte de la planificación de un ataque dirigido (APT) conlleva intentar averiguar las medidas de seguridad de tu 'adversario', por poner un ejemplo: Si alguien quiere diseñar un troyano para atacar una organización, es vital saber con qué modelo de antivirus se va a encontrar para anticiparse y diseñar una pieza concreta que pase inadvertida.

Al hilo del portal de transparencia, me ha dado por buscar 'Antivirus' y he obtenido un listado bastante completo de las soluciones que emplean algunos organismos:


Si deseamos atacar al ministerio de Defensa, hay que evadir los antivirus de Mcafee o Trend Micro, -bueno es saberlo-

Si nuestro objetivo fuese la Seguridad social y estuviésemos atascados pensando por qué nuestros ataques quedan bloqueados, ya sabemos que tenemos que buscar 'tampers' para IPSs Check Point 


Si hablamos de sistemas operativos, podemos probar una búsqueda de tipo 'Windows' para discernir si nos toca diseñar algo para XP, 7 o Windows 8


En definitiva, es genial saber donde va el dinero del contribuyente, la transparencia es necesaria, pero igual se debería limitar la información técnica ofrecida a un potencial 'enemigo'

11 comments :

Alister Amo dijo...

no te preocupes Yago, seguro que los datos de todos modos son inventados... ;) #ironic

random dijo...

Es genial saber que el dinero del contribuyente se malgasta en inseguros sistemas privativos habiendo alternativas open source gratuitas y muy seguras.

Tratos millonarios hechos con Microsoft y Apple para poner sus productos en todas nuestras administraciones.
Concesiones fraudulentas por doquier. WELCOME TO TIJPAÑA!

Fer dijo...

IIS5?

pepo dijo...

No me extrañaría nada...

/dev/null dijo...

Por eso acaban teniendo esto:

http://transparencia.gob.es/es_ES/buscar/contenido/contratolicitacion/Licitacion_55dbcd64568390211210f908c2132fa5c6e980b5

theyiyibest dijo...

Si, IIS 5, explotable cuanto menos jaja

muriel dijo...

Yo también el mismo día de la apertura y tenía cerrado el 113 con ident ejemplo.... ya veo que han modificado cositas ^^

kr0m dijo...

Hombre, yo pienso que la solucion no es ocultar el software utilizado si no instalsr software que no sea una chapuza, la seguridad por ocultacion NO es seguridad.

JoanJ dijo...

Ostras con un Fortigate...LoL!!

curiosidades de la vida dijo...

Queréis atacar a la seguridad social y hacienda?, es muy fácil, todavía siguen usando internet explorer 8 y java sin actualizaciones.
Por lo menos es lo que me encuentro yo cuando voy a renovar el paro.
Y en algunas ocasiones me cuenta él/la funcionario/ria, no puedo hacerte la solicitud, internet va muy lento.....(jajaja) y yo le digo:
Que extraño, se supone que hay que hacerlo desde la intranet con los programas que tenéis ustedes para gestionar la información......
Funcionario: No, no.... nosotros accedemos desde internet a nuestra intranet,(jajajajaja)......

Hace muchos años trabaje para un organismo público que se conectaba a los servidores y las claves para acceder como administrador eran, nombre del departamento y clave 123456 jajajajaja. (Y claro está, cualquier trabajador accedía desde su casa al trabajo y encima se podía acceder a los datos personales de los trabajadores.....jajajaja)
Y me encuentro una base de datos de 20.000 personas con todos sus datos personales(nº ss, bancos, etc.....jajajaja.(saben, a los políticos les importa todo una mierda porque sus datos no están allí)

Anécdota cuando llamé a uno de los telefonos públicos del gobierno para pedir información sobre unos cursos que aparentemente aparecía en la web.
Robot: Le atiende........
Yo: Buenas tardes........estoy viendo vuestra web y veo unos cursos activos pero que en el siguiente enlace me dicen que no existen, como es posible?
Funcionaria: Esos cursos no son de la web del gobierno...........
Yo: espere que le digo la web, www.gobcan.......
Funcionaria: haber..... no veo nada
Yo: entre en la web, vaya aquí, luego allí........
Funcionaria: no veo nada, seguro que es esa la web y no se está equivocando y viendo otra?......
Yo: ve el banner, en la parte superior de la pantalla a la derecha?
Funcionaria: no lo veo, seguro que está en la misma web?........
Yo: 0_0??
Yo: el banner publicitario, en la parte derecha de la pantalla, lo ve?.
Funcionaria: que es un banner?
Yo: JAJAJAJAJAJ JAJAJAJAJA, (enchufada al canto) JAJAJAJAJA
Funcionaria: hola?.......... está ahí?.......estaa........
Yo: si si, es que se había entre cortado el sonido...
Yo: ve ese recuadro rectangular en la parte superior de la pantalla, a la derecha, está debajo de un texto....
Funcionaria: (a lo mejor pensó que la estaba vacilando). Empieza a gritarme por la cara, No lo veo!!!!
Yo: desde dónde está accediendo como para no verlo??
Funcionaria: pues desde mi INTRANET!!!!!! de donde si no.......
Yo: JAJAJAJAJA ahora si que no puedo más, JAJAJAJAJAJJAJAJA, yo estoy accediendo a internet y con lo cual no poseo la misma información que usted y eso quiere decir que alguien actualizó pero no publicó y por eso no se puede ver en internet.....
Funcionaria: 8(??, que dices........ si se vé los datos en internet........
Funcionaria: uhmm..... que extraño...... por qué?
Yo: 10 minutos al teléfono............... JAJAJAJAJJA.(la jodía sigue accediendo con la intranet)

Moraleja: No invierten en nada, como ellos roban todo lo que quieran, pues no tienen las preocupaciones que tenemos las personas normales...
Desde entonces ya no llamo para pedir información, solo para renovar.

P.D.: Recuerdo hace unos años de unos hackers que habían dicho que la seguridad del e-DNI español fue hackeado en 2 minutos, no me quiero imaginar la enorme base de datos de 45.000.000 millones de españoles más los otros países que aceptaron este método.
P.D.2: Había un server que disponía de hasta información de personas muertas, creo que ese fue hackeada el mismo día jajajaja.

Buguroo dijo...

La administración, como siempre, a la vanguardia tecnológica xD