La Generalitat de Cataluña ha sufrido una vulnerabilidad informática en al menos tres de sus páginas webs. Al menos 5.000 registros con direcciones de correos electrónicos y contraseñas han estado al descubierto por un fallo de seguridad de tipo SQL Injection, vulnerabilidad que explicaremos más adelante. El servicio de TI de la Generalitat mantiene abierta una investigación para detectar si ha habido robo de datos.
|
etiquetas: cibersecuridad , cataluña , generalitat , sql injection
¿Los catalafachas? Me descojono de ellos y de la caterva de conversos de otras comunidades que bajan la cerviz al ultracatalanyismo.
Qué cutre ytumasismo en una noticia de cagadas de la Gene. En fin, nada nuevo cara al lazo, con una cuenta de mnm rara vez usada (probablemente clon de alguno de los de siempre).
Le diré a tu jefe de célula de la ANC que ya has llorado a desconocidos por internet en noticias que dejan mal a los catalafachas y ya puede darte tu galletita . A lo mejor te deja lamerle las botas y todo
Basicamente, no hay nadie con dos dedos de frente dentro de la Generalitat que sea capaz de llevarlo correctamente. Lo tienen TODO subcontratado y el pastel repartido entre: IBM, LaCaixa(ITNow), Sermicro (corteingles y demas empresas paralelas), T-Systems, desconozco si Indra tiene algo, pero no me extrañaria. Y a la vez, cuelgan dos, tres, o todas las sub-subcontratas que hagan falta de estas ramas.
Básicamente lo que hacen es dividirlo todo entre estos proveedores, y dejar que se peleen entre ellos a un sobrecoste exhorbitado. Si realmente alguien quisiera arreglar eso deberían de crear una unidad core de ingenieros dentro de la Generalitat, que hay gente de sobras en tierras Catalanas y con necesidad de trabajo. Pero lo que hay son trepas apoltronados en sillas que les es mas fácil subcontratar e ir a tomar su cafe a las 11.00 y que se coman el marron las subcontratas.
Al final tienen ingenieros haciendo un trabajo de pena contratados por sueldos miseros en una de estas subcontratas, mientras las subcontratas se llevan gran parte del pastel por un trabajo nefasto. Esos mismos ingenieros contratados directamente de alguna manera por la Generalitat podrian optar a un mejor salario y ser capaces de organizar un mejor trabajo ellos mismos.
Es una pena el estado de como tienen muchas de las cosas, los datacenters en las oficinas de la Gene dan pena todos sin excepcion, el cloud de IBM es un petardo, buena suerte intentar correr k8s ahi, los servicios on-site y de soporte, a precios exhorbitados, otro ejemplo es el certificado digital catalan, una cosa infumable que no sirve para nada y desfasada.
Al final lo que repercute es directamente al propio dinero de los catalanes absolutamente mal gestionado para el servicio que se da, nada nuevo... la frase debería ser: Els catalans ens robem. (y soy catalan)
Un ejemplo:
arado.juntaex.es/laboreo/inicio.aspx
Sony:
www.abc.es/tecnologia/abci-entrevista-sony-201104290000_noticia.html
Nintendo:
www.vidaextra.com/nintendo-switch/nintendo-confirma-que-160-000-cuenta
Y había otra mas, no encuentro la noticia pero lo lei en meneame, en un evento de nintendo los administradores usaron la contraseña 1234 y también les dieron.
Sería muy raro que no se hiciera así a estas alturas.
El artículo cita una librería desactualizada y un caso similar de robo de contraseñas en Vueling.
Creo recordar que en aquel caso fue más bien un keylogger que enviaba los datos del formulario a otro servidor.
Si tienes acceso a la base de datos, que las contraseñas esten encriptadas pueden evitar que alguien las use masivamente para probarlas en otros servicios, pero no que hagan un ataque a una en particular para obtener la real.
Titular aséptico para maquillar lo que realmente se ha hecho.
Hasta mi sobrino de 12 años sabe hacer un sql inyection... espero que las cloacas sean algo más sofisticadas que eso
No se, pero viendo las páginas afectadas me resulta muy raro que no hayan accedido a datos sensibles. Habrá que ver cuando se podían llevar, pero tiene pinta de que han podido hacer un volcado completo de las BBDD afectadas, y seguro que había datos "bonitos" en las mismas.
Al menos es lo que me contaron en un curso sobre esto en la agencia catalana de protección de datos.
#11 ¡Tash-Koh-Tah!
