La

Porno en la página del Ministerio de Seguridad Publica

por

- 03-08-2008 a las 07:35 AM (1885 Visitas)

Hace unos días mientras almorzaba, leí una noticia en la Nación, con el título “Desconocidos colocan porno en página web de Seguridad”, y debido a mi trabajo de Consultor en IT, el titular llamo grandemente mi atención.

En resumidas cuentas para los que no leyeron el trabajo del periodista Otto Vargas, les comento que nos indicaba que unos supuestos “hackers” habían utilizado un tipo de programa llamado “robot”, para colocar enlaces con contenido pornográfico, en los mensajes del foro en la página del Ministerio de Seguridad Publica.

El señor Vargas, utilizo como respaldo tecnológico para su nota a uno de los responsables informáticos del Ministerio, de apellido Jiménez.

Aquel día no me preocupe por ingresar a ver el sitio, debido a que ya tenía claro, que muy probablemente en el Ministerio habían escogido utilizar un sistema gratuito de foros (phpBB), y que no habían instalado el add-on (extra) para añadir un código de seguridad (Captcha), para que los “robots” no pudieran violentar a nivel masivo, la publicación de mensajes en el sitio.

Por este incidente el Ministerio tiene la siguiente disculpa en su sitio web:

“Este foro estará fuera de línea, mientras se realizan ajustes de seguridad.

Esperamos nos disculpen por este inconveniente, ya que deseamos que el público tenga una herramienta donde pueda expresar sus inquietudes sobre la seguridad en nuestro país, y aportarnos sus comentarios valiosos, para nosotros brindar un mejor servicio, a la ciudadanía

Gracias”

Hoy por la mañana, ingrese a ver si ya habían resuelto el problema, y me tope con que todavía seguían teniendo la misma disculpa, y que el problema no estaba solucionado del todo.

¿Qué es lo que tiene que hacer cualquier empresa o entidad que quiera tener un sistema de foros “seguro”?

Lo primero es que si trabajamos de manera profesional, nuestra última opción debe ser un sistema de foros gratuito. phpBB es un sistema muy popular mundialmente por sus muchas características, pero también por su interminable lista de errores a través de los años.

La gran mayoría de veces, es mejor utilizar un foro de pago, con soporte actualizado permanente, antes que ahorrarnos $200 al año, y sufrir este tipo de daños.

Si se desea utilizar un foro gratuito como el phpBB, ¿Cómo podemos hacerlo seguro?

Es sencillo. Lo primero es dejar atrás que todos los informáticos, saben de Internet. Para eso hay especialistas como en todos los campos, y raramente si alguien se dedica a reparar computadoras o a realizar trabajos más de escritorio a tiempo completo, podrá brindar una consultoría en seguridad apropiada. Aclaramos que desconocemos el grado académico de los responsables del proyecto, y que este comentario no es un ataque personal, sino más bien una recomendación para los lectores en general.

En el caso especifico del phpBB, es indispensable mantener nuestra versión actualizada. También para el phpBB existen cientos de add-ons que mejoran la seguridad y rendimiento del sistema, por lo que no debemos quedarnos con la versión de “fabrica”.

¿Cómo se evitan los “robots”?

Este fue otro error del artículo, probablemente, por la rápida respuesta del departamento de informática.

Un “robot” es un conjunto de aplicaciones que realizan una tarea específica, que generalmente son utilizados por los motores de búsqueda como Google, para indexar contenido. También existen de otros tipos, más sencillos y complicados, pero en general diferimos de llamarle así.

Lo que utilizaron con el phpBB del MSP, fue un script malicioso, que al encontrar al sistema de foros phpBB sin ninguna protección adicional, simplemente creó un usuario, lo valido, y escribió los mensajes. En general un script que haga esta tarea, no ocuparía más de 100 líneas de código.

¿Qué debería hacer el MSP?

Activar los foros phpBB, añadir el CAPTCHA, e instalar un addon de inclusión de enlaces, que límite el poner links, hasta que se alcance un número mínimo de mensajes, que permitan al sistema “confiar” en el usuario final.

Lo anterior, es trabajo de una hora como máximo.

En TicosLand.com, utilizamos las últimas tecnologías de Internet, y procuramos hacer de la experiencia del usuario final, la mejor posible, es por ello que instamos a los personeros del Dpto. de Informática del MSP, a tomar expeditas cartas sobre el asunto, pues es una vergüenza, que propiamente nuestro Ministerio de Seguridad Publica, no pueda solventar rápidamente un problema común por descuido en Internet.

Entendemos, y aclaramos para nuestros lectores, que ningún sistema es impenetrable, pero este tipo de incidentes están ampliamente documentados a través de la red, por lo que pudo ser prevenida.

También, agradecemos al periodista Otto Vargas, por dar a conocer la noticia, y permitirnos a los costarricenses, el enterarnos de este acontecimiento.

