#75 ¿Cataluña? Me encanta.

¿Los catalafachas? Me descojono de ellos y de la caterva de conversos de otras comunidades que bajan la cerviz al ultracatalanyismo.

Qué cutre ytumasismo en una noticia de cagadas de la Gene. En fin, nada nuevo cara al lazo, con una cuenta de mnm rara vez usada (probablemente clon de alguno de los de siempre).

#80 claro, claro mi converso extremeño querido.

Le diré a tu jefe de célula de la ANC que ya has llorado a desconocidos por internet en noticias que dejan mal a los catalafachas y ya puede darte tu galletita . A lo mejor te deja lamerle las botas y todo

Otro ridícul històric. A ver si publican los correos y nos reímos un rato de como mangonean los ultracatalanyistas las cosas de la Gene.

#2 La Gene es un claro ejemplo de que como es absolutamente mal gestionado uno de los recursos criticos de un ente publico tal y como los servicios digitales.
Basicamente, no hay nadie con dos dedos de frente dentro de la Generalitat que sea capaz de llevarlo correctamente. Lo tienen TODO subcontratado y el pastel repartido entre: IBM, LaCaixa(ITNow), Sermicro (corteingles y demas empresas paralelas), T-Systems, desconozco si Indra tiene algo, pero no me extrañaria. Y a la vez, cuelgan dos, tres, o todas las sub-subcontratas que hagan falta de estas ramas.

Básicamente lo que hacen es dividirlo todo entre estos proveedores, y dejar que se peleen entre ellos a un sobrecoste exhorbitado. Si realmente alguien quisiera arreglar eso deberían de crear una unidad core de ingenieros dentro de la Generalitat, que hay gente de sobras en tierras Catalanas y con necesidad de trabajo. Pero lo que hay son trepas apoltronados en sillas que les es mas fácil subcontratar e ir a tomar su cafe a las 11.00 y que se coman el marron las subcontratas.

Al final tienen ingenieros haciendo un trabajo de pena contratados por sueldos miseros en una de estas subcontratas, mientras las subcontratas se llevan gran parte del pastel por un trabajo nefasto. Esos mismos ingenieros contratados directamente de alguna manera por la Generalitat podrian optar a un mejor salario y ser capaces de organizar un mejor trabajo ellos mismos.

Es una pena el estado de como tienen muchas de las cosas, los datacenters en las oficinas de la Gene dan pena todos sin excepcion, el cloud de IBM es un petardo, buena suerte intentar correr k8s ahi, los servicios on-site y de soporte, a precios exhorbitados, otro ejemplo es el certificado digital catalan, una cosa infumable que no sirve para nada y desfasada.

Al final lo que repercute es directamente al propio dinero de los catalanes absolutamente mal gestionado para el servicio que se da, nada nuevo... la frase debería ser: Els catalans ens robem. (y soy catalan)

#15 lo mismo que pintó durante su mandato: nada, figurar!

#2 Si les han dado bien a Sony y a Nintendo, no les van a dar a la Generalitat... Viendo como se las gastan las plataformas y aplicaciones de los servicios públicos que algunos parecen de los 90. Y muchas incluso sin certificado digital a estas alturas. Lo raro es que no hayan caído mas.

Un ejemplo:
arado.juntaex.es/laboreo/inicio.aspx

Sony:
www.abc.es/tecnologia/abci-entrevista-sony-201104290000_noticia.html

Nintendo:
www.vidaextra.com/nintendo-switch/nintendo-confirma-que-160-000-cuenta

Y había otra mas, no encuentro la noticia pero lo lei en meneame, en un evento de nintendo los administradores usaron la contraseña 1234 y también les dieron.

Pues me gustaría ver un documento más técnico, pero si las contraseñas se guardaban encriptadas no deberían poderse leer.

Sería muy raro que no se hiciera así a estas alturas.

#65 Eso que cuentas no es nivel cataluña, es nivel españa, es la forma de proceder a nivel informatico de todo el pais.

La República digital.

