martes, 4 de marzo de 2014

Dame tu POI

En todo pentest hay una etapa de "Information Gathering" (https://www.owasp.org/index.php/Testing:_Information_Gathering), que consiste en recolectar la mayor información posible de nuestro "objetivo".

Bien, en el Perú (no se si en otros lados) gracias a la ley de transparencia y el OSCE, tenemos información a caudales de las entidades públicas para este fin.

Adicionalmente tenemos el Plan Operativo Informátivo (a.k.a. POI), que según la RM 019-2011-PCM, debe estar registrado en los portales web (todos los años) antes del último día hábil del mes de febrero.

Entonces estas fechas son propicias para ir guardando información tan valiosa para un "ataque", por ejemplo con un simple google dork: "plan operativo informático" site:.gob.pe.
Si no está indexado por google, entonces bastará con entrar a las páginas webs de las entidades y buscar las últimas resoluciones. Y por último, podemos apelar a la ley de transparencia y pedir esa información formalmente.

Por ejemplo algunos POI:
  • http://www.migraciones.gob.pe/informacion/rd/Plan_Operativo_Informatico.pdf
  • http://www.mef.gob.pe/index.php?option=com_docman&task=doc_download&Itemid=0&gid=11060&lang=es

En el POI de la Superintendencia Nacional de Migraciones vemos:
  1. Tiene 3 Servidores con Windows 2000 (estarán visibles desde internet?)
  2. Tienen 533 computadoras y 7 laptops (540 estaciones finales), tienen 217 Windows XP y 249 Windows 7 (osea 466 SO para estaciones finales, cuadra con las 540 físicas?) y tienen 255 licencias de Eset NOD32 Antivirus (cuadran con los 466 SO?)
  3. Ausencia de herramientas de seguridad informática, alineadas al ISO 27000 y normas técnicas peruanas.
  4. Quieren implementar una aplicación Web que permita generar en línea los certificados de movimientos migratorios firmados digitalmente, con las validaciones y medidas de seguridad correspondientes (tendrá medidas contra slqi y xss?).

En fin, información más que interesante para un atacante ético (para un atacante real y para ataques de otros gobiernos).
Será necesario que ventilen dicha información de esa forma? (según la RM 019-2011-PCM, están OBLIGADOS a hacerlo).
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)