Ayer recogíamos una noticia sobre una cuenta de Twitter de un grupo llamado Digital Research Team que afirmaba haber hackeado a universidades e instituciones públicas de España. Nada más lejos de la realidad, al parecer toda la información estaba ya disponible en Internet, abriendo un debate todavía más serio. Relacionada: Ciudadanos quiere saber si unos 'hackers' han robado al Gobierno el número del DNI de Albert Rivera
Comentarios
Rel: Piratas informáticos aseguran haber atacado las cuentas de los ministerios de Hacienda, Exteriores de Justicia
Piratas informáticos aseguran haber atacado las cu...
antena3.comLa "noticia" era una chufa a nivel técnico y estaba llena de imprecisiones, como un corta y pega, la verdad es que a poco que leias cantaba que algo no cuadraba.
Aquí quizá me gustaria aprovechar para hablar de algo mas serio, no es la primera vez que pasa, tambien vemos cada x tiempo "descubierta inseguridad chipiflautica en X" "robo masivo de credenciales en Y" bla bla bla que luego al cabo de una semana se desmienten, son noticias generalmente lanzadas por medios cuestionables y sin la mas minima relevancia técnica pero de las que se hacen eco medios mas generalistas y generan inseguridad, hasta el punto de hagan perder el tiempo a nuestros representantes sobre robos que no se producen o que te obliguen a leer idioteces para saber si algo de cierto hay en ello y te afecta a tus sitemas, la verdad es que es preocupante.
Sinceramente, hecho de menos algun tipo de medio mas o menos oficial para contrastar ataques reales, vulnerabilidades reales y problemas a tener en cuenta, la red esta llena de un batiburrillo y notas de prensa de los diferentes fabricantes de soft y hard malinterpretadas por juntaletras para generar miedo y vender titulares que no solo provocan que te tengas que mirar idioteces que al final no son nada, si no el preocupante efecto "que viene el lobo", de tanto alertar la gente pasa.
@recauchutadospelaez
#1 Todo este tipo de mercado es propagandístico. En general cuando tienes una buena jugada se suele "vender". Existe mucha gente que le flipa eso de decir soy un Jacker y tal. Pero la gente seria que se dedica a esto vende (generalmente a la empresa afectada) y si es algo muy gordo suele ofertar en la dark al mejor postor.
Desde hace tiempo no trabajo en una empresa líder en seguridad y estoy un poco descolgado del tema. Me resultaba cansado eso de vender alarmas de puerta en puerta.
#2 No se meu, yo antes tambien me interesaba mas por el mundillo, amos era un flipader de la@arroba y andar haciendo el gamba por islatortuga, luego pues si conferencias de la Defcon, pero hace bastante que no sigo regularmente las diferentes "scene" y solo de cuando en cuando pues me miro algo, pero a lo que voy es que asi como joder pues en medicina supongo que si quieres mirarte algo medianamente en serio te vas a lo que dice la Organizacion Mundial de la Salud o yo que coño se, en ingenieria informatica no hay nada ni medio parecido, tienes notas de prensa, algun paper de un investigador perdido por ahi, un video de la Defcon de 2014 de unos chachos que se han saltado la seguridad de X con un destornillador y 4 botes de nocilla...
Amos que una fuente minimamente rigurosa de la que fiarte para distinguir la paja del heno yo no conozco... una mierda, y una mierda que hace perder tiempo.
#3 Ja, ja, ja. Mi tiempo ya paso. Ahora yo vivo en el otro lado. Pero ni eso. Quedaron atrás mis épocas con el bluebox y similares.
#3 ¿No sirven estos:?
https://www.ccn-cert.cni.es/
https://www.incibe.es/
PD: Pregunto desde la perspectiva del absolutamente ajeno a la informática, aclaro.
#7 Desde el punto de vista del que es simplemente aficcionado al tema pero curra en tareas relacionadas de refilon:
El instituto nacional de ciberseguridad es bastante chiste, amos nivel bajo o muy bajo y el CNN-CERT si bien sus certificaciones de seguridad tienen bastante nombre, y se supone que puedes reportar incidentes, no se ocupa de una labor divulgativa, no alerta, no explica y no se ocupa de nada hasta que algo haya pasado.
Así, no es necesario tener conocimientos técnicos para encontrar estos datos, siendo sólo necesario conocer cómo funciona Google.
Me recuerda a un caso de hackeo que denunció una ministra, aquí en España porque un periodista había publicado una encuesta antes que el gobierno. El periodista publicó en su blog el sofisticado método de hackeo que consistió en coger la URL de la última encuesta, que era del tipo htps://dominio.com/docs/00032.pdf, y poner en su navegador htps://dominio.com/docs/00033.pdf, et voilà, encuesta descargada. Por lo visto alguien colgó el fichero y creyó que sin publicar la URL en la web no era accesible
#5 Cosa que por lo menos en españa los jueces lo pueden considerar hackeo, ha habido gente imputada por acceder a información sensible usando métodos tan simples como el que comentas.
#10 No lo sabía. La verdad es que no recuerdo en qué quedó la cosa con el periodista. Me parece muy grave que se empure a gente por acceder a información que quien la colgó no se ha preocupado de proteger. Una cosa es aprovechar un fallo de seguridad para obtener la información, pero acceder a un link, esté enlazado o no desde una web, es el funcionamiento básico de internet que todo usuario debería conocer. Al final están imputando a gente por la ignorancia de quien la ha colgado, porque ¿cómo va a saber un usuario que la información no es pública si el enlace está accesible a todo el mundo?
A ver... A eso se le llama "search engine hacking" o "google hacking".
Vale que está a años luz de vulnerabilidades que permiten acceso y control absoluto de servidores afectados, pero no por ello dejan de ser vulnerabilidades si consiguen sacar datos que no deberían ser públicos.
Para colmo, si esos datos se han obtenido sin mucho problema alguien debería revisarse la LSSI antes de que le caiga un puro por no proteger datos personales minimamente.
Remetía tuis', 'box con los tuises', sofpaper. De todo
Se nota que no es un medio tradicional. Ellos nunca hubieran rectificado y menos asi.
Es normal que un portal como este no contraste noticias y lo que se espera es que rectifique como lo ha hecho. Bien hecho
Para que hagais vuestras propias pruebas con este tipo de "hackeos": https://www.exploit-db.com/google-hacking-database
En varios medios que hablaban del tema recuerdo que en uno mostraban capturas de la información obtenida, y en las referentes al IB-Salut (Servicio de Salud de las Islas Baleares) lo que enseñaban era la típica tabla de puntuación o méritos que se publican cuando hacen una selección de personal y que era accesible desde su página web, así como que van colgando en diferentes tablones de anuncios.
Otra cosa es, como dice el artículo, que quizás sea necesario evaluar qué información se publica por internet para esos menesteres y cómo se hace.
#13 Este es el artículo original: http://blog.quantika14.com/blog/2019/02/13/estan-las-administraciones-y-entidades-publicas-protegiendo-correctamente-nuestros-datos/