Como ya sabéis todos, hace poco que se publicó El Portal de la Transparencia del Gobierno de España. Un sitio web en el que se vuelca información sobre compras, concursos e incluso organigramas internos de muchos de los organismos oficiales de nuestro gobierno de España. En él se puede encontrar información de todo tipo, e incluso alguna que puede ayudar a un posible intruso cibernético a planificar su ataque, buscando información del software de seguridad informática que se está utilizando.
Yo no había tenido aún tiempo de echarle un ojo, pero ayer quise dedicarle una mirada a algo que desde que se publicó rondaba mi cabeza: "¿Quitarían los metadatos de los documentos que publican en él para cumplir con el Esquema Nacional de Seguridad respecto a las medidas de limpieza de metadatos en documentos públicos?"
La verdad es que muchos de los documentos son directamente enlaces al portal de contrataciones, donde los archivos se generan bajo demanda, y vienen totalmente limpios de cualquier metadato. Otros muchos documentos provenientes de algunos ministerios concretos vienen limpios como la patena, lo que me ha alegrado profundamente, pero no es difícil localizar documentos que no lo están.
Figura 3: Metadatos en un documento publicado en El Portal de la Transparencia |
Jugando con MetaShield Analyzer se puede ver como muchos de los documentos - aún - accesibles vía El Portal de la Transparencia, aún conservan sus metadatos - incluso alguno como este que debía estar "limpio".
Figura 4: Otro documento con metadatos analizado con MetaShield Analyzer |
El Esquema Nacional de Seguridad es de obligado cumplimiento por todas las administraciones públicas, y los metadatos deberían estar eliminados de los documentos ya que pueden dar a un posible atacante información de usuarios, servidores internos, software, historial del documento, datos de relaciones entre personas y empresas y hasta cambios en los archivos que no fueran deseables revelar, como ya hemos visto en muchos otros ejemplos de incidentes con metadatos.
Saludos Malignos!
Esta gente no se toma nada en serio...
ResponderEliminarEstamos en España, hasta que no pasa algo, no hacemos nada.
Si son ellos quien ponen estas medidas del Esquema Nacional de Seguridad...¿Porque no lo aplican?¿Se les han olvidado sus propias normas?
Que dios nos pille confesados!! xD
Un saludo :)
Una de las características también chocantes es que la susodicha página esta montada sobre un IIS 5...
ResponderEliminarLa única explicación que veo es que no les importa lo más mínimo la seguridad, ya que precisamente el gobierno puede permitirse la última versión de cualquier cosa.
Como dice Oscar arriba...que dios nos pille confesados xD
http://transparencia.gob.es/es_ES/buscar/contenido/contratolicitacion/Licitacion_4eccc04d50064111f70e4e9093a2fb3f7e74359b
ResponderEliminarSe van a gastar 35216.29 EUR en la renovación de licencias de firewall los del Instituto Español de Oceanografía.
¿Esta gente tiene algo que proteger?
Que Google nos pille linkeados.
Veo que el documento que se muestra con los metadatos sin limpiar pertenece al Poder Judicial.
ResponderEliminarEse (el de la Justicia) es otro mundo en el que para empezar no se aplica el ENI sino el EJIS (Esquema Judicial de Interoperabilidad y Seguridad). Desconozco si el EJIS exige la limpieza de metadatos.
Que la seguridad sea interoperable entre PJ, AAPP y resto de órganos constitucionales (Congreso, Senado, T.Cuentas, etc) ya es mucho pedir, supongo...
En mi comentario anterior quería decir "no se aplica el ENS sino el EJIS" (y el ENI tampoco, ya de paso).
ResponderEliminarExcelente entrada para un blog de referencia.
ResponderEliminarPor si te interesa en mi blog también hablamos de ello http://ticseguridad.blogspot.com.es/2014/12/con-la-puesta-en-marcha-del-portal-de.html