Así "jaquearon" el CIS
Como han informado diversos medios, los datos del Barómetro de Opinión del Centro de Investigaciones Sociológicas (CIS) del mes de enero aparecieron en un blog un día antes de su publicación oficial.
Se habló de "filtración" e incluso la directora del CIS anunció la apertura de una investigación para esclarecer las circunstancias de la misma, puesto que los datos se hallaban en un servidor "de acceso restringido".
Pues bien; antes de que nuestros cuerpos de seguridad pierdan su valioso tiempo en esclarecer la "intrusión", conviene echar un vistazo a este artículo, donde explican con todo detalle lo que ocurrió: subieron el documento al web del CIS pensando en publicarlo el día que tocaba, pero lo hicieron con una URL totalmente predecible, con lo que el blogger pudo acceder a él antes de lo previsto mediante un simple tanteo.
- 1097 lecturas
Twitter
¡Válgame!
¡Manda wevos!. ¿Cómo pueden pretender que algo que meten en un servidor web, con la única protección de ignorar la url (y más aún si ésta es predecible), permanezca en secreto?. Es que se me funden las neuronas.
Es que vamos, acceder ni siquiera es un ataque o un acto ilícito. Que no tengas el link puesto en ninguna parte no quita que no estés ofreciendo la información al público. Es más, si yo creo un link en mi web que apunte a esa información para que hasta las arañas de google la encuentren, tampoco es nada delictivo (¿Cómo se distingue una pagina publicada voluntáriamente de la que no lo és?).
Si alguien calificó los contenidos como NO PUBLICABLES hasta una fecha concreta (como tenía que ser) y la única medida tomada fue no publicar el enlace a los mismos, los genitales del administrador de esta web deberían haber amanecido clavados en una pica (virtualmente hablando).
Fácil
Se llama seguridad por oscuridad, y es un método probadamente INEFICAZ que de una forma u otra mucha gente usa. Lo aplican principalmente empresas de software comercial (Microsoft entre ellas) que basan su seguridad en la desinformación. Mucha gente opina que es un método válido y suficientemente efectivo. Este caso no es más que otra situación donde se esperaba que nadie accediera a una información porque no sabían cómo, no porque no se pudiera.
Antes de poner el grito en el cielo....
... por "jaquear" estaría bien hacer una pequeña búsqueda en la web.
Por si acaso...
(no soy admin, pero quisiera leer hilos "limpios" de debates colaterales)
Garantizado
Esta vez te lo garantizo ;)
Malditos hackers
Malditos hackers, siempre nos roban información... xDDD
Que lo van a denunciar, por ser mas listos que ellos?
Increíble
Increíble, sin palabras...
país de gañanes
menos mal que no somos una potencia nuclear y en general, que no somos una potencia en nada.
Tipico caso de funcionario
Lo de siempre...
Administración contrata empresa para que les haga una página chula. Piden que sea opensource para que sea mas barato.
Empresa construye portal y lo suministra a los funcionarios que COMO SIEMPRE ignoran completamente todos los manuales y documentacion y los usan como les sale de los cojones... Resultado cagada!!
Y luego echaran la culpa a OpenCms...
El nombre de una publicacion estática no se puede cambiar ya qu elo genera automaticamente, pero lo que si existe es un sistema para definir la disponibilidad e un recurso. Es facil sencillo y viene de serie, se indica que algo no pueda ser publicable hasta una fecha y se program auna publicación automatica para esa fecha.. Facil sencillo y sobre todo seguro..
Pero no, muñon funcionario crea las estadisticas y seguramente otro muñon funcionario publicaria todo el sitio para publicar alguna otra noticia... Inutileeeeeeeeeeeeeeeeeeeeees
Que te habrán hecho los funcionarios...
Da la impresión de que te encontraste a uno en tu casa con tu mujer....
Bromas aparte, yo me decanto a que no se le da la suficiente importancia a la gestión del sitio, ponen a un administrativo (o a un auxiliar) que no tiene suficiente formación ni se la dán, ni por supuesto tiene acceso a esa documentación que comentas.
Mi experiencia me hace verlo desde otro punto de vista... alto cargo o político subcontrata portal a empresa (omito referencias a comisiones) ésta le da un producto y manuales lo mas OFUSCADOS posibles de forma que para cualquier mínima modificación les tengan que volver a contratar a ELLOS por cojones, además se facilita al personal funcionario la mínima información indispensable que para el resto ya están ellos. Después le "toca" a alguien subir la información pero como lo han hecho para tontos cualquiera sirve, no hace falta enseñarle mucho, con que le dé a seleccionar archivo, siguiente, siguiente, publicar.
Solución: un(os) administrador(es) del sitio cualificados y profesionales, ya sean contratados, funcionarios o extraterrestres. Unos responsables destituidos por no nombrar a alguien cualificado y listo.
Un saludo.
Tampoco es que fuera una información estratégica
Le han chafado un poco la sorpresa al que hacía la rueda de prensa pero no esa información no era ningún secreto de estado. Todos sabemos que hay MUCHAS webs con páginas retiradas, en preparación, abandonadas o en cualquier otro estado que están en la misma situación que esa página. Y si no probadlo sistemáticamente y vereis :-P. Es una forma de hacking primitiva pero efectiva al igual que mirar la basura de una oficina es fácil y permite obtener un montón de información confidencial y de todo tipo. Yo nunca lo he hecho expresamente pero a veces en google salen referencias a páginas que las pinchas y ves que están sueltas del resto de la web y que no hay ningún menú que lleve a ellas. Normalmente son páginas antiguas.
Respecto a los funcionarios, chapuzas hay en todo sitios pero el problema de los funcionarios es que trabajan lento no que hagan chapuzas. Las chapuzas gordas se hacen en la empresa privada cuando se acaba el money, el tiempo o no se quiere confesar que no se sabe hacer algo. Un funcionario si puede demostrar que no sabe hacer algo, es feliz porque ya no lo ha de hacer.