#94, te juro que es a una página normal, vas 100 metros por delante mío

Los correos en HTML son un atraso.

Por política los envios debería ser en modo texto, y si hay algo que compartir,
por adjunto o bien con el enlace con instrucciones para copiar y pegar en el explorador.

Y si usan WIndows, bloqueo de ejecutables marcianos salvo lista blanca, y extensiones en políticas de grupo. Pierdes funcionalidad pero ganas en seguridad.
A mi un profesor me dijo que primaba el acceso a datos del usuario encima de la seguridad, yo le dije que bueno, si la mentalidad es esa nos esperaban tiempos jodidos.
Acerté.

#93 pero volvemos a lo mismo, el admin que configura esos sistemas no deja de ser también un "usuario".
dicho de otro modo y para ser mas específicos: no hay sistema operativo o antivirus que pueda evitar la mayor de las vulnerabilidades, el ser humano.

#97 #22

>El 80386 salió en 1996,

Algo antes eeeh? En el 96 ya teníamos los Pentium, no te flipes. Y WIndows 95 iba "regular en 386". Como meter Windows 10, pero iba.

Hace 35 años los gobiernos y empresas potentes tenían acceso a PC's con i386 perfectamente.

es.wikipedia.org/wiki/Intel_80386

Es del 85, perfectamente una empresa o gobierno pudo tenerlo en el 87-88.
Y si son programas "ad-hoc" en Delphi Pascal, tiran suficientemente rápido.

En la librería Elkar en Euskadi creo que usaban terminales de búsqueda en modo texto, iban rapísimas para buscar por ISBN. Y siguen con ellas.

#106 Cierto, fue en 1986

#107 Sí, es que me ha chocado. A ver, un i386 era lento, pero para procesar texto tiraba y tira de sobra, anda que no ha habido hackers usando Groff+Mon con un triste i386 haciendo formulas y papers, y abogados con Word Perfect.

En según que empresas un WIndows 95 con un 486 y un software que no han tocado jamás sigue como el primer día. Igual un técnico le ha conseguido un adaptador IDE-CF, (hasta ganan velocidad), pero sin problemas.

#107 De hecho muchas de estas cosas tiran en un i486:

tinyapps.org

#99 La mayoria de gente va al SEPE porque no saben rellenear correctamente los formularios. Almenos ha sido asi las veces que he tenido que ir.

#5 Lo habitual.

#110 Rellenar un formulario es dificil ?.

#17 Es que casi nadie se lee ya los artículos así que nadie los revisa. Si el titular está libre de faltas ortográficas ya es suficiente.

#95 Donde has sacaso tal noticia acereca de los certificados ?.

#21 Mas bien habrán visto que no pueden hacer nada y se han ido a la máquina de cAffee

#5 Si solo fuera a ser esta mañana...

#114 Creo que leí que el cert raíz de la fnmt no era dado por bueno en navegadores y suites que usen TLS.

#78 Desde la barra del bar, claro.

Todos los ertes sin pagar o tramitar fueron errores no achacable al estado igual que imv, pensiones, bajas y altas de SS, y un largo etc

Si ya sabía yo que alguien aparecería para decir que es mentira.

Ahora sólo te queda convencer a la gente que lo vivió en primera persona.

#114 Ah, vale, solo Chrome y FFOX, ya me parecía raro; y no creo que globalmente.

www.meneame.net/m/tecnología/chrome-rechazara-certificados-camerfirma

wiki.mozilla.org/CA:Camerfirma_Issues

A decir verdad generar un cert correctamente en mi caso me costó horrores (puente TLS hacia texto plano) con libressl y relayd.

#108 Hombre, si tienes tu pyme en la que usas el ordenador para sacar facturas y escribir en el wordperfect, pues puedes seguir usándolo. Pero olvídate de recibir un documento de word docx por correo y poder abrirlo.
Yo tengo equipos con windows XP a los que ya no le valen los navegadores actuales desde hace varios años, porque el hardware no tiene instrucciones SSE. Así que les tengo que poner un chrome o un firefox "con ñapa" y totalmente desactualizados para poder usarlos, y sin que sirvan para todas las webs.

