Juliana Peña - Latest Comments

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Mauricio Vásquez Bernal — Tue, 21 May 2019 16:22:31 -0000

Hola Juliana,

Desafortunadamente pareciera ser que nadie le presta atención a la seguridad en las paginas de organizaciones gubernamentales en Colombia.

Hace algún tiempo detecté algo parecido en aportesenlinea.com, el solo hecho de hacerles entender cual era el riesgo de almacenar las contraseñas de los usuarios (ya sea en texto plano o encriptadas) fue tedioso, nadie entendía cual era el problema y solo recibía respuesta de que los sistemas estaban configurados correctamente.

Hace pocos días descubrí que la pagina del Consejo Nacional Profesional (https://www.consejoprofesio...) hace lo mismo: https://uploads.disquscdn.c...

Supongo que es solo otro ejemplo de la interminable lista de errores en paginas del tipo.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Iván Castellanos — Sat, 08 Dec 2018 21:44:01 -0000

El gobierno volvio a hacer la misma idiotez, ahora el ministerio de salud: https://twitter.com/ivanca/...

Re: How to build a Chrome extension, Part 4: Background pages and scheduling requests

Robert Hawkins — Thu, 23 Aug 2018 00:41:21 -0000

Thanks for this post! It came up while googling how to solve this problem and led me in the right direction.

I believe the current way to do this is to use the Chrome alarms API (https://developer.chrome.co... ). Then in your background script write

chrome.alarms.create({delayInMinutes: 3.0});
chrome.alarms.onAlarm.addListener(function() { alert("Hello, world!") });

This is described at the bottom of the background migration page which encourages developers to implement non-persistent background scripts: https://developer.chrome.co...

Re: Arduino & Python Soundlight Spectrum

vb078 — Thu, 15 Mar 2018 12:39:50 -0000

Hum it works with jack...
Do you have something or ideas for pulseaudio / alsa .. ?
Thanks ;)

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Geyson Ceron — Thu, 01 Mar 2018 12:42:51 -0000

Oscar, he leído el documento, los argumentos y el acuerdo o consenso al cual llegaron las partes. Y así mismo no comprendo porque la CNSC, reitera una noticia que a la fecha de su publicación (31/01/2018) ya se encontraba aclarada. Los invito a realizar la consulta y que motiven la respectiva aclaración que merece la señorita Juliana Peña.

https://www.cnsc.gov.co/ind...

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Jaime Villeneuve — Wed, 07 Feb 2018 09:44:45 -0000

Donde Fabien Potencier lea esto lo despeluca.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Juliana Peña — Fri, 26 Jan 2018 16:25:53 -0000

Sí, la vi, muchas gracias! Increíble ver el apoyo de la comunidad :)

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Oscar Bustos — Fri, 26 Jan 2018 14:50:04 -0000

Juliana, pudiste leer la carta abierta al Dane que escribió la comunidad de Colombia-dev? https://github.com/colombia...

Re: Atención Colombianos: La página del eCenso guarda tu contraseña en texto plano

Racso — Thu, 25 Jan 2018 22:48:43 -0000

Lo que se hace es aplicar el hash+sal a la contraseña que el usuario introduce para hacer login y el resultado se compara con lo que está almacenado. Si la contraseña es la correcta, debería dar lo mismo :)

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Geovanny Morillo — Wed, 24 Jan 2018 11:21:13 -0000

El problema es que le quieren pagar muy bajo a los desarrolladores por eso contratan empresas con baja certificaciòn o ninguna.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Geovanny Morillo — Wed, 24 Jan 2018 11:18:02 -0000

3) me imagino que se refiere a que falta un salt, sin embargo como expones en el punto 5 inclusive con salt no estan seguro
5) dependiendo del hardware y el tamaño del salt esto podria tomar años o minutos

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Geovanny Morillo — Wed, 24 Jan 2018 11:14:40 -0000

Sin embargo los que desinforman son los de la W no el articulo que ella escribió...

