Posted on

Política de Cookies

El objetivo de la presente Política es informar a los usuarios acerca de las Cookies que emplea esta página web de conformidad con:

• La Ley 34/2022, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
• El Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

¿Qué son las cookies?
Son ficheros de texto e imagen que se descargan en los dispositivos electrónicos (ordenador, smartphone, tablet…) al acceder a un servicio online.

Las cookies permiten, entre otras cosas, almacenar y recuperar información sobre el usuario, su navegador, sus dispositivos y la actividad del usuario en el servicio al que se conecta.

Hay que tener en cuenta que para poder utilizar y contar con una mejor experiencia de navegación, es necesario mantener habilitadas las Cookies, especialmente aquellas de carácter técnico que son necesarias para poder identificarte como usuario registrado cada vez que accedes a la web.

En caso de no querer recibir cookies, por favor, configure su navegador de internet, para que las borre del disco duro de su ordenador, las bloquee o le avise en su caso de instalación de las mismas.

Tipos de cookies
Existen muchos tipos de cookies, pero con carácter general, podemos distinguir las siguientes:

1. Según quién gestione las cookies:

Cookies propias. Se envían al dispositivo o terminal del usuario desde el equipo o dominio perteneciente al titular del servicio al que se ha conectado el usuario, y son gestionadas por dicho titular.
Cookies de terceros. Se envían al dispositivo o terminal del usuario desde un equipo o dominio que no es gestionado por el titular del servicio al que se ha conectado el usuario, sino por un tercero que tiene un acuerdo con el titular del servicio.

2. Según el plazo de conservación:

Cookies de sesión. Recaban y almacenan los datos cuando el usuario accede a una página web. Suelen conservar información que solo interesa para la prestación del servicio solicitado.
Cookies persistentes. Aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie (minutos o años).

3. Según su finalidad:

Cookies técnicas. Aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, etc.
Cookies de personalización. Aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, etc.
Cookies analíticas. Aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios.
Cookies publicitarias. Aquellas que permiten gestionar la oferta publicitaria en función del contenido del servicio solicitado o al uso que se realice de la página web. Realizan un perfilado de navegación.

¿Qué cookies utiliza la web?

 

¿Cómo bloquear las cookies?
El usuario puede permitir, bloquear, revocar o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones de su navegador. Puedes encontrar información sobre cómo hacerlo, en los siguientes links:

Edge.
Chrome.
Firefox.
Safari.
Opera.

Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. Para evitar desajustes, puede acceder directamente desde las opciones de su navegador, sección “Privacidad” (por lo general).

Debe tener en cuenta que la desactivación de alguna cookie puede impedir o dificultar la navegación o prestación de los servicios ofrecidos en la web.

Transferencias internacionales
No se producen transferencias internacionales de datos personales a terceros países fuera de la UE o Espacio Económico Europeo.

Protección de datos
Para conocer más sobre protección de datos, y los derechos que le asisten en la materia, puede acudir a lo establecido en nuestra “Política de Privacidad

Modificaciones
La presente política de cookies puede verse modificada en función de las exigencias legalmente establecidas o debido a instrucciones de la Agencia Española de Protección de Datos, o cambios en la Web.

Aconsejamos a los usuarios visitar periódicamente nuestra Política de Cookies.

Ante cualquier duda, contactar con CSIRT-CV a través de la dirección csirtcv@gva.es o en el siguiente formulario web.

Posted on

[SCI] Vulnerabilidades críticas en DIAEnergie de Delta Electronics

Introducció

Tenable ha publicat 3 vulnerabilitats que podrien derivar en una execució remota SQLi a través d’un dels seus camps.[1]

Anàlisi

L’executable CEBC.exe escolta per TCP en el port 928 i accepta comandos en forma de cadena de caràcters. Les vulnerabilitats de severitat critiques associades a DIAEnergie són les següents:

    • CVE-2024-4547: Control inadequat del missatge “RecalculateScript” (“injecció de codi”) (CWE-20):
      Quan es processa el missatge “RecalculateScript”, existix una vulnerabilitat en separar el missatge pel caràcter ‘~’. Un atacant pot injectar codi en el quart camp del missatge sense la necessitat d’autenticar-se.
    • CVE-2024-4548: Control inadequat del missatge “RecalculateHDMWYC” (“injecció de codi”) (CWE-20):
      Quan es processa el missatge “RecalculateHDMWYC”, existix una vulnerabilitat en separar el missatge pel caràcter ‘~’. Un atacant pot injectar codi en el quart camp del missatge sense la necessitat d’autenticar-se.
    • CVE-2024-4549:  Denegació de Servici sense identificació:
      Un atacant pot enviar la cadena de caràcters “ICS Restart!” i d’esta manera reiniciar el sistema.