#103 Con todo el respeto eso es una chorrada. Un funci/usuario medio no tiene por qué saber nada de seguridad ni de políticas de detección de malware.

A un admin literalmente se le paga para eso. Para eso y para evitar que los primeros cometan este tipo de errores.

Si un usuario medio pincha donde no debe y su disco duro queda cifrado, la culpa la tiene su admin por varios motivos. El sistema operativo podría ser uno de ellos, pero el mayor problema es por darle permisos de administrador que no debería tener.

#110 Pues mi madre no ha ido en 16 años y el año pasado fue al menos 5 veces por errores de tramitación del SEPE, todos ellos reconocidos. Tanto la empresa como ella había rellenado correctamente todo pero...

Se que es un ejemplo nada más, pero creo también que para lo valioso que es el sistema, tiene un sin fin de fallos que tienen que resolver

#28 Salvo para eso que dices, para buscar empleo tampoco es que se haya notado mucho.

Déjalo, que eso es de las Comunidades y desde luego que en ellas eso no se notaría mucho

#120 > porque el hardware no tiene instrucciones SSE.

Ostia, eso ya es de Pentum3, poco vas a encontrar hoy que no soporte mínimo SSE2.

>ero olvídate de recibir un documento de word docx por correo y poder abrirlo.

Bueno, hay visores de docx para plataformas antiguas; te sorprenderias los plugins de Word97 que hay por ahí.

#80 He visto altas en el paro para gente en ERTE en esas mismas sedes

#118 Yo te he dicho lo que hay, que a ti no te guste es cosa tuya.

Hay que ser muy cabrón para atacar a una institución cuya funcionalidad es darle una prestación a quien no tiene dinero ni para comer.
No sólo les fastidian la operativa, sino que luego si pagan un rescate lo pagamos todos los Españoles, y si no se paga el rescate (o aún pagandolo) además pueden vender los datos que hayan robado, y os recuerdo que esos datos son los datos de vuestras familias que han pedido una prestación y que son curritos que se intentan ganar la vida.

Si van a ser unos deliencientes, que ataquen a Nestlé o Monsanto o Pepsi o cualquier otro gigante con dinero con datos privados de usuarios que se han registrado voluntariamente, pero no al pueblo al que no le ha quedado más remedio que acudir al SEPE para poder comer.

Cero tolerancia contra estos hijos de la gran puta.

#123 Eso se lo tendremos que decir al señor X que fue el que privatizó ese servicio para las ETTs.

#78 No te niego que casos hay de trabajo profesional.

Pero por ejemplo han habido cobros indebidos, errores de tramitación y coordinación. Sobre todo lo he visto en empresas que operan con trabajadores en distintas CCAA

#129 A ver, todos nos equivocamos, el problema de tramitar millones de solicitudes es que incrementas el número de errores por pura proporción. Aún así, y por el gremio al que me dedico, la mayor parte de errores han sido por parte de tramitadores o porque los beneficiarios tenían deudas con la seguridad social.

#120 De momento se que existe "Antiword" para Windows 95, cualquier administrador monta un bat con un icono de acceso directo que abra el contenido en el bloc de notas, en WordPad o en un visor PostScript (en Windows los hay en castellano).

He visto ñapas peores en equipos antiguos.

#50 también quieres, además, que nos quedemos sin jueces en España.
Bueno, sin jueces no porque los que están dispuestos a apoyar a los políticos corruptos jamás dimitirán.

No hay muchas luces tampoco fuera de la administración.

#19 Está claro que esto puede pasarle a cualquiera en un momento de despiste, que vas con prisa, tienes mucho trabajo o lo que sea y te pillan.
Pero ala vez, por eso es importante tener aprendidas las pautas de seguridad y aplicarlas mecánicamente: no abrir cosas personales en el trabajo, mirar quién me manda este correo, si viene de fuera a ver quién es este pollo, qué petición más rara... Así ya lo haces inconscientemente y es más complicado que te la cuelen.

