Portada
mis comunidades
otras secciones
#1:
A ver si según avance la investigación judicial nos pueden explicar como desde el 2017 dos funcionarias del ayuntamiento de áreas diferentes tenían acceso a todas las áreas del ayuntamiento aunque se cambien las claves de cada funcionario cada dos meses y nadie se da cuenta de que han consultado 4.500 documentos hasta que se lo huelen después de que se los pasen por la cara un par de veces.
Y para más inri las dos funcionarias son sindicalistas
Y para más inri las dos funcionarias son sindicalistas
#21:
#11
Hace tiempo que no toco seguridad... A ver si lo explico para gente no versada.
Las áreas de seguridad informática son confidencialidad, integridad, disponibilidad, autenticación y no repudio. Cada una tiene un objetivo.
* Autenticación. Con la autenticación se quiere controlar el acceso a un determinado recurso.
Su objetivo es identificar "sin dudas" al usuario que entra al sistema.
Para hacerlo necesita: definir quién tendrá acceso a qué recurso, por cuánto tiempo, cómo lo obtendrá y una serie de políticas para que el servicio cumpla con su cometido.
Este objetivo se cumple con autentificación (por usar otra palabra) y autorización.
En un sistema se autenticación mediante par IDusuario y contraseña, un usuario debe proporcionar un usuario y una contraseña (como Menéame).
Para el sistema, si le das un par correcto usuario y contraseña, asume que eres la persona a la que el administrador le dio esos datos. Es decir, el sistema no sabe si te has sentado en el sitio de otro con una sesión abierta, has puesto la contraseña en un postit o le dices al oído la contraseña a otra persona.
En la parte de auditoría, se deben almacenar y estudiar tanto los IDs de usuario como los intentos de autenticación (usuarios antiguos, fallos en autenticación, horas, desde dónde se accede, a qué accede, etc).
Respecto a la queja de que alguien tuvo acceso a 4500 documentos fuera de ese área es porque en la parte de política de acceso a los recursos, nadie pensó que además de autentificar a los usuarios hay que aplicar un sistema de autorización.
Es decir, hay que restringir a quié tiene acceso un usuario válido del sistema.
Si te dan acceso a todo... Pues a lo mejor el usuario no es el único que ha metido la pata.
Hace tiempo que no toco seguridad... A ver si lo explico para gente no versada.
Las áreas de seguridad informática son confidencialidad, integridad, disponibilidad, autenticación y no repudio. Cada una tiene un objetivo.
* Autenticación. Con la autenticación se quiere controlar el acceso a un determinado recurso.
Su objetivo es identificar "sin dudas" al usuario que entra al sistema.
Para hacerlo necesita: definir quién tendrá acceso a qué recurso, por cuánto tiempo, cómo lo obtendrá y una serie de políticas para que el servicio cumpla con su cometido.
Este objetivo se cumple con autentificación (por usar otra palabra) y autorización.
En un sistema se autenticación mediante par IDusuario y contraseña, un usuario debe proporcionar un usuario y una contraseña (como Menéame).
Para el sistema, si le das un par correcto usuario y contraseña, asume que eres la persona a la que el administrador le dio esos datos. Es decir, el sistema no sabe si te has sentado en el sitio de otro con una sesión abierta, has puesto la contraseña en un postit o le dices al oído la contraseña a otra persona.
En la parte de auditoría, se deben almacenar y estudiar tanto los IDs de usuario como los intentos de autenticación (usuarios antiguos, fallos en autenticación, horas, desde dónde se accede, a qué accede, etc).
Respecto a la queja de que alguien tuvo acceso a 4500 documentos fuera de ese área es porque en la parte de política de acceso a los recursos, nadie pensó que además de autentificar a los usuarios hay que aplicar un sistema de autorización.
Es decir, hay que restringir a quié tiene acceso un usuario válido del sistema.
Si te dan acceso a todo... Pues a lo mejor el usuario no es el único que ha metido la pata.
#18:
#16 A ver, sindicalistas hay de diferentes tipos; yo he conocido a liberados jetas y a liberados que por lo menos hacían su trabajo, estudiaban las leyes laborales y se curraban la representación de los trabajadores.
