Etiquetagobierno

Los detalles de las vulnerabilidades del software gubernamental SGS

gobierno-transparente-nuevo-01

Con el fin de cumplir con la Ley 20.285 mas conocida como Ley de Transparencia, el gobierno desarrolló un sistema web el cual debía ser implementado por distintas instituciones del gobierno. El sistema es conocido como Sistema de Gestión de Solicitudes o mas bien SGS y dentro de las instituciones que lo utilizan esta el Servicio Nacional de la Mujer, Ministerio de Transporte, Ministerio Secretaría General de la Repulica, Ministerio de Justicia, DIPRES, Secretaría General de Gobierno, Fonasa, entre otros.

De acuerdo a lo descrito en el sitio web del sistema: Fue diseñado para que los órganos y servicios de la Administración Central del Estado dispongan de una herramienta para gestionar y controlar adecuadamente los procedimientos de recepción, derivación y respuesta de las solicitudes de acceso a la información.

En el post pasado di a conocer que este sistema era vulnerable a distintos tipos de ataques, pero no entregué detalles al respecto. En el primer aviso que envié a los responsables les solicité que les avisaran a todas las instituciones publicas que utilizaban este sistema para que estuvieran al tanto de los agujeros de seguridad y para que puedan tomar sus propias medidas de seguridad mientras el software SGS se parchaba, luego en una reunión que tuve de forma presencial con ellos (interior+segpres) tambien les mencioné lo mismo y finalmente tambien se lo mencioné a una persona encargada de la Unidad de Modernización y Gobierno Digital. Nadie le tomo el peso al asunto y no se les avisó, por lo tanto decidí publicar que el sistema era vulnerable; aunque sin mencionar los detalles ya que me había comprometido a darles tiempo antes de publicar cada vulnerabilidad detectada.

Bueno, horas despues de haber hecho publico, los responsables enviaron un comunicado a las instituciones publicas indicando que temporalmente el sistema sería dado de baja y dentro de los próximos dias iban a comunicar los pasos a seguir para una solución definitiva. Un par de dias despues enviaron otro comunicado indicando que el sistema fue dado de baja de manera permanente y que en un par de meses ibana disponibilizar otro sistema bajo otra modalidad: As A Service, es decir, un servidor centralizado, administrado por ellos, donde cada institución tendrá su “espacio“. Claramente esto no soluciona las vulnerabilidades, simplemente las “esconde”. El código fuente dejará de estar disponible bajo Software Público, es decir, nadie lo podrá descargar y analizar.

Los responsables del SGS tuvieron acceso al texto que leeran a continuación hace un par de semanas, sin embargo, tenian conocimiento de estas y otras vulnerabilidades desde Junio del 2014, ya que se les notificó.

 

Seguir leyendo

Chile: Vulnerabilidad en software gubernamental expone a decenas de instituciones publicas

gobierno transparente nuevo-01

Con el fin de cumplir con la Ley de Transparencia, las instituciones publicas deben disponer de un sistema que permita a los ciudadanos a solicitar información publica. Algunas instituciones optaron por el desarrollo propio de un sistema que permita gestionar estas solicitudes y otros prefirieron utilizar un software gratuito publicado bajo la licencia de software público y patrocinado por el Ministerio Secretaria General de la Presidencia (minsegpres).

El software desarrollado por el minsegpres tiene una serie de vulnerabilidades de alto impacto que pone en riesgo a las instituciones que lo implementen, sin que tengan conocimiento de ello.

Seguir leyendo

Seguridad del sistema de Servicio de Impuestos Internos (SII): Algo anda mal …

En el post anterior ya vimos cómo el mismo sistema de servicios de impuestos internos (SII) violaba la seguridad de nuestras contraseñas; en este nuevo post comentaré las recomendaciones de seguridad que aparecen publicadas en el sitio web del SII y tambien analizaré el manual de configuracón para la utilización de ingreso mediante certificado digital o firma electrónica.

En este link, pueden ver las Recomendaciones de Seguridad, donde dan los siguientes consejos:

  • Nuestro Servicio sólo envía correos de carácter informativo, no se adjunta ningún link o documento que deba descargar.
  • El Servicio nunca solicitará respuesta a los correos electrónicos.
  • Nunca se solicitará datos personales, rut ni su clave secreta.
  • Si le solicitan este tipo de información puede estar siendo víctima de un fraude, provocado por un phishing, virus o troyano.
  • Escriba la dirección completa www.sii.cl en su navegador de internet y asegúrese de hacerlo en lugares conocidos.
  • Mantenga su computador actualizado con sus parches y antivirus al día para protegerlo de software malicioso.
  • Si su navegador (Firefox, Explorer, Chrome u otro) le ofrece “volver a recordar clave”, no lo acepte nunca.
  • No permita que otros vean su clave secreta.
  • No ocupe la misma clave del SII para otros sitios en Internet.

Seguir leyendo

Una mirada profunda de la seguridad en los sitios del ejército

Este corresponde al segundo documento relacionado al concurso de investigación en seguridad informática, el documento fue escrito por @D4NB4R y analiza sitios web que corresponden al ejército de chile y de colombia.

El documento comienza con un tipo de crítica a los eventos de tecnología que existen hoy en día

Esta es la investigación de casi 1 año con esfuerzos y mucha lectura, esta era la conferencia
planeada para mostrar en el Campus Party pero desafortunadamente no soy de la White hat
farandulera que van a exponer sus camisetas estampadas, sus portátiles o sus libros para quitarle el
dinerito a los niños que los alaban, así que será para una próxima oportunidad, pasado esto creo que
es hora de publicar el paper, de antemano pido excusas,primero por si encuentran errores de
ortografía o redundancia en párrafos espero entiendan que está escrito tal cual pensaba. También a
las personas que se sientan atacadas o vulneradas tanto de manera verbal como de manera
tecnológica soy consciente que el texto es un poco fuerte y que puede herir susceptibilidades, solo
busco mostrar una realidad y evitar un posible ataque de estos a gran escala.

Los objetivos seleccionados por D4NB4R son

El análisis lo hace sabiendo que no se trata de un pentest o ataque a una panadería o a un sitio de algun cantante,  se trata del ejército.

Seguir leyendo

Nivel de seguridad informática en los gobiernos

Con este título publico el primero de los resultados de las investigaciones enviadas para el concurso de investigación en seguridad informática organizado junto a ComunicaciónAr WebHosting.

El documento fue enviado por Ignacio y trata sencillamente de que los sitios o sistemas web del gobiernos son facilmente vulnerables a ataques tan simples y basicos como SQL Injection y Cross-Site Scripting, los cuales permiten realizar ataques desde un ‘deface’ local a nivel de cliente  hasta tomar control remoto del servidor.

Seguir leyendo

Resultados del Concurso de Investigación en Seguridad Informática

Con la idea de motivar y promover la investigación en temas de seguridad informática, hace un par de dias junto a ComunicaciónAr WebHosting lanzamos un concurso donde los participantes debían investigar y escribir un artículo  respecto a un tema especifico.  Los temas a escoger eran Comunicación segura bajo el protocolo TCP, Ataques SCADA a gran escala y Nivel de seguridad en los gobiernos.
De los participantes, uno se interesó en los niveles de seguridad en los gobiernos, otro mezcĺó un poco el gobierno con scada y el último habló netamente de sistemas SCADA.

Los documentos e investigaciones enviadas estan en proceso de “edición” para poder publicarlos en este blog y estarán disponible durante los proximos dias.