viernes, diciembre 19, 2014

El Portal de la Transparencia: Los metadatos y el Esquema Nacional de Seguridad

Como ya sabéis todos, hace poco que se publicó El Portal de la Transparencia del Gobierno de España. Un sitio web en el que se vuelca información sobre compras, concursos e incluso organigramas internos de muchos de los organismos oficiales de nuestro gobierno de España. En él se puede encontrar información de todo tipo, e incluso alguna que puede ayudar a un posible intruso cibernético a planificar su ataque, buscando información del software de seguridad informática que se está utilizando

Figura 1: Información de software de antivirus comprado por la administración

Yo no había tenido aún tiempo de echarle un ojo, pero ayer quise dedicarle una mirada a algo que desde que se publicó rondaba mi cabeza: "¿Quitarían los metadatos de los documentos que publican en él para cumplir con el Esquema Nacional de Seguridad respecto a las medidas de limpieza de metadatos en documentos públicos?"

Figura 2: Metadatos y el Esquema Nacional de Seguridad en El Portal de la Transparencia

La verdad es que muchos de los documentos son directamente enlaces al portal de contrataciones, donde los archivos se generan bajo demanda, y vienen totalmente limpios de cualquier metadato. Otros muchos documentos provenientes de algunos ministerios concretos vienen limpios como la patena, lo que me ha alegrado profundamente, pero no es difícil localizar documentos que no lo están.

Figura 3: Metadatos en un documento publicado en El Portal de la Transparencia

Jugando con MetaShield Analyzer se puede ver como muchos de los documentos - aún - accesibles vía El Portal de la Transparencia, aún conservan sus metadatos - incluso alguno como este que debía estar "limpio".

Figura 4: Otro documento con metadatos analizado con MetaShield Analyzer

El Esquema Nacional de Seguridad es de obligado cumplimiento por todas las administraciones públicas, y los metadatos deberían estar eliminados de los documentos ya que pueden dar a un posible atacante información de usuarios, servidores internos, software, historial del documento, datos de relaciones entre personas y empresas y hasta cambios en los archivos que no fueran deseables revelar, como ya hemos visto en muchos otros ejemplos de incidentes con metadatos.

Saludos Malignos!

6 comentarios:

Oscar dijo...

Esta gente no se toma nada en serio...

Estamos en España, hasta que no pasa algo, no hacemos nada.

Si son ellos quien ponen estas medidas del Esquema Nacional de Seguridad...¿Porque no lo aplican?¿Se les han olvidado sus propias normas?

Que dios nos pille confesados!! xD

Un saludo :)

Sergio Jimenez dijo...

Una de las características también chocantes es que la susodicha página esta montada sobre un IIS 5...

La única explicación que veo es que no les importa lo más mínimo la seguridad, ya que precisamente el gobierno puede permitirse la última versión de cualquier cosa.

Como dice Oscar arriba...que dios nos pille confesados xD

Anónimo dijo...

http://transparencia.gob.es/es_ES/buscar/contenido/contratolicitacion/Licitacion_4eccc04d50064111f70e4e9093a2fb3f7e74359b

Se van a gastar 35216.29 EUR en la renovación de licencias de firewall los del Instituto Español de Oceanografía.
¿Esta gente tiene algo que proteger?
Que Google nos pille linkeados.

Anónimo dijo...

Veo que el documento que se muestra con los metadatos sin limpiar pertenece al Poder Judicial.

Ese (el de la Justicia) es otro mundo en el que para empezar no se aplica el ENI sino el EJIS (Esquema Judicial de Interoperabilidad y Seguridad). Desconozco si el EJIS exige la limpieza de metadatos.

Que la seguridad sea interoperable entre PJ, AAPP y resto de órganos constitucionales (Congreso, Senado, T.Cuentas, etc) ya es mucho pedir, supongo...

xxxxx dijo...

En mi comentario anterior quería decir "no se aplica el ENS sino el EJIS" (y el ENI tampoco, ya de paso).

TICSeg dijo...

Excelente entrada para un blog de referencia.

Por si te interesa en mi blog también hablamos de ello http://ticseguridad.blogspot.com.es/2014/12/con-la-puesta-en-marcha-del-portal-de.html

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares