El atendedor de boludos, Argentina un país generoso

atendedor de boludosHace 30 años estabamos con lápiz y papel, que seguro era todo, en los 80 nacen los primeros ordenadores hogareños, y en los 90 la internet y el gran problema de que cualquiera podía usar una computadora, eso fue como darle poder a un mono con ametralladora, recordemos también que los primeros sistemas operativos no incluían firewall ni antivirus, muy pocas medidas defensivas, casi nulas, en la actualidad todos sabemos que es imposible usar una computadora en internet sin estas medidas de seguridad defensiva.

Lo mismo ocurre con los sitios web con bases de datos, antes de ponerlos en producción lo que hay que hacer es auditarlos y segurizarlos para que ciber-delincuentes no puedan robar o alterar la información silenciosamente.

Para aquellos que no saben una auditoría web consiste en investigar la mayoría de fallos de seguridad ya archi-conocidos en un sitio web antes de ponerlo en producción. Osea imitar el comportamiento de los ciber-delincuentes pero con la finalidad de documentar dichas fallas y que estas sean arregladas por el creador. Esta labor generalmente es realizar por hackers, y en cuanto a robar es llevada a cabo por los crackers llamados también ciber-delincuentes.

Argentina un país tan rico pero extremadamente corrupto, un país en el cual no se quiere mejorar en materia de seguridad de la información, si notificas un fallo de seguridad hiper trillado, no gusta, te miran mal, y ni esperes a que te respondan con un gracias, como si esto fuera de 4 científicos locos en un sótano, es muy habitual que le vendan a la gente un mega emprendimiento y al final tienen una verdulería, algo así como un colador lleno de agujeros de seguridad que los ciber-delincuentes silenciosamente aprovecharán. Hay mucha gente a cargo de cosas que no entiende.

Claro para fiestas caras que tiran la casa por la ventana y vacaciones en Miami, o en Punta del este, para eso si hay dinero. Para comprar licencias de software original, antivirus de primera marca y segurizar los sistemas para eso no. Mejor no hablemos del espionaje donde gobiernos roban la información a otros países. Con la cantidad de cyber ataques que hay por día que son miles, no quiero pensar si un país nos hace un ciber-ataque. ufff que lejos estamos!!! Una cosa es que te ataquen y te hagan una intrusión, pero otra muy diferente es dejar todo abierto para que te roben eso es un SQL injection y boludo.

En la actualidad es impresionante ver como muchas organizaciones con negocios en internet, y el estado en si son totalmente “negligentes” a la hora de poner los datos de las personas on-line en internet no tienen idea alguna de como llevar cabo estos procedimientos con estandares.

Lo que mas se destaca es la falta de voluntad política. En las organizaciones es muy común la falta de colaboración entre departamentos, donde cada cual protege su kiosko.

Podemos recordar hace unos días han hackeado el twitter de Patricia Bullrich Ministra de Seguridad de la Nación con un simple phishing que es una técnica super trillada, y como vemos solo protegen la información con usuario y contraseña, cuando eso es del pasado.

También Niño Orsino ha mostrado que es vulnerable el sistema de información nacional de crímenes, sitio web donde están alojados los datos de los casos, personas denunciantes, testigos protegidos etc.

Es pátetico ver en la tv y medios un desfile de panelistas, supuestos especialistas, periodistas hablando de cosas que no saben, ni entienden, jactandose de lo poderosos que son, con amigos en el poder, en la secretaria de inteligencia y empresas de comunicaciones y que ilegalmente pueden pincharte tu celular y sacarte una tira de lo que hablas por whatsapp. También hablando de como está confeccionado el sistema de inteligencia, el ministerio, la secretaria, los agentes de inteligencia, los de contrainteligencia, la policía y los espías que estas instituciones tienen, explican también como cada cual tiene su kioskito ilegal vendiendo la información privada a personas que buscan información. Esto da la pauta de como los delincuentes tambien estan insertos en las empresas y en el estado. Como dijo el cómico Antonio Gasalla, pendejo boludo, si no entendés, mejor quedate en tu casa y no hagas nada, porque sino haces cagadas.

También Niño Orsino mostró en su twitter que era vulnerable a descargar o modificar la información de la base de datos del  sistema de información nacional de crímenes. Ese tipo de fallo de seguridad es del tipo SQL injection (es un fallo de seguridad super básico del año 2000, pero crítico, da control de todo el sitio web y su contenido), la razón de este fallo es porque el sitio web está mal programado o tiene técnicas de programación obsoletas del año 2000.

También en la siguiente captura podemos ver que supuestamente han hackeado algún  email de la PSA.

Para nosotros desde www.rootsolutions.com.ar que somos especialistas en estudiar ataques informáticos (seguridad ofensiva y defensiva), brindamos servicios de seguridad de sistemas informáticos y sitios web nos resulta impresionante ver que no protejan dicha web antes de ponerla en producción con al menos 3 auditorías de seguridad realizadas por distintas empresas, donde la mayoría de los fallos de seguridad habrían sido documentados para que luego sean arreglados por el fabricante del sitio web.

El cibercriminal ACAB así se auto define en twitter, muestra como el sitio web de la policía federal es vulnerable a cross site scripting XSS insertando una imagen en el sitio.

Si entramos en http://www.zone-h.org/archive pagina que lleva las estadisticas de sitios hackedos podemos ver la gran cantidad que tienen argentina, todo porque no se segurizan esos sitios.

Esto deja en evidencia la inoperancia de las personas a cargo de estas responsabilidades y la falta de voluntad política.