De quién autorizó su acceso poco me equivoco que tenían permisos de la anterior administración para hacer de espías y guerrilleras desde dentro. Si alguien es tan gilipollas de poner por delante su ideología al código penal, que las den bien. Y si las presionaron desde el partido, y deberían saber que cuando la mierda vuela ellos se lavan las manos y es el pringao de turno quien corre con las consecuencias.
De quién autorizó su acceso poco me equivoco que tenían permisos de la anterior administración para hacer de espías y guerrilleras desde dentro. Si alguien es tan gilipollas de poner por delante su ideología al código penal, que las den bien. Y si las presionaron desde el partido, y deberían saber que cuando la mierda vuela ellos se lavan las manos y es el pringao de turno quien corre con las consecuencias.
#9:
Entiendo que a pesar de que la transparencia debería ser la forma de trabajar de los ayuntamientos, hay cosas como los expedientes personales de los ciudadanos que deberían estar a salvo de los intereses partidistas. Estas dos funcionarias han demostrado que anteponen sus intereses partidistas a su profesionalidad, por lo que deberían ser expulsadas e inhabilitadas para desempeñar cargo público.
A ver cómo termina todo pero tiene pinta de que en su avaricia partidista han cruzado todas las líneas dejando todas las pistas del mundo, así que lo tienen bastante difícil. Ninguna pena al respecto.
A ver cómo termina todo pero tiene pinta de que en su avaricia partidista han cruzado todas las líneas dejando todas las pistas del mundo, así que lo tienen bastante difícil. Ninguna pena al respecto.
Comentarios
A ver si según avance la investigación judicial nos pueden explicar como desde el 2017 dos funcionarias del ayuntamiento de áreas diferentes tenían acceso a todas las áreas del ayuntamiento aunque se cambien las claves de cada funcionario cada dos meses y nadie se da cuenta de que han consultado 4.500 documentos hasta que se lo huelen después de que se los pasen por la cara un par de veces.
Y para más inri las dos funcionarias son sindicalistas
#1
Sindicalista y militante del PP.
Seguro que se preocupa por los derechos de sus compañeros.
#2 Claro!, de sus compañeros del PP
#1 Las claves pueden servir para tener auditabilidad, a través de identificación.
Lo que está claro es que no había un buen sistema de autorización a los recursos.
#3
Supongo que te refieres al ID del usuario, no a la clave. Un buen sistema nunca almacena las claves, sino un hash de las mismas, del que no se puede deducir la clave.
#6 Me refiero al sistema de credenciales. Se supone que el uso de una contraseña es para identificar a un usuario como ese usuario y no como otro distinto.
Un id de usuario sin contraseña, lo podría usar cualquiera, tan sólo conociendo su existencia.
La contraseña es uno de los métodos para asegurar que el usuario que accede es quién dice ser.
#10
Pero lo que auditas es el usuario, no la contraseña. O no te entendí yo bien, que tampoco es descartable.
#11
Hace tiempo que no toco seguridad... A ver si lo explico para gente no versada.
Las áreas de seguridad informática son confidencialidad, integridad, disponibilidad, autenticación y no repudio. Cada una tiene un objetivo.
* Autenticación. Con la autenticación se quiere controlar el acceso a un determinado recurso.
Su objetivo es identificar "sin dudas" al usuario que entra al sistema.
Para hacerlo necesita: definir quién tendrá acceso a qué recurso, por cuánto tiempo, cómo lo obtendrá y una serie de políticas para que el servicio cumpla con su cometido.
Este objetivo se cumple con autentificación (por usar otra palabra) y autorización.
En un sistema se autenticación mediante par IDusuario y contraseña, un usuario debe proporcionar un usuario y una contraseña (como Menéame).
Para el sistema, si le das un par correcto usuario y contraseña, asume que eres la persona a la que el administrador le dio esos datos. Es decir, el sistema no sabe si te has sentado en el sitio de otro con una sesión abierta, has puesto la contraseña en un postit o le dices al oído la contraseña a otra persona.
