Los
seguridad en los sitios gubernamentales argentinos (GOB.AR) es un tema que hemos tratado hasta el hartazgo aquí en
Segu-Info e incluso hemos publicado el artículo
viagra.gob.ar
explicando la variedad de vulnerabilidades relacionadas a estos sitios,
así como la negligencia que existe para otorgarlos, delegarlos y
protegerlos. Al final del presente se presenta algunos de los problemas
existentes.
Lamentablemente este post se trata de un nuevo caso de
Phishing alojado en
http://clickear.gob.ar/modx/assets/components/.
El correo electrónico que recibe el usuario es el siguiente:
La cabecera del correo puede apreciarse que se utilizó otro servidor
vulnerado para enviar los correos desde una aplicación PHP Mailer:
juan[ELIMINADO].com/galeria/2014/10/11/[ELIMINADO].php
Cuando el usuario hace clic en el botón "Ingresar", efectivamente es
direccionado al sitio gubernamental, donde se le solicita información
personal y de la tarjeta de crédito que se ven en la primera imagen.
Como si esto fuera poco, y para demostrar el grado de inseguridad del sitio, otro directorio también aparece modificado por un
Defacer muy conocido en Argentina y que en algunos casos ha estado relacionado con ataques políticos a este tipo de sitios.
Como siempre desde
Segu-Info hemos seguido nuestro
protocolo de denuncia de Phishing y, aunque parezca mentira, al enviar nuestra denuncia a ICIC (
icic.certincidentes@jefatura.gob.ar), la respuesta ha sido:
No se ha podido realizar la entrega a estos destinatarios o grupos: listaicicincidentes@jefatura.gob.ar
No se puede entregar el mensaje porque la entrega a esta dirección está restringida.
Este es sólo un ejemplo más de la inoperancia en la que se encuentra
navegando el estado argentino y sus sitios gubernamentales. Más allá de
los errores de infraestructura, diseño y
programación y de las técnicas
utilizadas para vulnerar un sitio web, sus archivos o sus bases de
datos,
los desafíos que el Estado Nacional debería plantear para los sitios gubernamentales son:
- Mejora de la gestión y administración eficiente de la seguridad de la información.
- Capacidad para analizar los riesgos a los cuales se expone el sitio web y la información que el mismo posee.
- Poner a disposisicón recursos, tiempo y capacitación del personal involucrado.
- Desarrollos de aplicaciones seguras para evitar vulnerabilidades
ampliamente conocidas por los delincuentes, lo que las hace aún más
susceptibles de ataques.
- Evaluación de herramientas para evitar que los atacantes puedan
realizar desde un simple cambio en una página hasta el acceso a una base
de datos con información sensible.
- Auditorias y análisis de penetración y de vulnerabilidades realizado
por personal autorizado y capacitado, con el fin de hallar errores en
la infraestructura y sus aplicaciones.
- Creación de equipos de gestión de crisis para lograr trabajar eficaz y eficientemente en momentos que exigen celeridad.
- Seguimiento de incidentes, de forma tal que cuando se reporta y
soluciona una vulnerabilidad, se analicen otras amenazas similares
ytambién se solucionen.
- Análisis exhaustivo de la normativa nacional e internacional que
obliga a cumplimentar acciones responsables sobre la información del
Estado.
- Ningún sistema es 100% seguro, es necesaria la creación de áreas que
reciban las denuncias sobre las posibles vulnerabilidades, para
solucionarlas en el menor tiempo posible.
- Solucionar incongruencias tales como que existen sitios GOV.AR y
GOB.AR o desarrollos sobre software libre y software pago, sin un
lineamiento claro al respecto, más alla de los recursos propios con los
que cuenta cada delegación.
- Procesos y procedimientos oficiales que cualquier organización gubernamental debería
- seguir para crear su estructura de red, base de datos ysitios webs. En caso de que dicha
- normativa exista, los casos demuestran que no se estánaplicando.
- Mayor coordinación entre diferentes organismos para llevar adelante
la publicación responsable de cualquier sitio gubernamental.
- Aplicación federal de políticas de seguridad de la información que
deban ser cumplidas por cualquier delegación nacional al momento de
registrar un dominio y de publicar un sitio web.
Desde nuestro humilde lugar consideramos que ninguna de estas
condiciones de cambios están dadas actualmente y todo ha quedado en
expresiones de deseos, políticas pocos claras y promesas de mejoras que
nunca llegan.
Cristian de la Redacción de Segu-Info