15 oct. 2014

Sitio .GOB.AR aloja #Phishing de Visa ¿por qué sucede?

Los seguridad en los sitios gubernamentales argentinos (GOB.AR) es un tema que hemos tratado hasta el hartazgo aquí en Segu-Info e incluso hemos publicado el artículo viagra.gob.ar explicando la variedad de vulnerabilidades relacionadas a estos sitios, así como la negligencia que existe para otorgarlos, delegarlos y protegerlos. Al final del presente se presenta algunos de los problemas existentes.

Lamentablemente este post se trata de un nuevo caso de Phishing alojado en http://clickear.gob.ar/modx/assets/components/.
El correo electrónico que recibe el usuario es el siguiente:
La cabecera del correo puede apreciarse que se utilizó otro servidor vulnerado para enviar los correos desde una aplicación PHP Mailer: juan[ELIMINADO].com/galeria/2014/10/11/[ELIMINADO].php
Cuando el usuario hace clic en el botón "Ingresar", efectivamente es direccionado al sitio gubernamental, donde se le solicita información personal y de la tarjeta de crédito que se ven en la primera imagen.

Como si esto fuera poco, y para demostrar el grado de inseguridad del sitio, otro directorio también aparece modificado por un Defacer muy conocido en Argentina y que en algunos casos ha estado relacionado con ataques políticos a este tipo de sitios.

Como siempre desde Segu-Info hemos seguido nuestro protocolo de denuncia de Phishing y, aunque parezca mentira, al enviar nuestra denuncia a ICIC ([email protected]), la respuesta ha sido:
No se ha podido realizar la entrega a estos destinatarios o grupos: [email protected]
No se puede entregar el mensaje porque la entrega a esta dirección está restringida.
Este es sólo un ejemplo más de la inoperancia en la que se encuentra navegando el estado argentino y sus sitios gubernamentales. Más allá de los errores de infraestructura, diseño y programación y de las técnicas utilizadas para vulnerar un sitio web, sus archivos o sus bases de datos, los desafíos que el Estado Nacional debería plantear para los sitios gubernamentales son:
  • Mejora de la gestión y administración eficiente de la seguridad de la información.
  • Capacidad para analizar los riesgos a los cuales se expone el sitio web y la información que el mismo posee.
  • Poner a disposisicón recursos, tiempo y capacitación del personal involucrado.
  • Desarrollos de aplicaciones seguras para evitar vulnerabilidades ampliamente conocidas por los delincuentes, lo que las hace aún más susceptibles de ataques.
  • Evaluación de herramientas para evitar que los atacantes puedan realizar desde un simple cambio en una página hasta el acceso a una base de datos con información sensible.
  • Auditorias y análisis de penetración y de vulnerabilidades realizado por personal autorizado y capacitado, con el fin de hallar errores en la infraestructura y sus aplicaciones.
  • Creación de equipos de gestión de crisis para lograr trabajar eficaz y eficientemente en momentos que exigen celeridad.
  • Seguimiento de incidentes, de forma tal que cuando se reporta y soluciona una vulnerabilidad, se analicen otras amenazas similares ytambién se solucionen.
  • Análisis exhaustivo de la normativa nacional e internacional que obliga a cumplimentar acciones responsables sobre la información del Estado.
  • Ningún sistema es 100% seguro, es necesaria la creación de áreas que reciban las denuncias sobre las posibles vulnerabilidades, para solucionarlas en el menor tiempo posible.
  • Solucionar incongruencias tales como que existen sitios GOV.AR y GOB.AR o desarrollos sobre software libre y software pago, sin un lineamiento claro al respecto, más alla de los recursos propios con los que cuenta cada delegación.
  • Procesos y procedimientos oficiales que cualquier organización gubernamental debería
  • seguir para crear su estructura de red, base de datos ysitios webs. En caso de que dicha
  • normativa exista, los casos demuestran que no se estánaplicando.
  • Mayor coordinación entre diferentes organismos para llevar adelante la publicación responsable de cualquier sitio gubernamental.
  • Aplicación federal de políticas de seguridad de la información que deban ser cumplidas por cualquier delegación nacional al momento de registrar un dominio y de publicar un sitio web.
Desde nuestro humilde lugar consideramos que ninguna de estas condiciones de cambios están dadas actualmente y todo ha quedado en expresiones de deseos, políticas pocos claras y promesas de mejoras que nunca llegan.

Cristian de la Redacción de Segu-Info

2 comentarios:

  1. Como pretender que esto esté bien gestionado y/o funcione, al menos, de forma decente si no funciona lo mas básico en un país?

    ResponderEliminar
  2. Muy completo sobre lo que hay que hacer. Hay que seguir insistiendo. Jorge escudero

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!