Faltan 6 días para el comienzo de el acontecimiento deportivo mas importante: las deseadas olimpiadas 2008 que se celebran en China, concretamente en Pekín. No falta la polémica por los filtros de contenido de la información que el gobierno chino impone, derechos humanos, contaminación, Tibet... Lo ultimo que le faltaba es que la inauguración de la ceremonia de apertura fuera colgada en Internet.
02-08-2008 - Pero en realidad lo ultimo es un fallo de seguridad informática. Este grave fallo de seguridad se hace publico,(omitiendo datos muy sensibles), para que se subsane el problema los antes posible. El fallo ha sido notificado por correo electrónico a los responsables del sitio web oficial de las Olimpiadas 2008. Pero ya sea por los filtros o por el volumen de correos electrónicos recibidos por parte de la organización sea bastante elevado. No hemos obtenido respuesta alguna a nuestro aviso
La web oficial de los juegos olímpicos de Pekín 2008 es: www.beijing2008.cn/
Es evidente que es una de los sitios web mas seguros en estos momentos. Muy posiblemente China es unos de los países donde trabajan mas expertos en seguridad (aunque muchos lo discutan), pero siempre se pueden olvidar algunos detalles que son importantes.
El fallo detectado es debido a la configuración del servidor apache de las maquinas que hospedan todo la estructura de la web oficial de los juegos olímpicos, por cierto, felicito a los organizadores ya que es accesible en varios idiomas y la actualización es constante. El problema de seguridad informática detectado, facilita y muestra a un posible atacante datos de las maquinas internas como de los proxys por las que circulan los datos, también muestran los días que lleva encendida, cuando fue encendida, el trafico, el consumo de CPU, los accesos y muchos más datos que pueden ser valiosos para un posible atacante.
En las siguientes imágenes se muestran algunos de ellos, por supuesto se omiten los más sensibles- por motivos de seguridad. Y que han sido reportados, por segunda vez, a los responsables del sitio web.
Como se puede comprobar estos datos son considerados críticos y muy golosos para la profesionales que nos dedicamos a la seguridad informática, es conveniente por ello no analizarlos en profundidad en este articulo.
Por ultimo quiero destacar unos ficheros y test olvidados que no son un peligro para la seguridad de la web, pero es curioso como una web tan deseada por posibles atacantes y que tuvo varias auditorias no fueron capaces de detectar estos “olvidos”;
La Comisión de Seguridad de la Asociación de Internautas está a disposición del gobierno Chino para informales mas detalladamente de los datos de seguridad detectados publicados y no públicos en este articulo.
Comisión de Seguridad en la Red.
Fuente www.seguridadenlared.org/
No hay comentarios:
Publicar un comentario