Re: Atención Colombianos: La página del eCenso guarda tu contraseña en texto plano

Cristian Lozada — Sat, 20 Jan 2018 07:51:01 -0000

Hola Juliana soy un estudiante de sistemas y tengo interés en el tema, me surge una duda si la contraseña en un sistema de hash+sal es irreversible como podría usar la clave para iniciar la sesión si está no puede ser leída para comprobar la que el usuario está dictando en el login del sistema ? , Me interesa para aplicar este sistema de hash+sal, en mis proyectos de programación.

Att:
Cristian Lozada.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Yan Arlex Vallejo — Fri, 19 Jan 2018 16:16:59 -0000

Muy buena apreciación Orlando, solo un detalle el sitio Web de la Casa Blanca de EE.UU hace poco esta en WordPress :)

Saludos

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Ana Angel — Fri, 19 Jan 2018 12:27:01 -0000

Un cordial saludo Andres, quisiera preguntarte segun tu, cual sería mejor reconocido por su nivel de seguridad, con que base comentas que no es reconocida, solo porque la Ingeniera menciono (de manera erronea) los fallos de seguridad generaste esa apreciación?
Cuando subieron las cosas a facebook y estaba en php pensaron en ello? y claroooo ahora si se preocupan. Dejemos un poco la doble moral, sobretodo de los que ahorita andan angustiados por su contraseña... son los mismos que en un supermercado cada vez que les dan un detallito gratis dejan todos sus datos en el papel y lo firman ... hay si no se preocupan? no solo se roban la información de los sistemas informaticos, hay que abrir un poco los ojos
.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Orlando Garzón Díaz — Fri, 19 Jan 2018 11:47:37 -0000

Que tal Andres. De nuevo retomo el tema de la seguridad de lenguaje PHP no es cierto, como lo mencioné antes si es tan inseguro por qué WordPress (CMS basado en PHP) tiene el más del 29% de los sitios Web http://mediatemple.net/blog... , y porque el sitio Web de la Casa Blanca de EE.UU. (https://www.drupal.org/u/wh... ) sigue basado en Drupal (otro CMS escrito en PHP, y es más si no a ingresado a Facebook desde su navegador del celular, sigue soportando su sitio principal en PHP ? Solamente para nombrar unos cuantos ejemplo. Seguramente todos ellos estarán muy equivocados. El tema de la seguridad en PHP no es el lenguaje, sino la configuración del servidor Web y de la experiencia del desarrollador para incluir métodos para evitar ataques informáticos de diferentes tipos. Hasta donde yo sé, los servidores Web como Apache se puede usar un módulo llamado modSecurity https://openwebinars.net/bl... que tiene reglas de la OWASP https://www.owasp.org/index... . No afirme algo que al parecer no ha trabajado en profundidad, y que el tema de que muchos proyectos pequeños fueron implementados por desarrolladores novatos o con poca experiencia, no le quita que el lenguaje sea inseguro.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Samanta — Fri, 19 Jan 2018 10:58:28 -0000

Que buen análisis.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

franciscoandrspinznsantoyo — Fri, 19 Jan 2018 09:35:45 -0000

Tiene razòn con la arquitectura de software.
2. PHP es muy seguro siempre y cuando lo sepa implementar, utilizando buenas practicas de desarrollo, el uso de Frameworks en dez de "PHP Puro". El punto aquí es la contratación de las entidades del estado con "x empresas" sin profesionalismo, si no más bien, favores políticos o sencillamente corrupción. No hay discusión al respecto.
Al menso la presión los llevo a cambiar o implementar el cambio de contraseña.
No me imagino las discusiones allá internamente...

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Otto — Fri, 19 Jan 2018 09:31:42 -0000

Estuvo muy bien denunciar y destapar esa olla podrida. Por la sobrerreacción se puede deducir que cobraron muchisimo por este esperpento de desarrollo y ahora lo quieren defender a como de lugar. Pase lo que pase sostente
"Amigo es Platón, pero más amiga la verdad", Aristoteles

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Edwin Pardo — Fri, 19 Jan 2018 08:44:07 -0000

Buen análisis Juliana, esto en desarrollo es básico, fuerza!!