Y si eres Bruce Schneier, con sal y pimienta:
www.schneierfacts.com/facts/671
Se pueden usar cosas como CAS, Kerberos, SAML, OAuth,OpenID...
De todas formas la pregunta no iba por la comodidad sino porque, práctico o impractico, sería una forma de no guardar contraseña en ningún sitio, ni siquiera su hash.
Salvo que tengas necesidades de SSO, no tiene nada de malo tenerlas en una base de datos, otra cosa es con que hash lo tengas guardado. Un SHA-384 con random salt es muuuuuy jodido de romper
pero algo se debe guardar
entendí que no se guardaba nada (ni el hash)
si es así, entendido
positivo para tí
Hasheada y con una sal. Pero todo el mundo la almacena en la base de datos.
Creo recordar que cuando eso no se implementa correctamente (que haya una relación biyectiva entre dato original y hash) se puede usar para intentar adivinar. Aparte de que haya funciones más o menos "adecuadas" para transformar el dato en hash.
Por otra parte, la Gene tiene su empresa con sus ingenieros (el todopoderoso CTTI) pero el problema es que el caos de aplicaciones, lenguajes, frameworks, gestores de bbdd, etc, con permanentes cambios y urgencias, es tan descomunal que aún es raro que no pasen más cosas.
Por lo demás, estoy de acuerdo contigo. Hace falta poner orden urgentemente ahí. Yo estuve trabajando unos años y salí quemadísimo de echar horas extras para corregir desastres funcionales y técnicos de todo tipo.
Aquí tienes una afirmación que incluso supera la mía, 1 hora y cuarto según ellos. Aunque consiguen 100 gigahashes por segundo, no parece algo que se pueda lograr en un PC normal. Tampoco tienen un hardware demasiado loco, alguien que realmente quiera descifrar contraseñas se lo puede permitir sin problema.
www.ticbeat.com/seguridad/contrasena-menos-8-caracteres-horas/
Por otra parte asumes una contraseña aleatoria total, que es el caso peor, pero la mayor parte de las contraseñas van a salir con un ataque arcoiris, porque unos habrán usado palabras de diccionario poco modificadas y otros creerán ser aleatorios, pero son humanos y casi siempre empezarán con mayúscula y dejarán los números y símbolos al final.
Aquí un antiguo subcontratado por T-Systems que estuvo currando para la Gene.
Si te digo por ejemplo que si se caía el CPD principal tenía que ir un técnico a Sabadell a levantar a mano el de respaldo seguro que no te parece raro
A lo mejor les pusieron un puro, oye, pero no me informaron del resultado. No sé yo...
si no se guarda en la BdD.... (Encriptada evidentemente)
donde se guarda?
#42 Veo que no entiendes del tema.
No tan fácil si esta bien hecho y no es un encriptado bidireccional, pero teniendo la hash y la sal, que seguramente también estará en la misma base de datos, y asumiendo que conocen el algoritmo que transforma la clave (que conocerán porque usarán uno conocido) se puede montar un ataque que la obtenga con unos cuantos miles de intentos. Como la hash ya la tienen se ahorran todo el tiempo de establecer conexiones, así que muy fuertes han de ser las contraseñas para decir que no las van a descifrar.
www.nvidia.com/es-es/geforce/graphics-cards/rtx-2080-ti/
Y en el ejemplo que pones f(hash(dato)) = dato, sería hasta posible que el dato que quieras hashear ya haya sido resuelto y se encuentre en alguna rainbow table. Todo se complicaría más si se añadiera un salt.
Por desgracia continuamente están atacando a entidades públicas de distintas formas (sql injection, ransomware etc), para sacar datos y pasta
Y por supuesto seguro que estoy involucrado con la ANC
Sigue probando.
Que tengas un buen día, y no tengas pesadillas por la noche con puchi
El tema funciona a grandes rasgos así: cuando el usuario introduce la contraseña en la pantalla de log in (por ejemplo), se compara el hash almacenado con el hash de la contraseña del usuario. El algoritmo de hashing (debería) ser unidireccional, por lo que un atacante que se hiciese con esos hashes no sería capaz de suplantar a los usuarios afectados.
Eso te vale lo mismo en una base de datos, en LDAP o ficheros de texto. Como en una auditoría te cacen con contraseñas en texto plano, te puede caer un multón de impresión.
Edit: no te había leído bien el segundo párrafo, veo que ya sabías todo eso
Vamos, lo que dice #36. Otra cosa es que sea una salvajada (y hay muchas).
Yo no llamaría ataque a un sql inyection ... un ataque es otra cosa.