#59 la gente no entiende ni para lo que sirve el SEPE pero se permite insultar a los funcionarios por la mucha envidia que hay.

#121 que a un admin se le pague por eso no quita que pueda cometer errores por desconocimiento, pereza, incompetencia o lo que sea. no deja de ser un factor humano el que lo ha provocado. tiene mas delito en el caso del admin que en el caso del usuario común. pero no quita verdad a lo que digo de que la mayor vulnerabilidad siempre será el ser humano, independientemente de sus capacidades o su rol dentro del sistema.

#134 Yo tengo la teoría de que todos esos pobres curritos que se quejan amargamente de sus jefes y de lo malos que son los empresaurios, serían los más tiranos de los tiranos si tuvieran algún tipo de poder. Solo hay que ver como hablan de los funcionarios, dado que se sienten "sus jefes" por "pagarles el sueldo"

#49 Cuando no usaban cassettes, y salvo que tengas a esos magos de la informática que han conseguido que puedan conectarse a ella olvídate de Internet al menos cómo la conocemos.

Ah, sí, la era de los monitores de fósforo verde y ámbar (quizás me he pasado) y las tarjetas EGA/CGA.

#28 pues que hubieran puesto refuerzos, nunca gestionan bien las cosas, ni cuando no hay pandemias, y cuando hay problemas reales se colapsan y la gente se queda tirada y jodida...hablar es muy fácil, si, trabajar mal también.
Nadie dice que sea sencillo hacer su trabajo, mucho menos en la situación de la pandemia, pero que se busquen la puta manera de hacer su trabajo, lo que no es normal es dejar a miles de personas colgadas, que hagan su puto trabajo, y si no dan abasto que saquen refuerzos de donde sea, que para eso se pagan impuestos.

#72 te confirmo que la búsqueda de empleo la llevan las CA.

También entiendo que para la gente el SEPE es todo por que están en las mismas oficinas para facilitar que la gente no tenga que ir a sitios distintos cuando se queda en paro

#102 Pero los correos en texto plano no permiten poner la firma corporativa chachi (true story).

#34 Los bares han estado cerrados. Los ramsonware llevan entre nosotros más de 10 años. Los ingenieros de sistemas contratados por españa como funcionarios cobran más de 3000 euros al mes y son más de 100 de plantilla.
Seguro que en los discos duros de los submarinos que no flotan cabia un rsnapshot donde hubieran visto con un simple monitoraje que tal dia entró un ramsonware. Pues el crecimiento de espacio sería diferente al habitual. Yo tengo una empresa de frutos secos y me atacó el ramsonware. Perdí 1 día de trabajo. Ni siquiera acabé con la carrera! Hago de administrador de sistemas a ratos.
No me jodaís. #28
#1 #5y #11 tienen razón
Y aparte de esto, quien tiene sus propias bases de datos en un servidor windows donde pueda tocatear alguien que no sea ingeniero con conocimientos para no ejecutar nada que no sea de fuente confiable?

#5 un mes y medio hace que nos hackearon a nosotros, y ahora empezamos a levantar cabeza

#126 Lo mismo te puedo decir yo.

#141 Decir que los sistemas están gestionados de culo, te lo compro. Asumir que, por ser funcionarios, los empleados se pasan el día rascándose a dos manos no.

Ala! Otro mes que no cobramos!

#140 Que la ponga como adjunto MIME en un PNG y a vivir.

#137 Hay gente que ha conectado a esos bichos con un adaptador serie-wifi.

Y todos esos null en el texto de la noticia???