La sèrie de productes afectats és:

    • Delta Electronics DIAEnergie CEBC.exe, v1.10.1.8610 i anteriors.

Recomanacions

La solució per als productes afectats és actualitzar DIAEnergie a la versió v1.10.01.004 o posterior.

Referències

[1] Delta Electronics DIAEnergie CEBC.exe Multiple Vulnerabilities

Posted on

Política de Privacidad

CSIRT-CV és un centre per a la prestació de servicis de ciberseguretat adscrit a la Conselleria d’Hisenda i Economia.

CSIRT-CV l’informa sobre la seua política de privacitat respecte al tractament de les dades personals en interacció amb el present lloc Web (https://csirtcv.gva.es/). L’objectiu d’esta Política és informar les persones interessades sobre els diferents tractaments de dades personals realitzades per l’organització a través de la Web, en compliment del que s’establix en:

    • El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016.
    • La Llei orgànica 3/2018, de 5 de diciembre, de Protecció de Dades Personals i garantia dels drets digitals.

Dades de contacte del responsable

    • Conselleria d’Hisenda i Economia.
    • CIF: S4611001A
    • C/ Palau 12, 46003, València, (València).

Adreça de CSIRT-CV

    • Joan Reglà, 6 baix, 46010, València, (València)
    • +34 96 398 5300

Finalitats

Tractarem les seues dades personals amb diferents finalitats a través del nostre formulari de contacte, de l’adreça de correu electrònic existent en la Web (csirtcv@gva.es), o de les telefonades realitzades. Les finalitats són les següents:

    • Atendre sol·licituds, queixes o altres incidències.
    • Protegir i exercir els nostres drets i/o respondre davant reclamacions de qualsevol índole.
    • Gestionar les sol·licituds relacionades amb els servicis que presta CSIRT-CV.
    • Subscriure’s a butlletins i alertes de seguretat.
    • Complir amb les obligacions legals que ens resulten directament aplicables i regulen la nostra activitat.

Bases jurídiques

La licitud del tractament se sustenta en les causes següents:

    • Consentiment. El prestat per a resoldre els dubtes i atendre altres sol·licituds, queixes, subscripcions i incidències. Sense consentiment de l’interessat, no es desenvoluparà cap tractament amb les finalitats esmentades.
    • Interés legítim. En interés a protegir la imatge, reputació i activitat de CSIRT-CV evitant atacs a la web, plantejant la corresponent denúncia o responent davant possibles reclamacions. En este cas, la persona interessada no podrà negar-se al tractament de les seues dades personals, però podrà exercir tots els drets que la normativa de protecció de dades li concedix.
    • Obligació legal. Per a complir amb les obligacions legals que siguen aplicables. En este cas, la persona interessada no podrà negar-se al tractament de les seues dades personals.
    • Interés públic o exercici de poders públics. Per al compliment del Centre amb les obligacions d’interés públic o en l’exercici de poders públics conferits pel responsable del tractament.

Terminis de conservació

Les dades personals proporcionades es conservaran durant el temps necessari per a complir amb les finalitats anteriorment esmentades.

Una vegada deixen de ser necessàries per al tractament en qüestió, seran suprimides, o es mantindran bloquejades per a, si és el cas, posar-les a la disposició de les Administracions i Organismes Públics competents, Jutges i Tribunals o Ministeri Fiscal, durant el termini de prescripció de les accions que pogueren derivar-se de la relació mantinguda amb l’usuari i/o terminis de conservació legalment previstos.