Categorías: Noticias

Enviar por Correo

« El pueblo Barveño de Heredia, se organiza y da muestra cívica en una marcha admirable Principal La romería de cerca… TicosLand.com visito a la negrita »

Comentarios

cimacomputacional - 03-08-2008 06:09 PM

Esta muy interesante la nota, me llama la atecion saberlo x que al igual soy programador de paginas XD
- |
larryhans - 03-08-2008 06:18 PM

@cimacomputacional: Estamos a la orden campeon. Entre todos hay que informarnos.
- |
ragonz - 04-08-2008 08:00 AM

Santos!! Uno es muy pollo en esto del diseño de sitios, pero da cólera ver como personeros de un ministerio contratan a un tipo que esta en pañales igual que uno, porque estoy seguro que "larryhans" ya tiene su buen rato de estar en esto y además esta consumiendo información y educandose regularmente, hay que mandarle un mail a Greivin Moya para que investigue quien es el que se encarga de esto y le apostamos que es amigo, cuñado o primo del mejor amigo, requisito que superó la mano de obra calificada.
- |
larryhans - 04-08-2008 08:17 AM

@ragonz: Lo importante es que solventen el problema, ya que nos deja en mal a todos los del gremio
- |
larryhans - 04-08-2008 08:56 AM

Copiamos correo electrónico recibido de parte de Don Otto, periodista de la Nación:

"Don Larry,

Me parecen muy valiosos sus aportes.

Quedo a sus órdenes,

Otto Vargas M.
Periodista de La Nación"
- |
marcob - 04-08-2008 09:12 AM

Gracias a La Nación y a TicosLand por mantenernos informados sobre el acontecimiento. Después de leer el blog en TicosLand, leí el reportaje completo en la página en linea de La Nación.
Da verdadera pena que el lugar que nos asesora sobre la seguridad se penetrado por hackers tan facilmente. ¿Cómo es que no sabían que tenían que tomar medidas de seguridad con el freeware que estaban usando?
No soy experto en seguridad pero sí sé que hay que tomar medidas de precaución cuando se usa freeware para hacerlo safeware también. Felicitaciones, y por favor siganos informando.
- |
georgem - 04-08-2008 09:16 AM

Estoy de acuerdo con RagonZ. La Nación debería continuar la investigación y ver quién es el encargado de seguridad de la tecnología informática en el ministerio de seguridad y ver cuales son las calificaciones que lo llevan a ser un "experto" en seguridad de tecnología informática. El primo de la hermana del tío no es calificación ninguna, si resulta ser como sospecha RagonZ.
- |
javichino - 04-08-2008 04:12 PM

Hola como estas me llamo mucho la atencion el post que creas y como desarrollar Freeware estoy un poco en desacuerdo.

Por lo general el software gratuito ofrece mayor seguridad que un SW de una compañia, presto que existen miles de beta tester probando una versión te doy un caso simple Linux, te pongo a prueba pasar la seguridad de él.

Lamentablemente tampoco concuerdo con que un informatico solo pueda hacer una cosa, yo soy Programador, trabajo en Redes y Tengo una especialidad en Seguridad Informatica y Tecnología Inversa.

Segundo concuerdo contigo con que fue error humano que halla tenido una intervension, pero eso no lo realizo un hacker, sino alguien que encontro la debilidad en las politicas de seguridad del foro.

¿Qué debería hacer el MSP?

Activar los foros phpBB, añadir el CAPTCHA, e instalar un addon de inclusión de enlaces, que límite el poner links, hasta que se alcance un número mínimo de mensajes, que permitan al sistema “confiar” en el usuario final.

Esto es falso ya que aún asi como lo indicas las politicas de seguridad son muy pobres aún acá, para un verdadero hacker esto es juego de niños eso lo que haces es evitar que los que estan aprendiendo practiquen con su pagina.

La mejor forma de ofrecer seguridad es saber como trabaja un hacker, de lo contrario es tirar piedras al aire.

Muchas gracias a Javichino por prestarme la cuenta de el para postear en este tema, si les parece fuera de lugar es cuestion de borrarlo solamente y no se desvirtua el post.

Agrego a esto los hackers no son ladrones ni ratas son personas que ponen a prueba el intelecto de otra.

Atte: Arojas (cuenta creada despues de escribir esto)

Actualizado 06-08-2008 a las 04:45 PM por javichino
- |
larryhans - 05-08-2008 08:24 AM

@javichino: Me alegra que tomaras tiempo para revisar el blog, y compartir tus impresiones, al fin y al cabo es lo que pretendemos.