#144 A ver, o están el día rascándose los huevos o bien están haciendo quehaceres que les mandan y ninguno/a ha denunciado a la opinión pública que no se están haciendo las copias de seguridad pertinentes.
Vamos no me jodas, cualquier que haya cacharreado un poco sabe que hay dos tipos de usuarios de informática, los que hacen copias de seguridad y las que aún no las hacen.
No me creo que alguien con 5 años de carrera más 1 año de prepararse para el equipo de informáticos del estado (conozco a quien ha estado estudiando esto en Madrid) no sea del primer grupo.
Y claro como comprenderás en un sistema de ingeniera hay un equipo encargado de las cópias de seguridad.
Es como si hay un inciendo en tu casa y llegan los bomberos a pie, sin mangeras ni camiones. Está claro que la culpa tendrá que ser de alguien.
Pero en españistán no pasará nada.

#99 Eso no interesa (automatizas las cosas)

#4 Sí, están más o menos al nivel de tu ortografía

#28 Pero pudieron haber evitado todo este problema si hubieran usado Linux.

#91 Pienso que una gran parte (y seguramente la mayoría) de los trabajadores mayores de 50 años que trabajen en el SEPE tienen muchos años de experiecia con PC y herramientas como el correo electrónico. No son nuevos trabajadores que haya que formar. Seguramente han leido un montón de circulares sobre los ataques por emails falsos.
Pienso en el ataque Wanna Decryptor que no respetó la media de edad de las empresas.

#149 Again: mezclas administrativos con técnicos informáticos.

#65

Esta gente siempre dice que ya trabajaron suficiente estudiando la oposición. Para ellos siempre será trabajar demasiado.

#85 nosotros lo hemos hecho para ver quien cae...

#141 Me sorprende que teniendo una simple empresa de frutos secos hayas perdido un día de trabajo. Llegas a tener que proteger el SEPE y perdemos un mes de trabajo.

En cuanto a windows ¿de dónde te sacas que tengan un servidor "donde pueda tocatear alguien que no sea ingeniero con conocimientos para no ejecutar nada que no sea de fuente confiable"?

#11 En septiembre, el encargado de mantenimiento de un edificio de la junta me dijo que una mañana se cayó todo el sistema durante 2 horas, y en ese tiempo solo llamo 1 empleado a preguntar qué pasaba. El resto ni se dieron cuenta.

#28 Pues no será por atender a los ciudadanos, porque presencialmente es imposible con la excusa del covid dan unas largas que asustan al miedo.

¿Ransomware? Vamos no me jodas.

Donde no tengan backup la jodienda es gorda.

#19 claro, yo estoy hablando de campañas de ransomware genéricas, las focalizadas a una compañía y a ciertos usuarios de estas son gallos de otro cantar... pero con las campañas de concienciación que hacemos, los falsos ataques, etc hemos conseguido disminuir muchísimo los casos de intrusión, ahora llaman mucho a los de soporte ante cualquier sospecha... luego la otra vía de defensa (y paralela) es dar por hecho que tus usuarios van a meter la pata y cortar accesos por doquier, impedir las credenciales administrativas globales, autodescubrimiento de patrones en ransomware, etc...

#154 No sabes que hay un grupo de ingenieros en sistemas contratados directamente para i por el estado?

#158 Cúentame cuandos ramsonware hayan atacado a una base de datos postgresQL en un servidor detrás de un cortafuegos

#102 HTML no puede ser el problema, en tal caso lo será JavaScript (o la ejecución de algún código escrito en algún lenguaje turing-completo o algo que se le acerque).

#141 La informática en las administraciones no está soportada convenientemente ni en cantidad ni en calidad, sólo se "malgasta" en proyectos para empresas con poca o ninguna responsabilidad y a menudo nulo provecho.
Los funcionarios informáticos son pocos y malpagados y una de las razones es porque los políticos no saben tratar con ellos y se sienten amenazados por sus propios funcionarios, los cuáles a menudo no están de acuerdo con sus objetivos ni los medios recibidos.