Que una página gubernamental sea sensible a un ataque sql injection a estas alturas del siglo, ya tiene tela. Y si guardaban las contraseñas en texto plano, ya es de premio.

Qué pinta la foto de Torra?

#62 En ningún sitio, se guarda su hash en la bdd

#2 No creo que sea un sql injection. En voxpopuli no saben ni dónde tienen la mano derecha.

El artículo cita una librería desactualizada y un caso similar de robo de contraseñas en Vueling.

Creo recordar que en aquel caso fue más bien un keylogger que enviaba los datos del formulario a otro servidor.

#99 tienes razon, me colé, me referia a everis y me confundí, como bien dices, me deje bastantes en el tintero y de las que no sé.

Inyección SQL en una plataforma que debería estar muy bien protegida... es una de las vulnerabilidades más clásicas comúnmente (aunque no siempre) causada por malas practicas.

#5 No sería tan raro. Yo me he encontrado desarrollos donde la contraseña estaba sin cifrar. En pleno 2020.

#12 del CNI of course

#2 Cambia algo pero tampoco tanto.

Si tienes acceso a la base de datos, que las contraseñas esten encriptadas pueden evitar que alguien las use masivamente para probarlas en otros servicios, pero no que hagan un ataque a una en particular para obtener la real.

La Generalitat sufre un fallo de ciberseguridad y deja al descubierto miles de correos y contraseñas

Titular aséptico para maquillar lo que realmente se ha hecho.

#40

Hasta mi sobrino de 12 años sabe hacer un sql inyection... espero que las cloacas sean algo más sofisticadas que eso

#43 que sosos

#35 Se suelen utilizar PCs zombies. Pero si, si han sido un poco hábiles se camuflan bien. El log les podrá dar pautas. Como el rastro acabe en China o Rusia, les va a dar igual porque no van a mover un dedo alli.

#41 +1 Si fuera SQL Injection las habr'ian reventado hace anhos.

#45 Exacto. Y les habrían robado toda la base de datos, que probablemente ya estaría publicada en algún sitio

Ninguna de las webs reportadas figura como un sistema crítico y, por lo tanto, no contenían datos críticos o sensibles

No se, pero viendo las páginas afectadas me resulta muy raro que no hayan accedido a datos sensibles. Habrá que ver cuando se podían llevar, pero tiene pinta de que han podido hacer un volcado completo de las BBDD afectadas, y seguro que había datos "bonitos" en las mismas.

#14 No en la administración. No se multa a sí misma, o sea que...
Al menos es lo que me contaron en un curso sobre esto en la agencia catalana de protección de datos.

#30 No son solo son preocupantes las contraseñas, Ensenyament tiene datos personales de todos los niños de Cataluña

¿Pero quién demonios almacena hoy en día una contraseña en base de datos?

#9 si se entera la agencia de protección de datos de eso te cae un puro que terminan de pagarlo tus nietos

#8 Doy el punto de vista de alguien conocedor que para la gestión de los sistemas de información de las administraciones públicas no lo suelen hacer funcionarios sino un entramado de empresas cárnicas y UTEs que no dudan en contratar o bien becarios o bien gente hasta los cojones de cobrar una miseria.

#11 ¡Tash-Koh-Tah!

#65 Yo he llegado a contar 6 hasta niveles de subcontratación para que al final, el "ingeniero" fuera un chavalito que no sabría ni reinstalar su propio PC

#50 Hasheada y con una sal

Y si eres Bruce Schneier, con sal y pimienta:

www.schneierfacts.com/facts/671

#77 un SSO (single sign on) puede usar cualquier protocolo para ello. El de Windows usa el AD y Kerberos.

Se pueden usar cosas como CAS, Kerberos, SAML, OAuth,OpenID...

#124 la llave quizás, aunque la puedes usar en las cuentas de google y microsoft y es el metodo que usan sus empleados. Pero el certificado digital y el DNIE lo usa bastante gente, yo mismo para acceder a la administración.

De todas formas la pregunta no iba por la comodidad sino porque, práctico o impractico, sería una forma de no guardar contraseña en ningún sitio, ni siquiera su hash.