Destinataris

Durant el període de duració del tractament de les seues dades personals, el Centre no cedirà les seues dades, excepte obligació legal: Jutges i Tribunals, Forces i Cossos de Seguretat de l’Estat, altres autoritats o organismes públics competents.

Transferència internacional de dades

Les dades obtingudes per CSIRT-CV no seran objecte de transferències internacionals i, per tant, la seua custòdia i tractament es durà a terme dins de la UE i l’Espai Econòmic Europeu.

Drets

Les persones interessades podran exercir en qualsevol moment i de manera gratuïta ‒llevat que esta sol·licitud siga manifestament infundada, excessiva o repetitiva‒ els drets següents:

    • Accés. La persona usuària pot conéixer quina informació es té, d’on s’ha obtingut, a qui s’ha facilitat i amb quins usos.
    • Rectificació. La persona usuària pot rectificar dades errònies o desactualitzades.
    • Supressió. La persona usuària pot sol·licitar que es deixen de tractar les seues dades.
    • Oposició. La persona usuària pot sol·licitar que les seues dades deixen de ser tractades amb diverses finalitats: d’interés públic o interés legítim, de màrqueting directe, elaboració de perfils…
    • Limitació. La persona usuària pot restringir el tractament de les seues dades, i només podran ser tractades, amb excepció de la seua conservació, amb el seu consentiment o per a la formulació, exercici o defensa de reclamacions, i també amb la intenció de la protecció de drets de tercers i per interés públic.
    • Portabilitat. La persona usuària pot obtindre una còpia de les seues dades en format electrònic i, en determinades circumstàncies, sol·licitar que siguen comunicades a un altre prestador de servicis. Aplicable únicament a tractaments automatitzats en virtut del consentiment de l’usuari o per al compliment d’un contracte.

D’altra banda, també podran exercir:

    • El dret a no ser objecte de decisions individuals automatitzades, inclosa l’elaboració de perfils, si escau.
    • El dret a revocar el consentiment en qualsevol moment, sense que afecte la licitud del tractament anterior.
    • El dret a presentar una reclamació davant l’autoritat de control, en este cas, l’Agència Espanyola de Protecció de Dades (www.agpd.es).

Per a exercir estos drets podrà dirigir-se per escrit a la nostra adreça postal o a l’adreça de correu electrònic (csirtcv@gva.es).

Si vosté s’ha subscrit al nostre servici de butlletins i alertes de seguretat, pot donar-se de baixa en l’adreça electrònica següent: csirtcv@gva.es, amb l’assumpte «Baixa», a través del formulari habilitat a este efecte, o bé donant-se de baixa directament a través de la seua plataforma de correu electrònic fent clic en l’apartat «Donar-se de baixa».

Exactitud de les dades

La persona interessada garantix que les dades aportades són verdaderes, exactes, completes i actualitzades. En cas contrari, es compromet a informar sobre qualsevol canvi respecte a les aportades, a través dels canals habilitats per a això en la present política. Serà responsable dels danys o perjuís, directes i indirectes, ocasionats pel seu incompliment.

En el cas que l’USUARI facilite dades de tercers, declara que compta amb el consentiment de les persones interessades i es compromet a traslladar-li la informació continguda en esta Política, eximint l’organització de qualsevol responsabilitat derivada de l’incompliment d’esta obligació.

Vigència

La present Política de privacitat s’actualitzarà en funció de les exigències legals establides i de les directrius de l’Agència Espanyola de Protecció de Dades. Les seues modificacions seran adequadament publicades en la Web.

Davant qualsevol dubte sobre la interpretació d’esta política, pot contactar amb CSIRT-CV, en l’adreça de correu electrònic (csirtcv@gva.es).

Posted on

Avís legal

De conformitat amb el que s’establix en la Llei 34/2022, d’11 de juliol, de servicis de la societat de la informació i de comerç electrònic, es facilita la informació següent:

Dades identificatives

Vosté està visitant la pàgina web csirtcv.gva.es titularitat del Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV). CSIRT-CV està adscrit a la Direcció General de Tecnologies de la Informació i les Comunicacions dins de la Conselleria d’Hisenda i Economia amb domicili social en c/ Joan Reglà, 6 baix, 46010, València, València, amb CIF S4611001A.

