www.hospitalanza.gov.co/UserFiles/ (2009-07-31)
www.conlospiesenlatierra.gov.co/ (2009-07-28)
El pasado 28 de Julio de 2009 varios sitios colombianos, entre ellos bogota.gov.co, conlospiesenlatierra.gov.co y hospitalanza.gov.co, fueron atacados por el LatinHackTeam de Ecuador. Presencié algo parecido antes cuando alguien modificó la portada de Evenpro, luego del anuncio de la cancelación del concierto de Nine Inch Nails en Bogotá.
www.evenpro.com.co/ (2009-09-16)
Técnicamente hablando el sitio fue atacado por crackers mas no hackers – la difernecia entre estos dos tipos está definida en documentos como La ética del hacker [1] -, debido a que su intención era hacer daño al sitio. Además no fue una intrusión profunda al sistema de información de las entidades atacadas, en realidad se hizo un desface, que es modificar la portada sin llegar a las bases de datos. La prueba de esto es que los sitios pasados unos 20 minutos del ataque fueron reestablecidos redireccionando la portada. Según @hlinares, con quien conversaba en Twitter mientras ocurrían, el ataque a bogota.gov.co se hizo con SQL injection, que es insertar códigos de bases de datos en los campos de formulario.
Lo que más me llamó la atención de estos ataques fue que muchos reflejaron su inconformidad vía Twitter con la manera como los sitios gubernamentales están presentando su información, porque si bien la arquitectura de información no se hace muy necesaria con proyectos pequeños donde todo lo que se publica es importante y todo puede aparecer en la portada, si que lo es con proyectos que contienen cantidades considerables de información, como ocurre en las bibliotecas o en este caso en portales gubernamentales colombianos. Una de las ideas que salieron en el panel sobre Arquitectura de Información en Campus Party es que si los desarrollos de sitios web incluyeran una buena arquitectura se ahorrarían gastos en mantener call centers y servicio al cliente (@astromario). En este caso los twiteros manifestaban que los sitios gubernamentales eran tan feos y confusos que parecían haber sido hackeados por el LatinHackteam con comentarios como «Hackearon el sitio del senado!!!: http://www.senado.gov.co/ …ahhh perdón, es así desde siempre».
Esto demuestra que los sitios gubernamentales además de no suplir las necesidades de información de sus usuarios presentan fallas en la seguridad del sistema. Por otro lado los sitios gubernamentales tienen usuarios muy diversos, lo que incluye a quienes sufren algún tipo de discapacidad. Por este motivo deberían cumplir con estándares de accesibilidad como el Web Accessibility Initiative (WAI). Recientemente Mario Carvajal publicó un informe de accesibilidad de Gobierno en Línea que puede darnos luces sobre cómo estamos en este tema, evaluando Gobierno en línea, el Ministerio de la Protección Social y San Vicente de Chucurí con un porcetaje de inaccesibilidad de 80%, 84% y 56% respectivamente, lo que quiere decir que en estos sitios no cumplen estándares de accesibilidad y que, al menos el de la Alcaldía de San Vicente de Chucurí, ganadora de los premios Colombia en línea 2008 que demostró tener un porcentaje mucho menor al de los otros dos sitios sigue siendo inaccesible para muchos colombianos.
Revisando en los foros de trabajadorweb encontré la discusión sobre la preocupación del estado colombiano en cuanto a la accesibilidad de sus sitios web y el interés que manifiestan quienes trabajan en este campo.
¿Debe el diseño gráfico competir contra la accesibilidad? ¿Nuestro público objetivo debe estar sobre usuarios potenciales en la red donde cualquiera puede acceder a la información desde cualquier parte del mundo? ¿Debe la información segmentarse y excluirse a quienes no deban acceder a ella por alguna razón?
Anexos:
[1] HIMANEN, Pekka. La ética del hacker. [en línea]. [consultado 5 de ago. de 2009].
La ética del hacker y el espíritu de la era de la información.
Por estos dias la empresa de seguridad informatica colombiana Digiware sufrio un ataque de este estilo en su portal que esta bajo joomla .
Aqui la captura de pantalla
http://4.bp.blogspot.com/_bjRZvx-WP1M/SoV1yujiFuI/AAAAAAAACd8/9D2O6OeKnzM/s1600-h/digiware-hacked.jpg
La empresa Digiware afirma que este ataque fue premeditado ya que ellos dejaron varios huecos de seguridad para mirar y estudiar los métodos de ataques de algunos crackers.
Complicado que a una empresa de seguridad digital sufra intrusiones. La verdad eso de «lo dejé a propósito» no me convence, pero ojalá aprendan de eso.
Por favor todos los que estamos en tecnologia sabemos que no es cierto, seria mas profesional decir que fue verdad pero que tomaron acciones de inmediato o algo asi a que crean que somos bobos,,,
Muy de acuerdo con Lorna. Los sistemas deben pensarse en usuarios que no entienden, no obedecen, no saben cómo hacer las cosas; pero a la hora de engañarlos siempre son más listos de lo que crees.
Usas un concepto que hay que tener muy en cuenta: Profesionalismo
lo mas importante no es que ignorantemente, se crea que a una empresa de seguridad nadier la puede intruir, hay empresas que lideran como digiware que desde hace mucho tiempo se sabia qu7e era objetivo de ataques.l
lo importante es que son medidas preventivas y en lugar de felicitar a quienes atacan a empresas deverian ´preocuparse por que mañana opueden ustedes ser quienes sean atacados
en colombia hay muchos gray hackers y a esas personas es a queines tenemos en la mira y pronto seraaaaa»»»
Hola Luis.
En ningún momento se está haciendo una apología al hacker o al cracker, por el contrario, se pretende ilustrar sobre lo que mueve a unos o a otros. Tampoco estamos hablando sobre si Digiware es una empresa líder o es la peor de todas, y como usted lo dice «mañana opueden ustedes ser quienes sean atacados» así que supongo que todos corremos riesgo.
Muchas gracias por mencionar a los grey hackers, eso enriquece la discusión.
Creo que Lorna no se refiere a que a una empresa de seguridad pueda o no penetrarse, sino a la posición que tomará la empresa luego de un comentario en su contra.
Todos tus comentarios bienvenidos, siempre y cuando se hagan con respeto.
A mi lo que me molesta es q no sean capaces de reconocer tal falla. Para nadie ( gente del medio) es un secreto que si estas en internet eres vulnerable.
Muy de acuerdo con Zethabyte, pero además a mi lo que me molesta es que se hagan amenzasas estilo «a esas personas es a queines tenemos en la mira y pronto seraaaaa».
Con Respecto a lo que se dice :
«el ataque a bogota.gov.co se hizo con SQL injection, que es insertar códigos de bases de datos en los campos de formulario.»
El bug fue reportado en http://www.milw0rm.com/exploits/9372 se trata de un blind sql injection,
lo que nadie sabe es que los datos de acceso a la web, fueron los mismos por defecto del cms portel 🙂
Hey gracias por el enlace de aquí arriba. Para aclarar un poco las cosas aquí hay una breve explicación de lo que es Blind SQL injection