11:14 29/11/01
DESCUBREN OTRO AGUJERO EN LA WEB DE LA MONCLOA
Mercè Molist
"Tardé dos minutos en encontrar el nombre de usuario y la contraseña, usando simplemente mi navegador", explica David A. Pérez, experto en seguridad. El nuevo servidor web de La Moncloa estaba mal configurado, lo que permitía bajarse el código VBScript, donde había suficiente información para entrar en la base de datos y, "por ejemplo, modificar los discursos de Aznar", explica Pérez.Hace dos años, un grupo de hackers entró en la web de La Moncloa, donde puso una foto retocada del presidente del gobierno. "Me parece muy penoso que se vuelva a caer en los mismos errores después de haber pagado siete millones de pesetas por la nueva", se queja el experto, quien no ha ido más allá y ha avisado del fallo, que pudo verificar Ciberp@is: "Una vez tenemos el código empieza el trabajo de investigación, analizando la información y cómo nos podemos aprovechar de ella. Aquí es donde me he parado, pero cuando hay errores como éstos es casi seguro que se puede llegar muy lejos".
Pérez publicó el descubrimiento en su web el 27 de noviembre y, al día siguiente, se cerraba el agujero. Su curiosidad por La Moncloa formaba parte de una investigación personal sobre la validación que hacen los grandes sitios con contenido dinámico de los datos que entran los usuarios, como forma de acceder a información sensible. En el 97%, entre ellos periódicos o la Guardia Civil, esta validación no existe.
David A. Pérez
http://www.kamborio.com
Entrevista
http://www.kamborio.com/?Section=Articles&Mode=select&ID=20