La vulnerabilidad que presenta el portal web del Gobierno de la Provincia del Chubut (www.chubut.gov.ar), lo ubica como objeto de los “hacker” para ser usado como canal de venta del reconocido producto farmacológico denominado “Viagra”. El sildenafilo (compuesto UK-92,480) es un fármaco utilizado para tratar la disfunción eréctil y la hipertensión arterial pulmonar. Esta vulnerabilidad ha sido detectada por especialistas en seguridad informática; y los informes han sido presentados ante los responsables de administrar la web oficial. Sin embargo, para los especialistas que han tomado el tema es “poco lo que se ha hecho”; razón por la cual, aparece “otra vez la Viagra en el sitio del Gobierno del Chubut” afirmó Daniel Dieser; autor del informe elevado.
Daniel indica que “esta afirmación no es de ninguna manera una postura extrema ni paranoica aunque así lo parezca, sino un intento de mejorar las cosas” aseveró. En este sentido señala que “como ya es costumbrela Viagra , que viene peleando fuerte contra los sitios gubernamentales, vuelve a dar rencilla al gobierno Chubutense”. Sin embargo la mayor preocupación se sustenta en la falta de atención que los responsables de administrar el portal de gobierno le estarían dando a la cuestión seguridad de un sitio que contiene “datos sensibles” sobre la actividad pública del Estado Provincial. En este sentido indicó que luego del reporte que se hizo “hubo un mero intento de mejora, y aunque nunca nos dieron ni lo mínimo que son las gracias” sostiene. De todos modos asegura que “me puse contento de que se intente mejorar aspectos de seguridad, y una menara era empezar por solucionar ese fallo de seguridad, que permite a delincuentes incrustar promociones de Viagra y otras yerbas” afirmó.
Más allá de las cuestiones de análisis sobre el tenor del problema; el especialista en seguridad informática consideró que “como las buenas intenciones en la seguridad informática a veces y casi siempre no bastan, volvemos a encontrarnos conla Viagra bien prendidita de la Web del Gobierno” afirmó. Según sostiene Dieser, “si queremos que estas cosas no sucedan debemos informarlas en tiempo y forma”; como así también “aplicar soluciones efectivas para que el mismo bug no vuelva a aparecer”. De lo contrario “no hemos aprendido la lección o como se dice por ahí volvemos a tropezar con la misma piedra” afirmó.
Al observar el problema que relata el especialista, muestra como aparece en el sitio Chubut.gov.ar viagra; y luego indica como “ahí está la despiadada viagra”; señaló. En este sentido afirma, al realizar la exploración del sitio “vemos como con un simple enlace nos meten las páginas de la viagra y todas las promos que se te ocurran”. Según destacó el especialista esta situación se da en virtud de “la mala moderación del Word Press y la falta de actualización lleva a que nos pase esto” destacó.
Seguridad
El primer informe presentado fue finalizado en agosto de 2011; y lleva la autoría de Daniel Dieser; y contó con la revisión del Lic. Cristian Borghello, quien es Licenciado en Sistemas, desarrollador, Certified Information Systems Security Professional (CISSP) y Microsoft MVP (Most Valuable Professional) Security. En este sentido sostiene que “desde hace tiempo que se viene hablando de las vulnerabilidades de los sitios Web del gobierno argentino; como por ejemplo en el artículo Viagra.GOB.AR, publicado por Segu-Info en febrero de 2011. Según informó el especialista “los ciberdelincuentes buscan vulnerabilidades masivamente para luego automatizar los ataques y en este caso insertar publicidad en el sitio web atacado”. Luego, “se comercializan los productos desde los sitios afectados, que en la mayoría de los casos no efectúan auditorias periódica, llevando al sito al límite del desastre” asevera. Según Daniel Dieser “un ejemplo de esto es Viagra, como muchos otros medicamentos que se comercializan en Internet utilizando sitios web agujereados”. Así mismo destaca que no es el único caso; ya que muestra lo ocurrido con sitio de Comodoro Rivadavia que fue “afectado el 14 de julio de 2011. Por otro lado, hace saber que “si se analiza el código fuente del sitio, se pueden ver cientos de enlaces a sitios con publicidad” como lo demuestra en el caso del portal de Chubut, Las búsquedas que se pueden hacer son muchas y es “necesario hacerlas para detectar con exactitud las partes y código de los sitios que han sido afectados” aseveró Dieser.
Vulnerables
El especialista pone el enfoque en otra de las tareas habituales de seguridad informática que, en apariencia, los responsables del portal del gobierno provincial no estarían realizando. Diser sostiene que “el no hacer la limpieza de metadatos en los archivos o no contar con un programa en que lo haga en forma automática, puede llevar a exponer información que para un atacante puede ser muy útil, ya que de esta manera puede direccionar su ataque prácticamente configurado a medida de la víctima”. De este modo para “obtener información que le permita llevar adelante un ataque casi inmediato y sin rastros” aseveró.