#125 si si, estoy de acuerdo en que sería un sistema, pero ninguna administración publica utiliza sistemas así de manera masiva. Guardar la password hasheada debería ser suficiente.

#8 pues hombre, o están en un sistema LDAP o los tienen externalizado via algo como OAuth (que por detrás usará una base de datos o un LDAP), o están en una base de datos.

Salvo que tengas necesidades de SSO, no tiene nada de malo tenerlas en una base de datos, otra cosa es con que hash lo tengas guardado. Un SHA-384 con random salt es muuuuuy jodido de romper

#31 Claro, pero ese hash solo te sirve para validar si una contraseña es correcta, pero no contiene la contraseña en si. Podrías hacerlo público y no serviría para mucho

#73 ah ok, entiendo hash como validación de contraseña
pero algo se debe guardar
entendí que no se guardaba nada (ni el hash)
si es así, entendido
positivo para tí

#8 Pues todo el mundo.

Hasheada y con una sal. Pero todo el mundo la almacena en la base de datos.

#83 Ya veo

#13 el que programa no es el funcionario, es la empresa adjudicataria

#31 Como indica #38, la idea de usar hashes es la de aplicar conceptos matemáticos que permiten exponer datos en su versión transformada sin que se pueda recuperar la original (entre otros conceptos).

Creo recordar que cuando eso no se implementa correctamente (que haya una relación biyectiva entre dato original y hash) se puede usar para intentar adivinar. Aparte de que haya funciones más o menos "adecuadas" para transformar el dato en hash.

#65 itnow que yo sepa no tiene nada con la Generalitat. Y te has dejado a everis, dxc, ticxcat y algunas otras.
Por otra parte, la Gene tiene su empresa con sus ingenieros (el todopoderoso CTTI) pero el problema es que el caos de aplicaciones, lenguajes, frameworks, gestores de bbdd, etc, con permanentes cambios y urgencias, es tan descomunal que aún es raro que no pasen más cosas.

Por lo demás, estoy de acuerdo contigo. Hace falta poner orden urgentemente ahí. Yo estuve trabajando unos años y salí quemadísimo de echar horas extras para corregir desastres funcionales y técnicos de todo tipo.

#62 se guarda un md5 o sha de la pass en la bbdd. Pero si te pillan ese hash no sacan la pass.

#2 pregunta en twitter q las guarda/ban en plano

#65 Eso es el día a día de todo.

#115 En tu cuenta tendrías que elevar el 72 a la octava, no a la décima, y si las cuentas no me fallan tienes el resultado en unas 200 horas (a ojo porque estoy con el móvil y haciendo las cuentas de cabeza) , según tu potencia de 1.000.000 hash por segundo, que no va a tener mi PC pero va a sobrepasar en mucho una botnet si están muy interesados en tu contraseña.

Aquí tienes una afirmación que incluso supera la mía, 1 hora y cuarto según ellos. Aunque consiguen 100 gigahashes por segundo, no parece algo que se pueda lograr en un PC normal. Tampoco tienen un hardware demasiado loco, alguien que realmente quiera descifrar contraseñas se lo puede permitir sin problema.

www.ticbeat.com/seguridad/contrasena-menos-8-caracteres-horas/


Por otra parte asumes una contraseña aleatoria total, que es el caso peor, pero la mayor parte de las contraseñas van a salir con un ataque arcoiris, porque unos habrán usado palabras de diccionario poco modificadas y otros creerán ser aleatorios, pero son humanos y casi siempre empezarán con mayúscula y dejarán los números y símbolos al final.

#13 Pero es que eso no lo hace el funcionario sino quien diseña el programa.

#23 hace tiempo en la aepd había un buscador de resoluciones, pero como indica #28 hay casos en que no afecta a aapp

#43 Recuerdo cuando cifré las contraseñas de nuestros clientes y añadí sal. Mi jefe flipó con la técnica, y al rato me vino a decir que le añadiese pimienta. Había estado investigando por google.