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Jorge Hurtado — Tue, 16 Jan 2018 18:16:18 -0000

De acuerdo. Mintic, ha tenido muchos aciertos pero desaciertos igual. De ahi el problema de contratar personas que no quiero llamar "baratas", sino ahorrativas para los proyectos para que puedan ser mas lucrativos para los empresarios de la tecnología en Colombia. Ojalá esto destapé mucha mas basura que se puede evidenciar en todos los procesos de contratación de tecnología en Colombia. Ya sea en desarrollo como en implementación.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Jorge Hurtado — Tue, 16 Jan 2018 18:13:18 -0000

Totalmente de acuerdo. El problema aquí es el modelo seleccionado para poder entregar una solución offline. Muy mal hecho en este caso. Por lo demás como lo veo, es cambiar semillas, cambiar algoritmos en el código utilizado para encriptar y desencriptar y lógico el modelo de sincronización e intercambio de datos offline y online.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Jorge Hurtado — Tue, 16 Jan 2018 18:10:28 -0000

Por lo general en muchas aplicaciones, diría que cientos, las contraseñas se almacenan en archivos de configuración. Esta en los especialistas de seguridad y desarrolladores, verificar posibles vulnerabilidades en sus líneas de código y generar los controles para que no puedan acceder a dichos archivos. En este caso se debe revisar si la base de datos contenida en dicha aplicación es la misma de el servidor en nube. Y además de esto, si las contraseñas entregadas en el offline son las mismas, que pensaría yo, que no. Aunque lo dudo por el código de encripción.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Andres Gonzalez — Tue, 16 Jan 2018 18:04:17 -0000

Yo no estoy hablando del lenguaje, me refiero más bien a la arquitectura y diseño. Tal vez me exprese mal en ese sentido. Aunque por otro lado php no es que sea reconocido por su nivel de seguridad.

Re: Actualización: Las contraseñas del eCenso no están precisamente guardadas en texto plano, pero sigue siendo muy feo el asunto

Jorge Hurtado — Tue, 16 Jan 2018 18:03:57 -0000

Hello. Revisando la poca documentación de este incidente, y viendo el boom de la noticia. Creo que en este caso el error garrafal y del cual se deben tomar medidas inmediatas es de la recomendación de entregar este tipo de método para trabajarlo offline.
1. Definitivamente una muy mala decisión por parte de los desarrolladores como tal el entregar en un paquete la aplicación o parte de ella, si fue realmente así.
2. No se si realmente cuando se descarga esta webapp offline, se descarga toda la base de datos, yo pensaría que no. O al menos creo que no. si es así muy mal.
3. Cuando te refieres a que ese algoritmo es inseguro, debes explicar la parte de el, que en este caso sería el algoritmo de encripción utilizado, no el código completo como tal.
4. La parte en que se ve el código como tal, no se que tanto tenga de errores, el error es permitir acceder al código fuente, que en estos momentos no sabemos si es el mismo contenido en la webapp online.
5. De hecho si uno llega a acceder a un archivo que contiene una semilla (salt); como tal, podría simple y llanamente construir tablas rainbow para poder averiguar los HASH+SALT por medio de fuerza bruta.
6. No se si realmente ellos hayan utilizado o recomendado un algoritmo lento de encripción, lo que le falta a hash+salt para ser mas eficiente.
7. Lo de desencriptar asi se apliquen algoritmos complejos y de hecho un buen numero de iteraciones del mismo, pues es algo que no se va a poder evitar, sobre todo con técnicas de fuerza bruta.
8. Es bueno que como ingeniera, te pongas un poco en el papel de las personas que ven este tipo de publicaciones y mas en un programa de radio. Ya que los que conducen el programa no tienen la menor idea, y el público oyente mucho menos. Recuerda las bases de la ingeniería y otras carreras como medicina, no puedes hablarle técnicamente a personas que no estudiaron lo mismo que tu.

De todas maneras me encanta que esto se haya hecho público y que se haga algo para solucionar este tema, y se genere una brecha muy amplia para que se empiecen a preguntar en manos de quien esta la tecnología en Colombia.