Más allá de las vulnerabilidades encontradas; la preocupación ahora subyace en la falta de preocupación de las autoridades; ya que “todas las vulnerabilidades analizadas en el informe han sido reportadas a los administradores de los sitios respectivos y a ArCERT (unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos dela Administración Pública ) el 13 de julio de 2011” ; sin embargo, hasta el momento están “sin respuesta en ningún caso”.
Finalmente el profesional señaló que se trata de una problemática “que comienza involucrándonos a todos como víctimas y responsables”. En este contexto define “victimas los usuarios y responsables las personas u organismos que no crean políticas para prevenir este grave problema y no obligan a cumplir las leyes y regulaciones argentinas vigentes”. Lo cual “desemboco a reflexionar de manera profunda pero también con un grado de responsabilidad y preocupación como ciudadano, que recurre muchas veces a los servicios Web del gobierno”. En este sentido sostuvo “debemos involucrarnos y exigir la seguridad de todos los sitios gubernamentales” concluyó Daniel Dieser.
Daniel indica que “esta afirmación no es de ninguna manera una postura extrema ni paranoica aunque así lo parezca, sino un intento de mejorar las cosas” aseveró. En este sentido señala que “como ya es costumbre
Más allá de las cuestiones de análisis sobre el tenor del problema; el especialista en seguridad informática consideró que “como las buenas intenciones en la seguridad informática a veces y casi siempre no bastan, volvemos a encontrarnos con
Al observar el problema que relata el especialista, muestra como aparece en el sitio Chubut.gov.ar viagra; y luego indica como “ahí está la despiadada viagra”; señaló. En este sentido afirma, al realizar la exploración del sitio “vemos como con un simple enlace nos meten las páginas de la viagra y todas las promos que se te ocurran”. Según destacó el especialista esta situación se da en virtud de “la mala moderación del Word Press y la falta de actualización lleva a que nos pase esto” destacó.
Seguridad
El primer informe presentado fue finalizado en agosto de 2011; y lleva la autoría de Daniel Dieser; y contó con la revisión del Lic. Cristian Borghello, quien es Licenciado en Sistemas, desarrollador, Certified Information Systems Security Professional (CISSP) y Microsoft MVP (Most Valuable Professional) Security. En este sentido sostiene que “desde hace tiempo que se viene hablando de las vulnerabilidades de los sitios Web del gobierno argentino; como por ejemplo en el artículo Viagra.GOB.AR, publicado por Segu-Info en febrero de 2011. Según informó el especialista “los ciberdelincuentes buscan vulnerabilidades masivamente para luego automatizar los ataques y en este caso insertar publicidad en el sitio web atacado”. Luego, “se comercializan los productos desde los sitios afectados, que en la mayoría de los casos no efectúan auditorias periódica, llevando al sito al límite del desastre” asevera. Según Daniel Dieser “un ejemplo de esto es Viagra, como muchos otros medicamentos que se comercializan en Internet utilizando sitios web agujereados”. Así mismo destaca que no es el único caso; ya que muestra lo ocurrido con sitio de Comodoro Rivadavia que fue “afectado el 14 de julio de 2011. Por otro lado, hace saber que “si se analiza el código fuente del sitio, se pueden ver cientos de enlaces a sitios con publicidad” como lo demuestra en el caso del portal de Chubut, Las búsquedas que se pueden hacer son muchas y es “necesario hacerlas para detectar con exactitud las partes y código de los sitios que han sido afectados” aseveró Dieser.
Vulnerables
El especialista pone el enfoque en otra de las tareas habituales de seguridad informática que, en apariencia, los responsables del portal del gobierno provincial no estarían realizando. Diser sostiene que “el no hacer la limpieza de metadatos en los archivos o no contar con un programa en que lo haga en forma automática, puede llevar a exponer información que para un atacante puede ser muy útil, ya que de esta manera puede direccionar su ataque prácticamente configurado a medida de la víctima”. De este modo para “obtener información que le permita llevar adelante un ataque casi inmediato y sin rastros” aseveró.
Más allá de las vulnerabilidades encontradas; la preocupación ahora subyace en la falta de preocupación de las autoridades; ya que “todas las vulnerabilidades analizadas en el informe han sido reportadas a los administradores de los sitios respectivos y a ArCERT (unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de
Finalmente el profesional señaló que se trata de una problemática “que comienza involucrándonos a todos como víctimas y responsables”. En este contexto define “victimas los usuarios y responsables las personas u organismos que no crean políticas para prevenir este grave problema y no obligan a cumplir las leyes y regulaciones argentinas vigentes”. Lo cual “desemboco a reflexionar de manera profunda pero también con un grado de responsabilidad y preocupación como ciudadano, que recurre muchas veces a los servicios Web del gobierno”. En este sentido sostuvo “debemos involucrarnos y exigir la seguridad de todos los sitios gubernamentales” concluyó Daniel Dieser.
No hay comentarios:
Publicar un comentario