Eli
234meneos

Fallos de seguridad en la web de la Agencia de Protección de Datos

auditoriasistemas.com/2008/01/16/fallos-de-seguridad-en-la-w... 
por jroselln el 16-01-2008 13:46 UTC, publicado el 16-01-2008 17:15 UTC

Hoy la web de la Agencia de Protección de Datos ha fallado. Primero la lentitud extrema y después la indisponibilidad generada por la BBDD. Una de las “best practices” en seguridad es la de utilizar productos con contratos de soporte y con las actualizaciones de seguridad aplicadas. Por esto sorprende que en la indisponibilidad detectada hoy se observa que utilizan una BBDD Oracle de la que Oracle ya no da soporte.

 18 comentarios en: tecnología, seguridad karma: 840
etiquetas: fallos seguridad, agencia proteccion de datos
negativos: 0  usuarios: 133  anónimos: 101  compartir:  twitter  facebook  friendfeed
  1. #1   La web de la agpd está llena de agujeros de seguridad, lo mencionado en este artículo no es lo mas grave, es triste que organismos oficiales que deben velar por nosotros y nuestra seguridad (en la red, en este caso) sean tan inseguros.
    votos: 4, karma: 58
    por jcarlosn (#) el 16-01-2008 13:56 UTC
  2. #2   Oracle? La BBDD de ficheros inscritos tiene pinta de ser de un triste access, con sus conectores ODBC. Me entran unos nervios cada vez que tengo que consultarla...
    Que triste.
    votos: 3, karma: 37
    por merinet (#) el 16-01-2008 14:09 UTC
  3. #3   En casa del herrero....
    votos: 0, karma: 7
    por --62827-- (#) el 16-01-2008 14:26 UTC
  4. #4   #2 "En la actualidad existen ODBC para muchos sistemas de bases datos, tales como Informix, Access, PostgreSQL, MySQL, Oracle y SQL Server"

    es.wikipedia.org/wiki/ODBC
    votos: 3, karma: 46
    por JarFil (#) el 16-01-2008 15:59 UTC
  5. #5   » ver comentario
    por --68689-- (#) el 16-01-2008 17:19 UTC
  6. #6   #4 incluso para cosas que no son motores de base de datos hay ODBC como por ejemplo TXT, XLS, DBF o sqlite.
    votos: 3, karma: 33
    por alexwing (#) el 16-01-2008 17:20 UTC
  7. #7   #5 No creas. Realmente la APD es un organismo que se encarga de sancionar las violaciones de la LOPD sin entrar en cuestiones puramente técnicas. De hecho, la mayoría de los funcionarios de la agencia se dedican al Derecho.
    votos: 1, karma: 18
    por --3147-- (#) el 16-01-2008 17:21 UTC
  8. #8   #7

    > De hecho, la mayoría de los funcionarios se dedican a tocarse los cojones.

    Corregido :-)
    votos: 4, karma: 36
    por DZPM (#) el 16-01-2008 17:26 UTC
  9. #9   #8 No lo niego. De hecho, la respuesta a una consulta a la APD puede demorarse semanas.
    votos: 0, karma: 9
    por --3147-- (#) el 16-01-2008 17:28 UTC
  10. #10   » ver comentario
    por --68842-- (#) el 16-01-2008 17:34 UTC
  11. #11   ¡Oh no! ¡Mis denuncias de apostasía! Espero que no las pierdan, porque hace un par de meses que se las mandé y no me responden nada.
    votos: 0, karma: 14
    por pikutara (#) el 16-01-2008 18:28 UTC
  12. #12   #2 Parece ser que hay mucho aficionado a Access y a los productos de Microsoft en la administración pública y en las empresas subcontratadas por ésta.

    Mi experiencia se resume en haber encontrado que, en cierto servicio donde el mantenimiento y desarrollo de aplicaciones de gestión está subcontratado a una GRAN EMPRESA de servicios, se realizan chapuzas constantes con Access. Y esto pese a disponer, por exigencia de una adutoría externa, de un gestor de bases de datos Oracle 9i accesible por ODBC.

    Así es como he podido encontrar, por ejemplo, que los controles de entradas y salidas del personal se realizan con una aplicación Visual Basic 6.0, que lee la tarjeta identificativa y la hora. Estos datos se almacenan en un fichero de Access compartido en red y accesible (modos lectura/escritura permitidos) por todo el mundo.

    Y esto es solo la puntita del iceberg.

