📰 Artículos

La Agencia Tributaria se blinda contra los hackers (IRONIC MODE)

Joshua Llorach 16 mayo 2005 10:17

⋮

Esta mañana he recibido este correo:

Pagina web de la Agencia Tributaria hackeada???

El enlace a consultas desde la pagina de descarga de programas de ayuda
((link roto)) lleva a(link roto). A un buen observador el
codigo fuente de esta pagina debe de despertarle sospechas.

Un lector.

Si vamos a la url mencionada y visualizamos el código fuente veremos dos fragmentos de código javascript que parecen estar ofuscados.

Podríamos empezar a devanarnos los sesos intentando averiguar que algoritmo de encriptación hay ahí escondido pero acabaremos mucho antes modificando los eval() por alert() para que directamente el navegador nos diga que hay escondido. En el primer fragmento el código ofuscado es:

y en el segundo:

En fin, visto esto, podemos estar tranquilos con las medidas tomadas por la administración para mantener alejados a los malvados hackers.

💬 Comentarios

Naranjin 16 mayo 2005 11:33

⋮

por lo menos el programador de turno será un tipo con sentido del humor... o eo me parece claro...

mala idea no es lo que ha hecho :P

jcomas 16 mayo 2005 11:37

⋮

Si realmente quieren protegerse del SPAM deberían generar aleatoriamente una imagen que tuviera un código a teclear, tal como se sucede en muchos sitios cuando quieres darte de alta.
Por lo menos, intentan, de una u otra manera proteger un poco las comprobaciones. No obstante, lo mejor siempre es validar en el servidor y no en el cliente.
También en plantillas en formato PDF que la AEAT tiene disponible para su descarga, protegen un poco, evitando que se puedan modificar, aunque lamentablemente si desactivas el javascript del PDF luego lo puedes modificar y saltar la comprobación que lleva.
Probablemente, estas mínimas protecciones, lleguen a evitar en la mayoría de los casos manipulaciones.
Aún recuerdo cuando en la web del ayuntamiento de mi provincia ponían muchas lineas en blanco en el código fuente html/javascript para que no te dieras cuentas de las rutinas que contenían.

✖

BocaDePez 16 mayo 2005 15:35

⋮

eso del codigo me aprece muy mal, ke pasa con los invidenteS? y kon los ke usamos un navegador de texto?

✖

BocaDePez 17 mayo 2005 10:37

⋮

puede ser de mal gusto, pero.. en este caso, te presentas en tu oficina mas cercana.

yatique 16 mayo 2005 12:21

⋮

Hasta el momento el mejor sistema anti keyloger que he visto es el del la pagina que te pide una clave numerica, pero en vez de teclearla vas pulsando en los numeros que te aparecen en un teclado de la pantalla.

Ademas estan cambiados de sitio.

Aqui hay un ejemplo.

(link roto)

✖

BocaDePez 16 mayo 2005 13:38

⋮

ahora me siento mas seguro ;)

✖

BocaDePez 16 mayo 2005 16:35

⋮

Poca coña con la página de sanostra, ya le gustaría tener a la caixa o caja madrid -o la que quieras- una página tan bien diseñada como su home. www.sanostra.es La puedes ver con lo que quieras.

y es una caja de ahorros.

✖

Vengador69 16 mayo 2005 20:12

⋮

Caja Madrid usa el mismo sistema para introducir su el codigo de seguridad para las tarjetas.

BocaDePez 16 mayo 2005 17:39

⋮

cajamadrid tb usa ese sistema desde hace tiempo ;)

✖

javierul 16 mayo 2005 18:10

⋮

Hace poco lo implantaron en CAIXANOVA y aunque resulta engorroso parece seguro.

Veremos cuanto tardan en hackearlo (esperemos que mucho).

Un saludo

Drag0nfire 16 mayo 2005 22:56

⋮

En ingdirect ya hace tiempo q utilizan ese metodo. Antiguamente tambien se variaban los numeros a pedir, pero tenias q teclearlos.

BocaDePez 17 mayo 2005 07:31

⋮

En unicaja tb usan ese método para efectuar operaciones.

BocaDePez 17 mayo 2005 08:40

⋮

Y en la CAM tambien

BocaDePez 16 mayo 2005 13:32

⋮

painless 16 mayo 2005 15:43

⋮

Yo lo intento leer, y no encuentro lo que decis, o no pillo el porqué sea importante,pero me gustaría saberlo.¿alguna pista para tontos?

Gracias por compartir el conocimiento.

✖

BocaDePez 16 mayo 2005 16:20

⋮

✖

Josh 16 mayo 2005 16:27

⋮

alondra3002 30 mayo 2005 10:51

⋮

A mi me ocurre lo mismo, no entiendo nada.Alguien que lo pueda explicar para los que somos "cortitos".. GRACIAS

Tramex 16 mayo 2005 18:30

⋮

Eso ,que si alguien se presta a traducirlo para los no iniciados.

Drag0nfire 17 mayo 2005 02:58

⋮

El contenido de "jspahackers.js" es el habitual en comprobadores de formularios: mira si algun campo esta vacio y si el mail es valido, para evitar el envio y avisar al q lo rellena, cuando esta todo correcto envia los datos. No lleva nada especial.

No hace falta ser hacker para equivocarse al rellenar formularios ;D

BocaDePez 19 mayo 2005 15:23

⋮

Ya!! Y qué?? qué podéis hacer con esto?? Perdonad, pero esto no demuestra inseguridad de ningún tipo por parte de la A.E.A.T. De hecho ni siquiera es página https. Ale, ale... ea... os reto a que intentéis atacar al servidor seguro de la Agencia a ver si podéis. Yo os aseguro que estoy tranquilo con mis declaraciones presentadas por internet desde que se inauguró este servicio... Porque me río yo de que alguien intente spamear con eso que habéis descubierto del formulario de consultas técnicas.... jajajajajaja!!! :-p !! qué gran descubrimiento !! Ooooooooh... qué gran puñeta podéis hacer por haber desencriptado esa gilipollez!! Ninguna!!! :-p

BocaDePez 25 mayo 2005 01:53

⋮

Si os subscribís al envío de notificaciones telemáticas ¿seguras? del MAP, y seleccionais a la Agencia Tributaria como Organismo Emisor de notificaciones, podreis comprobar como te las envían cifradas con el todopoderoso DES, descatalogado hace siglos.

Creo que eso ya lo dice todo.

✖

BocaDePez 25 mayo 2005 15:14

⋮

¿descatalogado significa "inútil"? Mi reloj también está descatalogado y funciona perfectamente. Y mi móvil también... y yo no lo cambiaré mientras me sirva.