GithubHelp home page GithubHelp logo

carta's Introduction

Carta Abierta al DANE

Colombia, 19 de Enero de 2018

Señores Departamento Administrativo Nacional de Estadística - DANE

E. S. D.

Asunto: Carta abierta al DANE de grupo de desarrolladores de software Colombianos, a propósito del pronunciamiento de la entidad con respecto a los hallazgos en materia de seguridad en la aplicación del eCenso, realizados por la ingeniera Juliana Peña. De manera cordial los abajo firmantes, Desarrolladores de Software Colombianos, estamos de acuerdo en expresarles lo siguiente:

  1. Apoyamos que el DANE haya construido una opción para realizar el censo de forma virtual.
  2. Rechazamos cadenas malintencionadas y anónimas que sugieren que hay intento de fraude electoral y que parecen promovidas por sectores políticos especialistas en propaganda negra. En esto también apoyamos al DANE.
  3. Aplaudimos la valentía, generosidad y deber cívico con los cuales la desarrolladora de software Juliana Peña publicó sus hallazgos de seguridad. http://julip.co/2018/01/actualizacion-contrasenas-censo/
  4. Como profesionales de la industria de Software, rechazamos la posición del DANE en cuanto a los reportes de Juliana. Consideramos que las preguntas de Juliana son válidas y el comunicado de prensa no las responde de manera adecuada, por lo que aún cuestionamos la seguridad del eCenso web y offline.

https://censo2018.dane.gov.co/el-dane-responde-afirmaciones-falsas-sobre-la-seguridad-del-ecenso

En referencia al comunicado emitido por el DANE, que cita:

“Afirmaciones que son falsas, irresponsables y apresuradas, y han atentado contra la confianza que los colombianos han depositado en la operación estadística más grande e innovadora que ha realizado el país.”

Se juzga como falsa la siguiente afirmación hecha por Juliana:

las contraseñas no están precisamente guardadas en texto plano, pero es como si lo estuvieran

Argumentando:

“...mecanismos de encriptación con algoritmos que hacen parte de los estándares internacionales avalados por la Agencia Nacional de Seguridad de los Estados Unidos”.

Sin mencionar que se permitía descargar una versión del código del sitio, en la opción para diligenciar el censo de forma offline. En el código (Juliana lo explicó y nosotros pudimos comprobarlo) se hace un “cifrado simétrico” conocido por ser inadecuado e inseguro para el cifrado de contraseñas, adicionalmente en el mismo código se incluye la llave que puede ser usada para descifrar las contraseñas.

Ella también aporta como evidencia el hecho de que es exactamente igual al publicado en el sitio https://stackoverflow.com/ (red social para compartir y discutir código), que explícitamente indica que aunque funciona, no es seguro.

El sólo hecho de que declaren usar "mecanismos de encriptación" avalados, no garantiza su buen uso. Lo que se cuestiona no es la herramienta sino su aplicación y la consideración por las buenas prácticas de ingeniería.

Queremos señalar que tampoco es válido el siguiente argumento, donde también se afirma que Juliana “falta a la verdad”:

“Entre los mecanismos de seguridad implementados por el DANE para mitigar intentos de accesos no permitidos y minimizar el riesgo de presencia de incidentes que puedan afectar la seguridad de la información almacenada en las bases de datos institucionales, se cuenta con soluciones de protección tales como cortafuegos y sistemas de detección y prevención de intrusos (definidos de manera perimetral), así como con la protección a nivel de aplicación a través de un cortafuego web”

De nada sirve que se tengan puertas con el blindaje de mayor nivel del mundo, si dejas la llave de la puerta debajo de la alfombra de bienvenida. En este caso, permitir la descarga de una versión del código del servidor como opción de diligenciado offline, es un serio problema de seguridad que pone en peligro la información y las contraseñas de quienes hayan diligenciado el censo de forma virtual.

  1. Nos sumamos al cuestionamiento iniciado por Juliana, y como ciudadanos esperamos que el software producido con recursos públicos con fines de recaudar información personal de ciudadanos colombianos sea de la más alta calidad.
  2. Basados en los puntos anteriores, recomendamos que el DANE realice una evaluación profesional e independiente de la siguiente manera:
    1. Se evalúe la implementación de cifrado tanto en la aplicación de escritorio y la web según las recomendaciones de la OWASP.
    2. Se realicen pruebas de penetración en todos los sistemas de recolección o almacenamiento de información personal de acuerdo a las recomendaciones de la OWASP. https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing
    3. Se implementen todas las recomendaciones consideradas críticas.
    4. Se publique un reporte con los hallazgos de la evaluación y correcciones, respaldado por la firma evaluadora y de manera pública.

Nos reunimos y organizamos para proveer una posición independiente y libre de afiliaciones políticas, con el fin de hacer un llamado a prevenir desastres informáticos que causen perdida en la confianza de soluciones innovadoras en nuestro país.

Atentamente:

carta's People

Contributors

montogeek avatar llanox avatar edsadr avatar buritica avatar jhenaoz avatar silenceway avatar rubenavilah avatar petersierra1280 avatar omarduque avatar nhocki avatar garusis avatar julianvargasalvarez avatar civan avatar destradax avatar cesarlarsson avatar alejoyarce avatar soyalejoramirez avatar pablovallejo avatar orendon avatar davidnv avatar mfcabrera avatar mateovelilla avatar desiderantes avatar marianvilla avatar khriztianmoreno avatar julianduque avatar julianbetancourt avatar juanesarango avatar parejajd avatar jdmaldonado avatar

Watchers

James Cloos avatar Miguel Alegria avatar

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.