[HACK] agujero en la moncloa

[merce at grn.es]

DESCUBREN OTRO AGUJERO EN LA WEB DE LA MONCLOA


Mercè Molist
"Tardé  dos minutos en encontrar el nombre de usuario y la contraseña,
usando  simplemente  mi navegador", explica David A. Pérez, experto en
seguridad. El nuevo servidor web de La Moncloa estaba mal configurado,
lo  que  permitía  bajarse  el código VBScript, donde había suficiente
información para entrar en la base de datos y, "por ejemplo, modificar
los discursos de Aznar", explica Pérez.

Hace  dos  años,  un  grupo  de hackers entró en la web de La Moncloa,
donde  puso  una foto retocada del presidente del gobierno. "Me parece
muy penoso que se vuelva a caer en los mismos errores después de haber
pagado  siete  millones de pesetas por la nueva", se queja el experto,
quien  no  ha  ido más allá y ha avisado del fallo, que pudo verificar
Ciberp at is:   "Una   vez  tenemos  el  código  empieza  el  trabajo  de
investigación, analizando la información y cómo nos podemos aprovechar
de  ella.  Aquí  es  donde  me he parado, pero cuando hay errores como
éstos es casi seguro que se puede llegar muy lejos".

Pérez publicó el descubrimiento en su web el 27 de noviembre y, al día
siguiente, se cerraba el agujero. Su curiosidad por La Moncloa formaba
parte  de una investigación personal sobre la validación que hacen los
grandes  sitios  con  contenido  dinámico  de los datos que entran los
usuarios,  como  forma  de  acceder a información sensible. En el 97%,
entre ellos periódicos o la Guardia Civil, esta validación no existe.


David A. Pérez
http://www.kamborio.com