Podrà contactar amb el TITULAR a través de:

• Telèfon: +34 96 398 5300
• Correu electrònic: csirtcv@gva.es

Condicions d’ús

1. Acceptació. Les presents condicions (AVÍS LEGAL) tenen per finalitat regular l’ús de la pàgina web del Titular. L’accés i/o ús d’esta pàgina web li atribuïx la condició d’usuari, que accepta, des d’este accés i/o ús, les presents condicions d’ús.

2. Ús del portal. https://csirtcv.gva.es/ proporciona accés a informacions, servicis o dades (d’ara endavant, els CONTINGUTS) en Internet pertanyents al TITULAR o als llicenciadors als quals l’USUARIO pot tindre accés.

L’usuari serà el responsable de l’ús del portal. Així mateix, esta responsabilitat s’estén al registre que fora necessari per a accedir a determinats continguts o servicis.

D’altra banda, l’usuari es fa responsable de l’ús adequat dels servicis o continguts (per exemple, xats, fòrums de discussió, grups de notícies…) que el TITULAR oferix a través del portal i, amb caràcter enunciatiu, però no limitatiu, a no emprar-los per a:

        • Dur a terme activitats il·lícites, il·legals o contràries a la bona fe i orde públic.
        • Difondre continguts o propaganda racista, xenòfoba, pornogràfics-il·legals, contra els drets i interessos de tercers.
        • Provocar danys als sistemes físics i lògics de csirtcv.gva.es dels seus proveïdors o terceres persones, i també d’infectar amb malware xarxes, equips informàtics i altres arxius o continguts emmagatzemats.
        • Intentar accedir als comptes d’altres usuaris i manipular missatges.
        • Utilitzar el lloc web o informacions contingudes en la web amb finalitats comercials, polítiques o publicitàries.

En qualsevol cas, CSIRT-CV no serà responsable de les opinions realitzades pels usuaris a través del sistema de comentaris, xarxes socials o altres ferramentes de participació, conforme al que es preveu en la normativa d’aplicació.

3. Responsabilitat. L’USUARIO reconeix que l’ús que faça de la web i dels seus continguts i servicis es desenvolupa sota la seua exclusiva responsabilitat. En particular, a títol enunciatiu, el TITULAR no assumix cap responsabilitat respecte a:

        • La disponibilitat de la web, la seua qualitat o interoperabilitat.
        • La finalitat de la web respecte als objectius de l’USUARI.
        • La infracció per part de l’USUARI o tercers i, en concret, dels drets de propietat intel·lectual i industrial de titularitat d’altres persones o entitats.
        • La transmissió o enviament a través del lloc Web de qualsevol contingut il·legal, o il·lícit, malware, o missatges que, en general, afecten o violen drets del TITULAR o de tercers.
        • L’accés fraudulent als continguts o servicis per tercers no autoritzats o, si és el cas, la captura, eliminació, alteració, modificació o manipulació dels missatges i comunicacions de qualsevol classe que els esmentats terceres pogueren realitzar.
        • L’exactitud, veracitat, actualitat i utilitat dels continguts i servicis oferits i la utilització posterior que en faça l’USUARI. El TITULAR emprarà tots els esforços i mitjans raonables per a facilitar la informació actualitzada i fefaent.
        • Els danys produïts a equips informàtics durant l’accés a la pàgina web i els danys produïts als USUARIS quan tinguen el seu origen en fallades o desconnexions en les xarxes de telecomunicacions que interrompen el servici.
        • Els danys o perjuís que es deriven de circumstàncies esdevingudes per cas fortuït o força major, i també els derivats de la utilització de la informació del lloc Web o de la continguda en les xarxes socials del TITULAR.

4. Enllaços. En cas que la web https://csirtcv.gva.es/ incloga enllaços cap a altres llocs d’Internet, el TITULAR no assumix cap control sobre estos llocs i continguts. Per tant, el TITULAR no assumix cap responsabilitat pels continguts dels enllaços pertanyents al lloc web alié, ni garantirà la disponibilitat tècnica, qualitat, fiabilitat, exactitud, veracitat, validesa o constitucionalitat de la seua informació. De la mateixa manera, la inclusió d’estos enllaços externs en la web no implicarà cap mena d’associació amb estes entitats.