#164 35, ni más ni menos

#4 te refieres a Indra & cia???
Yo no sería tan maligno ... apuntaría a un "drop database"... o peor aún , a una actualización en el entorno producción de oracle

#164 Perdón, se me ha olvidado decirte que me cuentes con pelos y señales todo lo que sepas sobre este ataque al SEPE, de qué ransomware se trata, cómo entró, por qué entró, qué puntos atacó, qué infraestructura tienen, cómo son sus servidores y bases de datos, qué cortafuegos tienen, cuáles fueron atacados, todo lo que sepas a ver si llegamos a buen entendimiento.

hay un virus peor en el pais, se llama socialismo.

#165 Interpretar html tambien tiene jodiendas.
Y por lo general quien usa html tambien "llama a" casa, ya que usa librerias
del navegador al cargar a veces contenido externo.

No por seguridad pero sí por privacidad.

#141 ¿Estás comparando una empresa de frutos secos con el SEPE? .

Además, los ramsomware evolucionan, no es lo mismo uno de hace 2 años que los de hoy en día, y te lo digo yo, que si acabé la carrera y me he dedicado a la seguridad informática y algún que otro análisis de malware he tenido que hacer.

#28 ¿Que han hecho mucho? Seguro que sí, ¿se puede hacer mejor? A los hechos me remito, parece que se puede hacer mejor, en muchos de sus aspectos.

#152
En el SEPE que yo conocí eran de Sun Solaris hasta la muerte.
Claro que ha llovido desde entonces.

#95 La informática para el Estado gusta barata pero los asesores y enchufados de los políticos bien caritos.

#174 Creo que no era ese el sistema operativo que tenían instalado en las oficinas donde se solicita la prestación por desempleo.

#138 pidieron en abril internamente trabajo VOLUNTARIO GRATUITO a funcionarios de otros ministerios, presencial jugándose la salud en oficinas con desconocidos nuevos o en modo de teletrabajo, pero dinero para asesores, enchufados y para montar todo un ministerio de discriminación positiva ha habido a espuertas.

#159 pues como si se cae la red del Ministerio de discriminación positiva... no se enteran ni siquiera los que hacen como que trabajan dentro.

#22 Por no hablar de la basura de software que en general tiene la administracion publica.

#176 Nop. En las oficinas usan el S. O. más "seguro" de todos.

#4 la Administración está informáticamente externalizada hasta las trancas.
Recuerda también que en la AGE para hacer carrera próspera, de perfil técnico informático, tienes Madrid, Madrid...y también ¡Madrid!

#7 si te escribe Pedro Sánchez...desconfía siempre, puesto que es un sinvergüenza de tomo y lomo.

La de Renfe no tienen huevos de atacarla los hackers ... La atacan , les arden los ojos y acaban arreglando los fallos pensando desde Corea del Norte que se han equivocado y están entrado en la red de algún país subsahariano.

#56 in plazing mayoring.

#28 pues en cualquier empresa privada se habria trabajado por la tarde y echado horas extras, y en un mes o dos todo al dia.

Ahora claro, despues de toda la vida tomando cafes de 8 a 14 se les ha hecho cuesta arriba lo de currar.Y lo de que gente pase hambre o los deshaucien pues como que les da igual.

Hay que pagar los gastos de la reina emérita en Londres y la escolta de las infantas viajeras en pandemia... no hay más dinero para informáticos competentes.

#57 parece un ataque con la idea de hacer daño... quiero creer que el Estado no va a pagar ningún rescate.

Ojo, que mi padre ha cobrado este mes el abril del año pasado ..
es muy ridículo...

#171 Pues ahora me dejas en ascuas... ¿que "jodiendas" puede tener el interpretar un "markup language"?. Mantengo siempre un sano escepticismo en estos temas, por eso la pregunta es sincera. Pero repito, problemas por el hecho de interpretar HTML y no por llamar al reproductor de vídeo del navegador con una url no saneada (por ejemplo, la primera chorrada que se me ocurre)...

Si usas el comodín de las librerías del navegador/cliente de correo, pues ahí sí, claro, si esas librerías están escritas en C (o algún otro lenguaje turing-completo), hay espacio para el hackeo...