En la parte de auditoría, se deben almacenar y estudiar tanto los IDs de usuario como los intentos de autenticación (usuarios antiguos, fallos en autenticación, horas, desde dónde se accede, a qué accede, etc).
Respecto a la queja de que alguien tuvo acceso a 4500 documentos fuera de ese área es porque en la parte de política de acceso a los recursos, nadie pensó que además de autentificar a los usuarios hay que aplicar un sistema de autorización.
Es decir, hay que restringir a quié tiene acceso un usuario válido del sistema.
Si te dan acceso a todo... Pues a lo mejor el usuario no es el único que ha metido la pata.
#21
Eso es correcto, por eso me chocó tanto que hablar de contraseña en lugar de ID.
Respecto a la queja de que alguien tuvo acceso a 4500 documentos fuera de ese área es porque en la parte de política de acceso a los recursos, nadie pensó que además de autentificar a los usuarios hay que aplicar un sistema de autorización.
A lo mejor lo tenían pero no lo han aplicado ... tampoco me extrañaría. O que alguien dijera "pepito y fulanito" con acceso a todo. Se han visto ya cosas tan raras.
#10 depende de las reglas de contraseña ( si no se comprueba que haya diferencia entre las contraseñas ) de puede saber a ciencia cierta si ha sido la misma persona ( usará patata01... patataXX) . Para estas historias tener auditado los USB viene bien.
#10 En este caso está claro que de las AAA (Autenticación, Autorización, Auditoria), alguna cosa ha fallado. AAA debe:
1- Asegurar que un usuario X realmente es X (para eso está el password).
2- Asegurar que un usuario X está autorizado a acceder al recurso Y (puede o no leer ese documento), para eso tenemos Roles, Permisos, etc. (creo que este ha sido el eslabón que no ha funcionado).
3- Auditoria, se registra o bien los fallos (de autenticación, autorización, etc., auditoria ligera) o se registran todas las acciones, lo recomenable en estos casos. Parece que esto también ha fallado.
Parece que 1 no falló, 2 seguro que si, y 3 posiblemente.
#40 Gracias por explicarlo tan bien y resumido.
#3 Y también está claro que la gente es tonta y se piensa que si entras con tu clave no deja rastro. Y encima acceden tambien desde casa, pera que no quede ninguna duda de que no te han suplantado usando tu clave.
#19 sindicalista y del PP... Huele a que típico funcionario digital ( a dedo ) no por su gran interés en trabajar precisamente
#1 Miles de funcionarios tienen más presente su ideología política que el servicio al ciudadano y a las instituciones que debería ser lo primero. En el poder judicial, en los FCSE, o en los ayuntamientos y diputaciones es algo notorio hoy en día. Proceder contra los enchufados políticos es muy difícil, pero deberían ser inhabilitados todos los funcionarios que usasen su puesto de trabajo para beneficio de un partido.
Y creo que aquí hay 2 casos meridianamente claros.
Si eran sindicalista, debieron de sospechar nada más verla sentada con su ordenador. Normalmente solo se ven en Navidades repartiendo calendarios y bolis.
Que curioso, usuarios con acceso a todo el sistema y que no fueran los informáticos, que son los que normalmente tienen dicho acceso. ¿Como consigueron ese acceso y quien lo autorizo?
Pero vamos, los ayuntamientos normalmente son unos chiringuitos, nada que se descubra me sorprenderá.
#12 El problema de eso que que antes echarían a Luis Escribano (funcionario integro anticorrupción) que a una de esas. (que tienen padrino)
#16 A ver, sindicalistas hay de diferentes tipos; yo he conocido a liberados jetas y a liberados que por lo menos hacían su trabajo, estudiaban las leyes laborales y se curraban la representación de los trabajadores.
De quién autorizó su acceso poco me equivoco que tenían permisos de la anterior administración para hacer de espías y guerrilleras desde dentro. Si alguien es tan gilipollas de poner por delante su ideología al código penal, que las den bien. Y si las presionaron desde el partido, y deberían saber que cuando la mierda vuela ellos se lavan las manos y es el pringao de turno quien corre con las consecuencias.