5. Exclusió. El TITULAR es reserva el dret a denegar o retirar l’accés al portal i/o els servicis oferits sense necessitat d’advertiment previ a aquells usuaris que incomplisquen el contingut d’este avís legal.

6. Modificació. El TITULAR es reserva el dret a efectuar sense previ avís les modificacions que considere oportunes en el seu portal, tant de continguts com de servicis, com la forma en la qual estos apareixen o la seua localització.

7. Duració. Estes condicions estaran vigents fins que siguen modificades per unes altres degudament publicades.

8. Compliment. El TITULAR adoptarà les mesures que siguen necessàries per al compliment d’estes condicions, i exercirà qualssevol altres accions civils i penals derivades del seu incompliment.

Mesures de seguretat

Per a protegir la confidencialitat de la informació i dades personals en trànsit, el lloc web del TITULAR compta amb un certificat vàlid emés per una autoritat de confiança. Este certificat protegix la informació transmesa a través dels formularis web fins al servidor, o les dades introduïdes per a la subscripció de butlletins de notícies o accés a les àrees protegides, etc.

Per a identificar la connexió segura, en la barra d’adreces, on està l’URL https://csirtcv.gva.es/, apareix en el costat esquerre un símbol d’estat de la seguretat. Això significa que quan vas entrar en la nostra web, el teu navegador i el nostre servidor web van establir una connexió segura HTTPS.

D’altra banda, quant a la protecció de les dades personals, la seua obtenció i tractament seguirà el que s’establix en la normativa vigent, tal com s’arreplega en la Política de Privacitat de la Web, i també en la Política de Cookies d’esta. D’igual manera, CSIRT-CV assumix totes les mesures d’índole tècnica, organitzativa i de seguretat que garantisquen la confidencialitat, integritat i qualitat d’estes dades.

No obstant això, encara que s’adopten tots els mitjans necessaris i mesures de seguretat oportunes per a evitar possibles incidents, l’USUARI ha de saber que la seguretat no és absolutament fiable i, per tant, no es pot garantir la inexistència de malware o altres elements que puguen produir alteracions en els actius informàtics de l’usuari o en els seus documents o fitxers.

Propietat intel·lectual i industrial

El TITULAR és propietari de tots els drets de propietat intel·lectual i industrial de la pàgina web, així com dels elements continguts en la mateixa (a títol enunciatiu: imatges, fotografies, so, àudio, vídeo, marques, logotips, combinacions de colors, estructura i disseny, materials usats, etc.), titularitat del TITULAR o els seus llicenciadors.

Es prohibix de manera explícita que tercers realitzen “framings” o utilitzen qualsevol mecanisme que modifique el disseny, la configuració original o els continguts dels nostres portals.

Tots els drets reservats. Queda prohibida la comunicació i difusió dels continguts o qualsevol altre ús que tinga una finalitat pública o comercial sense l’autorització expressa de CSIRT-CV.

El TITULAR permet la reproducció total o parcial dels textos i continguts oferits pel portal, sempre que es complisquen totes les següents condicions:

    • Els continguts, documents o gràfics es mantinguen íntegres.
    • S’esmente explícitament a CSIRT-CV com a font i origen d’estos.
    • L’ús tinga una finalitat compatible amb els objectius de la Web i/o l’activitat de CSIRT-CV.
    • No tinga ús comercial.

Qualsevol altre ús haurà de ser comunicat i autoritzat per CSIRT-CV, de manera prèvia i per escrit.

Així mateix, per a poder instal·lar o utilitzar qualsevol programari que es trobe disponible per a la seua descàrrega des d’este portal, ha d’acceptar-se prèviament els termes del Contracte de Llicència, si n’hi haguera, que acompanye o s’incloga en el software.

Legislació aplicable i jurisdicció

La relació entre el TITULAR i l’USUARI es regirà per la normativa espanyola vigent. Les disputes i reclamacions derivades de l’ús, contingut i servicis d’este portal web es resoldran pels Jutjats i Tribunals espanyols de València (València).