Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

La Agencia Tributaria se blinda contra los hackers (IRONIC MODE)

Josh

Esta mañana he recibido este correo:

Pagina web de la Agencia Tributaria hackeada???

El enlace a consultas desde la pagina de descarga de programas de ayuda
(
(link roto)) lleva a(link roto). A un buen observador el
codigo fuente de esta pagina debe de despertarle sospechas.

Un lector.

Si vamos a la url mencionada y visualizamos el código fuente veremos dos fragmentos de código javascript que parecen estar ofuscados.

Podríamos empezar a devanarnos los sesos intentando averiguar que algoritmo de encriptación hay ahí escondido pero acabaremos mucho antes modificando los eval() por alert() para que directamente el navegador nos diga que hay escondido. En el primer fragmento el código ofuscado es:

<ScRiPt LaNgUaGe='JavaScript' src='jspahackers.js'></sCrIpT>

y en el segundo:

<form name="Sugerencia" action="(link roto)" method="post" onSubmit="return validar(this)">

En fin, visto esto, podemos estar tranquilos con las medidas tomadas por la administración para mantener alejados a los malvados hackers.

Naranjin

por lo menos el programador de turno será un tipo con sentido del humor... o eo me parece claro...

mala idea no es lo que ha hecho :P

jcomas

Si realmente quieren protegerse del SPAM deberían generar aleatoriamente una imagen que tuviera un código a teclear, tal como se sucede en muchos sitios cuando quieres darte de alta.
Por lo menos, intentan, de una u otra manera proteger un poco las comprobaciones. No obstante, lo mejor siempre es validar en el servidor y no en el cliente.
También en plantillas en formato PDF que la AEAT tiene disponible para su descarga, protegen un poco, evitando que se puedan modificar, aunque lamentablemente si desactivas el javascript del PDF luego lo puedes modificar y saltar la comprobación que lleva.
Probablemente, estas mínimas protecciones, lleguen a evitar en la mayoría de los casos manipulaciones.
Aún recuerdo cuando en la web del ayuntamiento de mi provincia ponían muchas lineas en blanco en el código fuente html/javascript para que no te dieras cuentas de las rutinas que contenían.

🗨️ 2
BocaDePez
BocaDePez

eso del codigo me aprece muy mal, ke pasa con los invidenteS? y kon los ke usamos un navegador de texto?

🗨️ 1
BocaDePez
BocaDePez

puede ser de mal gusto, pero.. en este caso, te presentas en tu oficina mas cercana.

yatique

Hasta el momento el mejor sistema anti keyloger que he visto es el del la pagina que te pide una clave numerica, pero en vez de teclearla vas pulsando en los numeros que te aparecen en un teclado de la pantalla.

Ademas estan cambiados de sitio.

Aqui hay un ejemplo.

(link roto)

🗨️ 8
BocaDePez
BocaDePez

ahora me siento mas seguro ;)

🗨️ 2
BocaDePez
BocaDePez

Poca coña con la página de sanostra, ya le gustaría tener a la caixa o caja madrid -o la que quieras- una página tan bien diseñada como su home. www.sanostra.es La puedes ver con lo que quieras.

y es una caja de ahorros.

🗨️ 1
Vengador69

Caja Madrid usa el mismo sistema para introducir su el codigo de seguridad para las tarjetas.

BocaDePez
BocaDePez

cajamadrid tb usa ese sistema desde hace tiempo ;)

🗨️ 1
javierul

Hace poco lo implantaron en CAIXANOVA y aunque resulta engorroso parece seguro.

Veremos cuanto tardan en hackearlo (esperemos que mucho).

Un saludo

Drag0nfire

En ingdirect ya hace tiempo q utilizan ese metodo. Antiguamente tambien se variaban los numeros a pedir, pero tenias q teclearlos.

BocaDePez
BocaDePez

En unicaja tb usan ese método para efectuar operaciones.

BocaDePez
BocaDePez

Y en la CAM tambien

BocaDePez
BocaDePez
painless

Yo lo intento leer, y no encuentro lo que decis, o no pillo el porqué sea importante,pero me gustaría saberlo.¿alguna pista para tontos?

Gracias por compartir el conocimiento.

🗨️ 3
BocaDePez
BocaDePez
🗨️ 1
Josh
alondra3002

A mi me ocurre lo mismo, no entiendo nada.Alguien que lo pueda explicar para los que somos "cortitos".. GRACIAS

Tramex

Eso ,que si alguien se presta a traducirlo para los no iniciados.

Drag0nfire

El contenido de "jspahackers.js" es el habitual en comprobadores de formularios: mira si algun campo esta vacio y si el mail es valido, para evitar el envio y avisar al q lo rellena, cuando esta todo correcto envia los datos. No lleva nada especial.

No hace falta ser hacker para equivocarse al rellenar formularios ;D

BocaDePez
BocaDePez

Ya!! Y qué?? qué podéis hacer con esto?? Perdonad, pero esto no demuestra inseguridad de ningún tipo por parte de la A.E.A.T. De hecho ni siquiera es página https. Ale, ale... ea... os reto a que intentéis atacar al servidor seguro de la Agencia a ver si podéis. Yo os aseguro que estoy tranquilo con mis declaraciones presentadas por internet desde que se inauguró este servicio... Porque me río yo de que alguien intente spamear con eso que habéis descubierto del formulario de consultas técnicas.... jajajajajaja!!! :-p !! qué gran descubrimiento !! Ooooooooh... qué gran puñeta podéis hacer por haber desencriptado esa gilipollez!! Ninguna!!! :-p

BocaDePez
BocaDePez

Si os subscribís al envío de notificaciones telemáticas ¿seguras? del MAP, y seleccionais a la Agencia Tributaria como Organismo Emisor de notificaciones, podreis comprobar como te las envían cifradas con el todopoderoso DES, descatalogado hace siglos.

Creo que eso ya lo dice todo.

🗨️ 1
BocaDePez
BocaDePez

¿descatalogado significa "inútil"? Mi reloj también está descatalogado y funciona perfectamente. Y mi móvil también... y yo no lo cambiaré mientras me sirva.