#65 Amén.
Aquí un antiguo subcontratado por T-Systems que estuvo currando para la Gene.
Si te digo por ejemplo que si se caía el CPD principal tenía que ir un técnico a Sabadell a levantar a mano el de respaldo seguro que no te parece raro

#8, eing?

También sería interesante saber de dónde ha venido el ataque.

La contraseña más usada es: "aquelqueantelavozespañaNOgriteunviva-NIeshombreNIesespañol".

#14 Hace un tiempo denuncié un caso de spam masivo a la AEPD donde se exponían además todos los correos electrónicos.
A lo mejor les pusieron un puro, oye, pero no me informaron del resultado. No sé yo...

#25, sí, pero el hash se guarda en una base de datos, no?

#18, vale, ya lo entendí, presupongo que hoy no hace esto ni un estudiante de primero de ingeniería informática.

#24, pero seguramente hayan utilizado un proxy.

#38, obviamente. Pero desde que leí la noticia que he dado por sentado que lo que lo que había quedado expuesto eran los hash, no las contraseñas a pelo.

#18 pregunta de buena fé
si no se guarda en la BdD.... (Encriptada evidentemente)
donde se guarda?

#11 lo lógico es almacenar el hash, no la contraseña en si.

#47 Ahí le has dado. Hoy en día no se almacenan contraseñas sino sus resúmenes criptográficos. Esa es la razón por la que en las páginas webs ya no tienen un botón de "recordar contraseña" sino de "generar nueva contraseña". Así, si acceden a la base de datos como mucho pueden robarte el hash y dependiendo del utilizado, no van a poder hacer mucho.

#42 Veo que no entiendes del tema.

#98 Si que la sacan.

No tan fácil si esta bien hecho y no es un encriptado bidireccional, pero teniendo la hash y la sal, que seguramente también estará en la misma base de datos, y asumiendo que conocen el algoritmo que transforma la clave (que conocerán porque usarán uno conocido) se puede montar un ataque que la obtenga con unos cuantos miles de intentos. Como la hash ya la tienen se ahorran todo el tiempo de establecer conexiones, así que muy fuertes han de ser las contraseñas para decir que no las van a descifrar.

#106 Eso dependerá de la complejidad de la contraseña. Una de 8 caracteres, incluyendo símbolos y números, se puede descifrar en pocas horas. Una de 15, si no sigue un patrón obvio, ya no la sacan, pero si no lo han obligado por política de contraseñas, con 8 caracteres o menos tendrás la mitad de las contraseñas o más.

#108 Ni idea, no leo hexadecimal.

#111 Y lo es, pero no voy a ponerme a hacer/buscar un programa y tener mi ordenador dos horas probando. Aunque serían menos, ahora no se que algoritmo has usado. El que esté interesado en sacar claves ya lo tendrá todo montado.

#113 No, he estado siempre al otro lado, pero las estimaciones del tiempo que se tarda y las combinaciones están ahí.

#120 A mi me parece también mucho, pero ellos dicen que los han obtenido y tampoco veo motivos para dudar. Me suena raro con un único dispositivo, pero aparte de que hace mucho que me desconecté de gráficas (creo que esa es bastante top), nunca he investigado cuanto podría procesar una gráfica optimizada a tope. Pero aún asumiendo que exagere, sigue estando la opción de usar varios equipos, yo sigo pensando que dos horas son suficientes para alguien que viva de eso y espere obtener beneficio económico de las contraseñas que descifre.

#122 Claro, si hablamos de gráficas hablamos de GPU. Y estamos hablando también de medios que no son normales, al menos para mí, pero tampoco son muy caros para alguien que quiera sacar rentabilidad. Esta gráfica es la que usan en la prueba de la hora y cuarto.

www.nvidia.com/es-es/geforce/graphics-cards/rtx-2080-ti/

Sqli en 2020... eso tiene que llevar ahí siglos, y raro es que no lo hayan explotado... es lo más sencillo del mundo y lo que prueban todos los script kiddies

#6 Aunque no sean críticas mucha gente usa siempre la misma contraseña, así que una vez consigues una es cuestión de ir a otra web que sí tenga "información sensible" y probar con esas mismas credenciales.

