lunes, diciembre 10, 2012

"Descuido" gordo en la Web del Senado de los 500.000 €

Después de que se armara gorda por el coste de los 500.000 € de la web del Senado, que incluso llevó a algunas personas a desarrollar la misma web pero en versión Low Cost, un lector del blog - ¡Gracias Eduardo! - me alertó de que la plataforma de gestión de contenidos del Senado estaba basada en Oracle Content Server y se habían olvidado de proteger el acceso al CMS, permitiendo el acceso anónimo.

Figura 1: Contenidos de la web del Senado en Oracle Content Server

Cuando estuve viendo lo que estaba publicado en Internet me asusté un poco, porque estaban todos los contenidos de la web, incluida la información de los usuarios que los habían subido, los archivos que estaban ocultos sin publicar, o las opciones de manipulación de los mismos.

Figura 2: Información detallada de cada contenido, incluyendo el usuario que lo subió

Por supuesto, me pareció un fallo bastante preocupante, así que opté por reportarlo a la Guardia Civil para que avisaran a los responsables y lo quitaran de Internet - o lo protegieran -. A día de hoy, por suerte, no está ya online.

Figura 3: Opciones de manipulación de ficheros. Si alguien consigue una password.

La pregunta es, ¿con todo este dinero no se podría haber hecho una auditoría de seguridad web antes de ponerlo online? Poner un servicio online sin pasarle un pentesting me parece descabellado hoy en día. Si alguien hubiera sacado la lista de usuarios, y hubiera realizado un ataque a la contraseña, por ejemplo con la idea de las passwords suprayectivas, podría haberse liado parda.

Saludos Malignos!

19 comentarios:

  1. No se por qué creo que se patinaron toda la plata!

    ResponderEliminar
  2. Descuido ó simplemente ineptitud supina ?
    Yo lo llamaria chorizeo al por mayor...
    P.D. Demuestra que no eres un robot. Pues hombre, fácil: Quita esa p... m... de comprobación que me tiene hasta los p... co...
    Ves que fácil ? ;-)

    ResponderEliminar
  3. Encima de ladrones, ineptos!

    ResponderEliminar
  4. Qué vale una licencia de Oracle Content Server?. Me parece matar moscas a cañonazos

    ResponderEliminar
  5. Mando un saludo desde aquí a mi colega "Edu el trujas" el cual, con toda probabilidad es el autor del descubrimiento.

    ResponderEliminar
  6. Solo se puede decir un enorme:

    JOOOOOOOOOODER

    Con una letra de figlet de 72.

    ResponderEliminar
  7. Al lado de esto parece una tontería, lo he reportado, pero no me hacen caso: http://alonso-vidales.blogspot.com.es/2012/12/non-persistence-xss-on-spanish-senate.html

    ResponderEliminar
  8. ¡Calla insensato, que afectas negativamente a la imagen de la marca "España"!

    Juas...

    ResponderEliminar
  9. Hola, me parece totalmente normal, de los 500000, una parte ira a licencias, otra a beneficios, y una pequeñisima a sueldos lo más seguro que un pardillin con poca experiencia con el Oracle Content Manager, y con mucha presión.
    Y encima se llevara las culpas este

    ResponderEliminar
  10. Bueno,, tú tampoco eres demasiado discreto, que digamos...

    La prueba de lo que digo en la segunda fotografía, en la parte inferior.

    ResponderEliminar
  11. @Anónimo, es la ruta a una imagen en la parte públic, solo tienes que buscar las URLs de las imágenes y te salen, no es tan difícil...

    Saludos!

    ResponderEliminar
  12. Sinceramente no se por qué lo reportas, yo no lo hubiera reportado lo hubiese dejado para que le jodieran la web

    ResponderEliminar
  13. ¿Qué empresa le hará ahora la auditoría a esta web? Eso será público?

    ResponderEliminar
  14. Estoy de acuerdo con Techblog, no se merecen absolutamente nada, vale el animo de ayuda pero dado a quien pertenece la web y todo el cachondeo sobre la misma y lo que se rien de todos...

    ResponderEliminar
  15. Y digo yo...¿por qué un proyecto informático no es como hacer un puente o un túnel? Debería hacerse conforme a unos estándares, buenas prácticas, normativa de tests, etc, etc...Ah, no! Que entonces hay que colegiar a los ingenieros y programadores y se nos acaba el chollo de la mano de obra barata y hay que pagarles lo que se les paga en USA, UK, Australia, Canadá o Israel

    ResponderEliminar
  16. Yo no hubiese dicho nada al Gob, es más, lo hubiese publicado en todos los medios para que vea la gente que encima que nos chulean la pasta luego seguro que han recortado el contrado con el proveedor ahorrandose la auditoria de seguridad y alguien ha pillado pasta pasta.
    Ahora a ver en que medios "no especializados" sale esta noticia.. EN NINGUNO! ;-)

    ResponderEliminar
  17. La cosa es que españa tecnologicamente va mal,y no porque falten profesionales,que los hay y muy buenos,sino porque el enchufe,el amigismo y el "si solo es una pagina, que peligro puede tener" se lleva mucho,la gente desconoce hasta que punto puede hacer daño un fallo en un computador,en una web,en un servidor...etc

    ResponderEliminar
  18. Es normal, por las prisas de subir a producción y que todo funcione estas cosas nunca se miran, tampoco se invierte pasta en seguridad, más del 90% de la pasta se la llevan los comerciales, licencias y el hierro, caso de Oracle/SUN. Además los 30k que como mucho le habrán dado al partner X para hacer la web encima no le pidas que securice el tema, seguro que el ingeniero/desarrollador avisó que habría que hacer una mini auditoría o al menos un mini hardening y pasaron de su culo porque si no no entraban en tiempos, esto es de lo más normal y en Oracle/Sun es el pan nuestro de cada día, un día les reventará todo en su jeta de tanto inflarla.

    ResponderEliminar
  19. Esto es digno de un articulo en ingenio2010 http://www.ingenio2010.com/index.php/Senado_2012

    ResponderEliminar