La seguridad en el estado nacional

Estos ultimos dias un pibe empezo a tirar “advisories” a las listas de seguridad, contando de varios sql injection en diversos sitios .gov.ar

En esos mails, el chabon dice que le aviso a la ONTI (no se a que mail habra escrito, pero nadie lo conoce) y al arcert (area donde yo trabajo, TAMPOCO LLEGO NINGUN MAIL).

Y despues salta alguien que no se quien es, en twitter (https://twitter.com/ochoigualaD/status/63978046650191873) diciendo: “injec7or hell esta poniendo en riesgo la infraestructura nacional! Donde esta el arCert? Y la ONTI? Y @buanzo? Y la moto?” – Mis respuestas pueden verlas en twitter.com/buanzo

La posta es que el arcert no tiene por que responder ningun mail (cosa no aplicable en este caso, ya que NI SIQUIERA recibimos nada del tal injec7or…)

Hay una politica MUY BIEN redactada en ArCERT sobre que procedimiento seguir en caso de advisories que son dados a conocer al publico general, y eso, les aseguro, esta en proceso. Uno de los items de dicha politica es contactarse con el que envio la data a las listas publicas, el tal anonymous coward injec7or.

En 1996 yo encontre una seria vulnerabilidad de ejecucion de codigo remota en el sitio de la presidencia. Y le mande un mail al admin, CON MIS DATOS REALES. Ese admin el dia de hoy todavia es mi amigo, y todavia trabaja en el estado.

Si el flaco hubiera mandado los mails a ONTI y arcert como el dice, no hubiera tenido necesidad de usar un pseudonimo.

Saludos.

Artículos relacionados:

Si te gustó este articulo, ¿ Porque no dejas un comentario a continuación y continuas la conversación, o te suscribes a los feeds y recibes los artículos directamente en tu lector?

Comentarios

No comments yet.

Sorry, the comment form is closed at this time.