#47 eehhhhhhmmmm, sí, se de que va eso y se como funciona un algoritmo de hash, pero gracias.

#22 Una cosa no me queda clara, SSO no usa OAuth?

#102 No de forma directa, pero aplicando fuerza bruta dependiendo del tipo de hash y de la longitud y mapa de caracteres usados si es técnicamente posible.

Y en el ejemplo que pones f(hash(dato)) = dato, sería hasta posible que el dato que quieras hashear ya haya sido resuelto y se encuentre en alguna rainbow table. Todo se complicaría más si se añadiera un salt.

Cualquier motivo es bueno para desatar la catalanofobia, incluso un tema de seguridad informática y sin saber si ha habido robo de datos o de donde ha venido la brecha de seguridad.
Por desgracia continuamente están atacando a entidades públicas de distintas formas (sql injection, ransomware etc), para sacar datos y pasta

#36 #33 #18 supongo que os referís a guardar la password tal cual, sin hash no? Porque si no es hasheada bbdd o en archivos ocultos encriptados, no conozco más métodos.

#50 es que lo almacenas en la base de datos, pero hasheado. Ambas cosas no son excluyentes

#119 hombre, eso es poco práctico.

#126 Bueno, era más un ejercicio que otra cosa para decir que por poder... se puede.

Pues revisando el asunto ha sido un error involuntario. Sorry. Pero en MNM se suele contestar con un... a MNM se viene llorado.

#9 Diselo a Adobe, que le robaron todas las cuentas y ni siquiera tenian una sal

#5 si te descuidas y la contrata era indra precarios s.l , podrian estar perfectamente en una excel

#81 No haces más que decir disparates. Ahora tengo ascendencia extremeña o lo que sea
Y por supuesto seguro que estoy involucrado con la ANC

Sigue probando.

Que tengas un buen día, y no tengas pesadillas por la noche con puchi

La contraseña más frecuente fué: puchi1234

#117 se refieren a eso pero ¿Y usando una llave USB? Si no me equivoco no se guarda ni contraseña ni hash sino la clave pública del usuario y esa da igual que la roben porque es pública. O también un certificado digital o DNIE.

#130 desafortunadamente no me parece para nada raro madre mía que cutrez, es de risa lo que me cuentas, esa aun no la había oído nunca de ningún lado.

#12 Anda que si viniese de "juankers" chinos o rusos se te iba a caer el mundo encima...

A cualquier intervención de las cloacas del estado se le llama fallo de seguridad.

#22 a lo que #8 se refiere, es a que NO se debe almacenar nunca una contraseña en texto plano, sino un hash de la contraseña.

El tema funciona a grandes rasgos así: cuando el usuario introduce la contraseña en la pantalla de log in (por ejemplo), se compara el hash almacenado con el hash de la contraseña del usuario. El algoritmo de hashing (debería) ser unidireccional, por lo que un atacante que se hiciese con esos hashes no sería capaz de suplantar a los usuarios afectados.

Eso te vale lo mismo en una base de datos, en LDAP o ficheros de texto. Como en una auditoría te cacen con contraseñas en texto plano, te puede caer un multón de impresión.

Edit: no te había leído bien el segundo párrafo, veo que ya sabías todo eso

#12 Dice la leyenda que si lees la noticia tus dudas quedarán resueltas.

#84 rot13 hombre.

#8 Mucho mejor en una libreta al lado del servidor

#33 Uy. Pues no sé cómo andarán ahora los estudiantes de primero de ingeniería de informática, pero yo he visto burradas así en sistemas de producción, en el departamento de informática, hace menos de una década.
Vamos, lo que dice #36. Otra cosa es que sea una salvajada (y hay muchas).

#13 me pongo en tu punto de vista y veo la vida muy gris

#12

Yo no llamaría ataque a un sql inyection ... un ataque es otra cosa.