#127 Puede que no haya sido al SEPE directamente si no que el troyano se autoenviaba como SPAM cayese el que cayese.

#189 Código que cargue el script JS externamente, vulnerabilidades en el motor de HTML de Windows (que siendo Outlook seguro que tendrá a Edge como base e ingentes capas de compatibilidad de IE11, y en esas empresas seguro que existen plugins internos con compatibilidad para lanzar los ActiveX...

También directivos que no entienden de la pestaña amarilla de seguridad y quieren que no le salga jamás un aviso pese a recomendaciones del departamento de informática... luego pasan desgracias como esta y adios.

#164 Eso es irrelevante. Si hay políticas para abrir puertos del correo, por ahí pasa cualquier mierda desde y hacia dentro.

Más cuando hay ingentes empresas usando Outlook y Exchange, y muchos por comodidad mandan las reglas al cuerno para que las exigencias de los managers imbéciles tengan su correo donde sea.

Tu puedes tener un backend de la hostia pero si los usuarios usan XP y Outlook los que se jodan van a ser estos.

Y si usan SMB, el bicho viaja por ahí tan contento, y el usuario y los contactos de outlook van a abrirlo internamente por norma, punto.

De nada sirve tener bichos con pf detrás fltrando si ya tienes protocolos cojonudos para abrir y replicar con casi 0 vigilancia.

#1 Al parecer el sistema informático lleva 5 semanas caído. Hoy un funcionario se ha percatado de que algo pasaba.

#191 Lo que dices es, resumiendo: javascript y C/C++ (por lo de ActiveX). Estoy buscando vulnerabilidades del motor de HTML, pero no encuentro nada reseñable... esta es mi duda razonable: ¿un programa que interpreta HTML puede ser hackeado?, salvando las distancias es como si me dices que me puedes hackear con un archivo .csv

Por concretar: no puede ser problema del HTML si todo se arregla desactivando ActiveX y Javascript en el cliente de correo...

#194 Si usan XP y ActiveX en esas empresas con plugins de la época de maricastaña ten por seguro que entre eso y los adjuntos ya tienes la vida resuelta.
Más cuando el usuario abre lo que le sale la polla pensando que es un doc y luego es un vbs...

XP y 2k3 dejaron de tener soporte hace bastante, y dudo que hayan metido un POS2009 siquiera.

Bueno y quien dice VBS puede ser cualquier cosa en C# usando la API de Windows creando más diversiones todavía.

O también documentos de Word con macros, código malicioso en Adobe PDF (es lo que pasa con esas mierdas que usan JS)... hay mil maneras. Es un chiste. Con DJVU no pasa, pero claro, no se puede firmar sin usar una herramienta ad-hoc.

#194 Por cierto, con golang las putadas así van a aumentar. Puedes crear un binario Win32/64 desde Linux y OSX sin problema, este no tiene dependencias y permite crear un "sistema de ficheros virtual" dentro del binario.
Añade que está hecho para manejar redes desde el día uno, así que estos bichos van a surgir como setas.

#141 Trabajo para una empresa de software de seguridad ( precisamente en tecnologia antiransomware y otras ) y... si, hay mucho descuido. Habra de todo, pero...

#121 >pero el mayor problema es por darle permisos de administrador que no debería tener.

El problema es que para joder datos de usuarios no hacen falta permisos de administrador, si no la capacidad de ejecutar lo que se salga de la polla
en vez de implementar políticas de grupo con lista blanca.

#195 Cualquier subconjunto no vacío de {XP, ActiveX, plugins-antiguos, vbs, C#, Windows' API} contiene, potencialmente, un agujero de seguridad, pero entonces ya nos desvíamos del tema principal: HTML.

Claro está, no seré yo el que defienda la política de seguridad que se esté implementando en la administración pública, no porque la conozca, si no porque, visto lo visto, no me inspira confianza. Posiblemente pase todo eso que tú dices y algo más...

#196 Mucho abres el debate, golang tiene tanto que ver con HTML como C++.