Hackearon la página del padrón nacional..

Bueno, unos pibes hackearon la página del padrón nacional que tenía online el Poder Judicial de la Nación (miren Google por links). Resulta que no es muy difícil suponer que los atacantes utilizaron algo de sql injection y/o algun exploit no muy nuevo.

Hoy casualmente estuve en un evento comercial donde un pre-sales engineer se explayó durante 2 hs. sobre tecnologías de seguridad en redes y mirando alrededor veía algunas caras de "con esto vamos a zafar", otros jefes IT pro ya más aplomados en seguridad escuchaban las optimistas palabras del orador con una evidente opinión menos tendiente a la compra inmediata.

La realidad que algunos estaban manejando era tal vez algo así: se puede tener el mejor equipamiento, los mejores y más actualizados componentes de software e incluso las configuraciones pueden llevar la posibilidad de una brecha de seguridad a un valor mínimo, irrisorio, incluso manteniendo el TCO bajo control. Sin embargo, el eslabón más débil en cualquier sistema de seguridad es el ser humano.

Para ser claro, las configuraciones funcionales, óptimas en performance y uptime, responsivas en los parámetros requeridos, cumplidoras de las expectativas del análisis, etc. etc. no son necesariamente las configuraciones más seguras posibles...primero hace falta que alguien - el que hizo el deployment inicial, dicta la norma - se tome el trabajo de hacer el trabajo de segurizar esos deployments, lo que no pasa casi nunca: una vez que algo "anda", se queda así, andando e inseguro.

Y ahí tenemos a los muchachos del padrón, tal vez cobran poco (no salen muchos aumentos en meses previos a elecciones), tal vez hacía frío - Bs.As. está bastante bajo cero ultimamente - y los mandaron a codificar este portalcito en overtime a sus obligaciones regulares (no se pagan hs. en el estado), tal vez hicieron copy-paste del código del año pasado que se habían prometido iban a "endurecer" "para la próxima", etc. etc. Realmente no era tan difícil segurizar un par de campos de entrada de consultas a una DB, pero casi de seguro no se hizo así.

Al final se publicó lo que se publicó, y ciertamente sin mucho trabajo, alguien le dió hizo un rápido y anónimo retoque. Por suerte, esta vez no fueron datos personales sensibles, listados de clientes, listados de tarjetas de clientes, algunos documentos con la planificación de proyectos de la empresa, etc. etc.

Una cosa muy cierta que escuché hoy fue esto: "la seguridad es un costo fijo", y por más que muchos IT pro quieran hacer de cuenta de que es un costo eventual, lo correcto es pedir y reservar recursos para el mantenimiento y la optimización regular de la infraestructura de seguridad, y si no tienes una, ¿qué estás esperando?

Las nuevas tecnologías de seguridad son el sueño cumplido de años anteriores y si fueran adecuadamente implementadas, serían la pesadilla de muchos hackers, sin embargo las reuniones donde se decide gastar decenas/centenas de miles en compras no suelen contemplar la llegada de la compra a manos del jefe IT, la delegación a un subjefe y que la tecnología acaba en las manos de terceros IT pros normalmente con pocas ganas y/o motivos (por bajos sueldos, largas jornadas laborales, porque no están plenamente capacitados, por pura y simple irresponsabilidad, etc.), de llevar al límite las capacidades de seguridad adquiridas, y simplemente trabajan hasta que pueden decir "quedó funcionando".