#16 Me la voy a jugar: el anterior alcalde u otra persona del anterior gobierno, antes de dejar el puesto, pudo autorizar a esas funcionarias que eran de su palo a verlo todo. El siguiente equipo de gobierno entró y nadie preguntó quién podía ver qué. Un día a alguien se le ocurrió contar los documentos que había visto en el último año cada usuario y... ¡SORPRESA!
#1 he estado en una multinacional y todos los fijos usaban el mismo método para elegir contraseña, porque cada mes el sistema pedía cambiarla
La de Fulano Mengánez sería del estilo de FulMenFeb_21...
O siempre está mirar el Post-It ™
#14 Y yo ahí siempre le doy la culpa al informático, por que que me hagas cambiar la clave cada vez que me levanto del terminal para mear hace que las ponga del modelo que tu describes.
Si no quieres que te ponga claves consecutivas no me las hagas cambiar cada semana ni cada mes, por que simplemente es imposible que al tercer mes me acuerde de si la clave era "Lo#que#el#viento#se#llevo", "operacion?birmania" o "harry&el&sucio&3"
#27 Mi preferido es el mensaje de "no puedes usar esa clave porque ya la ha usado anteriormente".
#35 "ni piidis isir isi clivi pirqui yi li hi isidi intiriirminti"
Que te demuestren matemáticamente que no ha sido una colisión de clave hash
Entiendo que a pesar de que la transparencia debería ser la forma de trabajar de los ayuntamientos, hay cosas como los expedientes personales de los ciudadanos que deberían estar a salvo de los intereses partidistas. Estas dos funcionarias han demostrado que anteponen sus intereses partidistas a su profesionalidad, por lo que deberían ser expulsadas e inhabilitadas para desempeñar cargo público.
A ver cómo termina todo pero tiene pinta de que en su avaricia partidista han cruzado todas las líneas dejando todas las pistas del mundo, así que lo tienen bastante difícil. Ninguna pena al respecto.
#9 Recibirán una pequeá amonestación, y cuando vuelva a la alcaldía "su" partido recibirán un aumento de sueldo por los servicios prestados.
#9 " por lo que deberían ser expulsadas e inhabilitadas para desempeñar cargo público"
Si se demuestra que lo han hecho, y además con ese interés político, me da a mí que se les va a caer el pelo bastante más. Salvo que medie el deus ex machina...
Lo del PP y del PSOE da para varias sagas televisivas, como Star Wars.
La mafia haciendo cosas mafiosas.
Un ejemplo: en los hospitales, clínicas y centros ambulatorios esta a la orden del día que entre trabajadores compartan su usuario y contraseña; y las tengan anotadas en un papelito, libreta, post-it junto al PC. Visto decenas veces.
Y eso da acceso a expedientes medicos de todo el departamento, centro o incluso globales.
#8 Eso me temo que no es cierto. Más que nada porque dejar tus claves por ahí con acceso a expedientes médicos te puede llevar a la cárcel sin mucho lío.
#17 Ok, tu me vas a decir que no es cierto y yo te digo que es lo que he visto con estos ojitos azules.
Y ahora me dirás que del 2012 que deje ese trabajo las cosas han cambiado un montón y ahora son todos unos "cybersecurity experts" ; pero curiosamente tengo familiares y amigos que trabajan en unos Juzgados y en la Sanidad Publica y me lo han confirmado que se sigue haciendo este mismo verano.
Y si, por eso tenemos de vez en cuando noticias como estas, y es raro que sea mas a menudo, pero seguramente porque cuando sucede algo se cubre para que todo quede en casa y no salga en los medios.
#17 Yo estuve 1 año montando equipos en centros de salud del SERGAS, y los medicos se iba a tomar el cafe dejando la puerta abierta o sin cerrar con llave, con su tarjeta con certificado metida y el ordenador sin bloquear, incluso de un dia a otro.
Y no se lo vi a hacer a uno o dos nada mas precisamente.
#22 Yo fui a mi médico de cabecera y me preguntó "¿Y tu hermana, ha conseguido quedarse embarazada ya?". Y yo con esta cara 😬 "No sé, no tenía ni idea de que lo estaba intentando".