    Supongo que el problema se reduce a lo mismo: quien toma las decisiones no suele ser personal técnico cualificado, y quien las lleva a cabo suelen ser becarios, amigos y/o profesionales que llevan años ocupando un puesto sin reciclarse. Al menos así ocurre en el caso que expongo, donde las dos personas que toman las decisiones no tienen formación técnica alguna.
    votos: 1, karma: 15
    por humitsec (#) el 16-01-2008 18:55 UTC
  13. #13   Supongo que el problema se reduce a lo mismo: quien toma las decisiones no suele ser personal técnico cualificado, y quien las lleva a cabo suelen ser becarios, amigos y/o profesionales que llevan años ocupando un puesto sin reciclarse.

    No estoy de acuerdo.

    Los casos que yo conozco van por otro lado. Los funcionarios (los jefes, vamos) exigen a las empresas que se conserve la infraestructura existente y que inviertan más en personal que en licencias, porque persiste la extraña creencia de que cuanta más gente pongas a trabajar, mejor. Esto repercute directamente en la calidad del software. Al final lo que se puede ver en las corporaciones públicas es mucho dinero, equipos novísimos, inversión altísima en licencias casi inútiles (yo mismo tengo programas instalados por valor de miles de euros que jamás utilizaré) y una capacidad de innovación inexistente.
    votos: 2, karma: 33
    por --3147-- (#) el 16-01-2008 20:02 UTC
  14. #14   #13 Y esos funcionarios que exigen a esas empresas la conservación de la infraestructura existente, etc. ¿son especialistas cualificados en tecnologías?

    No sé, quizás mi caso es diferente. Tampoco es que conozca como funcionan todas las administraciones públicas. Lo que sí es seguro que sé como funciona esta administración a la que pertenece este servicio del que hablo, en la que casualmente una amplia mayoría de los concursos de desarrollo en TIC se los lleva la misma GRAN EMPRESA.

    De todas formas la conclusión a la que llegaba en mi anterior comentario no se basa solo en mi experiencia. En algunos congresos sobre seguridad en TIC a los que he tenido el placer de asistir he compartido experiencias similares con asistentes y ponentes. Todos o casi todos acababan quejándose de lo mismo: de los jefes que sin formación técnica toman decisiones sobre la materia, y en muchas ocasiones acaban colocando de responsable al hijo de su cuñada, que es un experto en el buscaminas.

    ANEXO
    Desde luego por lo que cuentas mi caso es bastante diferente al tuyo. En mi caso quien se hace cargo de esa gestión y mantenimiento es una sola persona. Un hombre que entró como becario con una titulación de F.P. en la GRAN EMPRESA y dos años después de tomar las riendas de este proyecto (que bastante grande y muy importante) fue cuando inició sus estudios de Ingeniería en Informática de Sistemas. Que acabarlos los acabaría, pero poner en práctica lo aprendido... Ni documentos de análisis, ni de diseño, con chapuzas que no había visto desde la época del Spectrum. Por no seguir, no sigue ni los requerimientos de Métrica V3.0.

    He de aclarar que aunque soy ingeniero, en este servicio no ejerzo como tal. Lo que he descubierto ha sido por necesidad, ya que para ciertas funciones encomendadas necesito una serie de facilidades que este "ingeniero" no es capaz de ofrecerme, y con el beneplácito de mis superiores he investigado lo suficiente para lo que necesitaba, descubriendo por casualidad más de chapuzas de las que me gustaría conocer.
    votos: 2, karma: 31
    por humitsec (#) el 16-01-2008 20:34 UTC
  15. #15   #14 En mi caso, al menos, son ingenieros y licenciados. Pero ya se sabe que la vocación de gestor estropea la visión técnica de los proyectos :/
    votos: 1, karma: 25
    por --3147-- (#) el 16-01-2008 20:58 UTC
  16. #16   » ver comentario
    por --15885-- (#) el 16-01-2008 21:46 UTC
  17. #17   #15 Pues eso sí que me parece triste. Al menos en mi caso tengo la posibilidad de criticar a quienes toman las decisiones por no ser profesionales del sector TIC.

    Un día ajenos a esta noticia de la APD podremos hablar con más detenimiento de todos estos problemas que encontramos en las partes técnicas de la administración pública española.
    votos: 1, karma: 23
    por humitsec (#) el 16-01-2008 22:06 UTC
  18. #18   Además ahora hay más obligaciones: auditoriasistemas.com/2008/01/22/listas-de-exclusion-y-otras-novedades7
    votos: 0, karma: 6
    por oscarruiz (#) el 22-01-2008 13:23 UTC
comentarios cerrados

menéame