 |
|
 |
 Diez horas ha tardado la web de la presidencia española en la Unión Europea, www.eu2010.es en sufrir un "ataque" de seguridad. No está claro del todo lo que ha pasado. El gobierno dice que fue una broma, HOAX, que con un fotomontaje se publicó en una web con dominio parecido. Por otra parte en la comunidad más frikie ya hay diversa información técnica acerca de lo que ha pasado. Los que trabajamos en seguridad somos un poco como magos. No está bien decir los trucos, aunque evidentemente el que escribe no los tiene sobre este affaire. Yo me dedico a la gestión de la seguridad, no a los aspectos puros técnicos. Pero a pesar de ello basta con darse un paseo técnico por la web para descubrir evidentes bastante fallos que hacen al sistema super vulnerable. No son nada del otro mundo. En realidad aspectos básicos para quien desarrolle una web con contenidos que hay que proteger de manera especial. Un ejemplo de estas vulnerabilidades, es que sigue estando activa la página de administración de contenidos. Con lo sencillo que seria hace un control IP de la máquina/s que controle los contenidos de esta web o una configuración en Apache para evitar un cuarto acceso. El SSH (mejor no lo cuento), el HTML injection (mejor tampoco...). Detrás de este servicio tan delicado: Amazon web services, un software opensource de gestión de contenidos, un montón de listados por formularios... Nos preguntamos...¿dónde se han gastado los 12 millones de euros?.  Fuera de aspectos técnicos lo que me llama la atención de esta anécdota es la elección del personaje. Mr Bean es un señor advenedizo, un tanto anodino. Un ejemplo cómico de quien ser ser nadie, puede llegar a ser otro. Pasea por la acera y lo confunden con un famoso, trabaja como camarero y se piensan que es el primer ministro. Alguien lo confunde, y él adopta esta nueva personalidad. Es el claro ejemplo de la seguridad en la privacidad, en el tópico de la usurpación de la identidad, buscada o encontrada. Por otra parte lo que ha pasado nos puede ayudar a comprender mejor el concepto de seguridad de la información que es la suma de tres variables. En realidad el problema ha sido de integridad, ha "aparecido" un contenido en Internet que no está relacionado con la "verdad". Ese señor no es nuestro querido Zapatero. Por otra parte, si realmente se modificó el código de una web está claro que fue por un problema de control de acceso a algún servicio, un fallo sobre la confidencialidad. Y por otra toda este anecdotario ha hecho que la web reciba millones de visitas y actualmente la web tiene problemas de disponibilidad. Independiente de cuales han sido las vulnerabilidades y de quien es o o la culpa, otro factor de seguridad es la imagen. Por un problema de seguridad la imagen se ve perjudicada, y ésto valga la redundancia es también seguridad de la información (la imagen es un activo) Esperemos que nadie se le ocurra definir un ROI con el número de visitas, porque seguramente estos días este website será el más visitado de España. Señores del Gobierno, cómprense la ISO 27001 y la ISO 27002, 12 millones de euros dan para mucho! Al menos que lean los ya cientos de post que hablan sobre las vulnerabilidades y que se solucionen lo antes posible. Nuestro equipo está a su disposición para echarles una mano. 
|
TEMAS EN CALIDAD TIC
ULTIMOS ARTICULOS PUBLICADOS
|
|