#36 A ver, si accede a un paciente que no es suyo, queda registrado, y por tanto llegado un punto inspección le puede tirar de las orejas.
Lo grave es que si dejan todo conectado, puede entrar otro medico, un administrativo, el que limpia o sabe dios quien y mirar lo que quiera.
Que un ayuntamiento no tenga controlado quien puede acceder a que , es una verguenza.
Ahora bien, salvo por lo que dice la noticia de acceder desde su casa, demostrar que fue esa persona fehacientemente no seria facil. Incluso lo de que fue desde su domicilio puede llegar a discutirse.
Lo que me gustaría saber es si los que se filtro era algo ilegal, chanchulladas, etcc o que fue. Porque si lo que se filtro son piratadas que hacia el ayuntamiento....
#8 no sé en otras comunidades y posiblemente antes fuera así pero en Valencia tienes que conectar tu tarjeta de trabajo con lo cual deberías también dejarla a un compañero y eso ys me parece de ser muy tarambanas.
#28 Yo, donde lo tengo visto "face to face" es en la Comunidad de Madrid, Castilla-La Mancha, Murcia y Extremadura. Y en centros sanitarios de una de las grandes aseguradoras de nuestro pais por toda España.
Curiosamente varios de estos centros sanitarios concertados (mix publico-privado) en la Valenciana, pero esto fue antes del 2012 así que ahora quizás ya tengan tarjetas ahora.
#8 Eso se evita usando el DNI-e, pero claro las cosas bien hechas brillan por su ausencia.
El pijerío jerezano ahora se apunta al sindicalismo, jajajajaja.
Y en lugar de hacer algo por los derechos laborales se dedican al espionaje partidista. Derecha en estado puro.
https://www.lavozdelsur.es/ediciones/jerez/habla-nausika-botamino-trabajadora-expedientada-en-jerez-me-han-hecho-sentir-como-delincuente_253780_102.html
Mierda de sistema que tienen en ese ayuntamiento.
Con que tengas un usuario ya tienes acceso a todo ? Hasta en empresas pequeñas saben dar permisos de acceso a recursos.
#15 como dicen más arriba, probablemente heredaron los permisos del gobierno anterior, para jacer de espías de la TIA
#25 Eso es justificar la incompetencia del gobierno actual. Ahora es su "casa" y si no la tienen como debe ser es culpa suya.
Por cierto entonces el exalcalde y compañia aun tenian usuarios y acceso?
#31 para mi es mas una ilegalidad y malas artes del gobierno anterior que incompetencia del nuevo. Es como cuando en algunos pueblos cuando hay cambio de gobierno que desaparecen los discos duros o las plantillas de los documentos y se paralizan los expedientes dias o semanas hasta que se resuelva el caos. Se ve que caundo se desaloje al pp taambien habra q revisar TODOS los permisos de los funcionarios... reconocimiento de que son un cancer para las instituciones...
El ayuntamiento de Jerez, que me vas a contar, uno de los más corruptos de España con varias causas penales abiertas contra sus funcionarios. Con 2500 funcionarios y otros tantos miles de eventuales para una ciudad de 200 000. Y donde es normal cobrar un plus de premio de asistencia (como lo leen), quebranto de moneda, premio fidelidad (para los empleados con más de 25 años al servicio del ayuntamiento), y plus de moto para levantarse al mes 2500 euros allá por el 2012 que hoy serán 3000.
https://www.google.com/amp/s/www.elblogsalmon.com/entorno/la-orgia-de-dinero-publico-del-ayuntamiento-de-jerez/amp
Luego os preguntaréis porqué la gente huye a Andorra.
La mafia del PP.
No me quiero imaginar el resto de ayuntamientos de toda España. Este tiene censadas a más de 200.000 personas.
A ver si se extiende el uso de smart cards y NFC entre los funcionarios, para abrir puertas, acceder a tu ordenador...
Si esto no es nada, en seguridad, la mayoría de las administraciones y empresas el control brilla por su ausencia.
Cualquiera que trabaje con una consultora visitando distintos clientes a menudo (yo me hacia mas de 10-12 al año) sabe que esto, de manera bastante general, es así.
- 1 2 3 4 -