Vamos por partes:

1.- Es imposible establecer una relación de comparación entre Linux y phpBB, existen millones de betatesters en Linux, contra unos cientos de phpBB. Adicionalmente Linux históricamente ha sido muy seguro por su rápida respuesta a la hora de solucionar problemas críticos, en cambio phpBB es todo lo contrario, y normalmente cuando solucionan un problema, vulneran otro. El software libre al ser de conocimiento público es más estudiado, y más puesto a prueba, por lo que siempre va a ser más vulnerable, desde el punto de vista, de que quien quiera acceder a él, simplemente debe descargarlo y buscar el error. Es como tener al asesino dentro de la casa. En Linux es diferente, porque son años de años, y millones de testers trabajando en base a lo mismo que planteo, buscar las debilidades internas y corregirlas. Aunque no está exento de nada, una maquina Linux sin actualizar puede ser fácilmente franqueada; y lo digo con toda experiencia.

2.- Lo que exprese en cuanto a los informáticos, no era una limitación a lo multifuncionales que podamos ser, sino al requerimiento empresarial, de que muchas veces seamos gurús en todos los campos; y lamentablemente hay que ser honestos, que duramente un Ingeniero graduado hace 20 años, va a poder hacer eso, especialmente dependiendo de las bases con que fue educado. Aunque como lo dije anteriormente, existen casos que desafían mi criterio, y por los cuales me siento orgulloso; sin embargo, la Informática es como la medicina, si se tiene un problema del corazón se va a un cardiólogo, y si se tiene un problema de la nariz a un otorrinolaringólogo.

3.- Con lo del Captcha y las medidas de confianza, tal y como lo dije en el blog, son simples escalos más para un proceso de seguridad, que desde principio está mal. Sin embargo, la utilización del CAPTCHA es la última revolución en seguridad en Internet, prácticamente ningún sitio grande deja de usarla (Google, Yahoo, TicosLand, Ask, Live...), por lo que decir que es inútil, es un poco voraz. Sin embargo, concuerdo, en que ningún sistema es 100% seguro, al igual que en la sociedad, solamente que es diferente tener una pared de concreto reforzado, a una malla.

4.- En TicosLand.com no borramos temas que expresen comentarios de nuestros usuarios, solamente lo eliminaríamos si se faltara el respeto de algún gremio al que defendamos.

Muchas gracias nuevamente por tu tiempo, y tus valiosos comentarios.
- |
fresia - 05-08-2008 02:04 PM

hay javichino con mucho cariño... estas comparando arroz con Internet... osea, nada que ver!!!!
- |
juankaaa - 05-08-2008 02:07 PM

Yo tuve un sitio web de una banda hace un par de años... El sitio web a cada rato lo pasaban hackeando, hasta que quitamos el put* foro bb ese, y todo se soluciono. Si volvemos a poner foro, mejor voy con el de pago!
- |
robertis - 05-08-2008 02:51 PM

Hola a todos, llegue par de días tarde al blog . Hoy todavia siguen con el foro offline http://www.msp.go.cr/disculpas.html, yo era usuario de ahi, y lo que lamento es que se pierdan los temas, habia información importante. Saludos, Robertis!
- |
lionelusa - 05-08-2008 10:01 PM

Me parece que la idea es que se mejore la seguridad. También me parece que un informático en el Ministerio de Seguridad tiene que estar informado de las vulnerabilidades que tiene el phpBB. ¡Ah! Pero esto está muy informativo y le agradezco a TicosLand.com por mantenernos tan informados en temas tan variados.
- |
javichino - 06-08-2008 04:13 PM

Actualizado 07-08-2008 a las 06:35 PM por javichino
- |
arojas - 06-08-2008 04:34 PM

Hola como están este es mi primer post acá y se los digo, Javinchino tiene mucha razón, como especialista en seguridad informática, lo que él dice es verdad, porque tiene porno el ministerio, porque ponen cualquier soplas administrar, esa es la realidad del país, el que diga lo contrario está mintiendo, discúlpenme por ser tan agresivos, pero este muchacho con tan solo 17 años tiene más conocimientos de seguridad informática que muchos de acá presente, maneja términos y herramientas que para ustedes son nulos. Realmente lo que hacen es juzgar al libro por la portada, se los digo yo que lo conozco y trabajo con una empresa líder a nivel mundial, el tiene mucho mas potencial que muchos, realmente no es comparar arroz con internet es tener valor de cuestionar lo que todos dan por un hecho, por lo mismo te doy mis respetos me gustaría tener un hijo así.

No conozco la herramienta que uso el ministerio para su foro pero a comparación de los sitios del gobierno fue algo ganado en una licitación.

Pertenezco a una comunidad con más de 90 mil usuarios y jamás hemos sido hackeados porque se manejan políticas extremas de seguridad.

Saludos a todos y disculpen por ser tan agresivo.

Actualizado 07-08-2008 a las 08:50 AM por marcob
- |
marcob - 07-08-2008 08:49 AM

@javichino: Si javi, en efecto yo leí esa parte. Capaz muchos no terminaron de leer tu nota.
@arojas: Me parecen admirables tus comentarios. En efecto en este país lo que se necesita es que cada vez más jóvenes, no integremos a los procesos, y cuestionemos con aportes personales, todo aquello que simplemente no reúna nuestras expectativas.

Actualizado 07-08-2008 a las 08:51 AM por marcob
- |