martes, 25 de noviembre de 2008

El CNC y una nueva negligencia

A finales de los 90 recuerdo que un fin de semana cayó el servidor dns del CNC o el enlace satelital, esto no hubiese sido ningún problema si ellos respetaban algunos RFC (este es el best practice de la IANA) que recomiendan llevar copias a otros continentes de la base de datos de este tipo de servicios, la cuestión fue que no lo hicieron, tal vez por desidia, tal vez por ignorancia. El problema empezó un viernes, para el domingo ningún dominio ".py" se podia 'ver' en la red. Esto se solucionó el lunes siguiente cuando habilitaron de vuelta los servicios. Eso pasó ya hace tiempo. Luego de este evento no percibí otro raro, hasta ayer. En tocorre alguien publicó la dirección url de un script que permitía la modificación de muchas cosas en el servidor del NIC. Acá hay una prueba de ello:



http://img296.imageshack.us/img296/2336/hacknicpyer0.png

Que sucedió en el CNC? ya no tienen presupuesto para el mantenimiento de los servicios? Habría que recordar que este también es un MONOPOLIO al que ni la prensa ni los proveedores hacen referencia.

Esto que sucedió se puede tomar como evidencia de cierta desidia del personal técnico del CNC, asi como hace años en el problema descripto inicialmente.

Todo el pais puede verse afectado ante esto. Nuevamente la prensa no se hizo eco de este tipo problema, será que no entienden las implicancias? (no seria raro que no lo entiendan).

Por qué este evento desnuda un problema grave? Simplemente por que el DNS forma parte de los protocolos que hacen a la arquitectura de Internet. Sin el DNS del NIC.py nadie en ninguna parte del mundo podrá llegar a servidores que tienen su dominio bajo .py. Podrían hacerlo por el número IP, pero no por el nombre de dominio. Al tomar cierto control de este equipo es solo cuestión de tiempo, (y si se tiene el conocimiento adecuado) tomar el control del resto de la infraestructura.

Este hack esta penado en nuestro código penal, esto es un delito y como tal debe ser perseguido. Pero dudo que la fiscalía tome alguna acción al respecto.

En el mundo no existe una persona o empresa que pueda crear un software 100% a prueba de estos problemas (esto es un hecho conocido por todo profesional del área), todos los días se descubren bugs nuevos.  Estoy más que seguro que este bug pudo realizarse por alguna mala práctica de programación (sin importar el nivel que tiene el programador, es más, conozco del alto nivel profesional del personal del CNC). Pero justamente conociendo la infalibilidad de los sistemas, conociendo la posibilidad del error humano, existen mecanismos, procedimientos que se suelen aplicar a este tipo de sitios, tan sensibles que hacen a la infraestructura. Normalmente se contrata servicios externos que realizan pruebas (hacking ético) sobre toda la infraestructura, con esto se suele 'limpiar' errores conocidos y básicos, tambien algunos 'avanzados'. Normalmente despues de este tipo de acciones se les puede sacar la responsabilidad de alguna negligencia al personal técnico y administrativo. Antes no. Son pocas las Instituciones del Estado y del sector privado que realizan estas tareas como parte del mantenimiento de los servicios que ofrecen en Internet. Este tipo de actividades se realiza de forma periódica ya que la 'vida' en Internet es sumamente 'peligrosa'. En los servidores que administro no pasa una hora sin recibir algún tipo de ataque, esto seguirá así, esto es el día a día de tener un servicio expuesto en Internet.

Es por ello que me parece gravisima la desidia y/o negligencia del personal del CNC, y ante todo una vez más la población (sobre todo los usuarios) de vuelta esta desprotegida, y seguirá así, si no cambian ciertas prácticas.

Pero el CNC no es la única Institución que no aplica diversas mejores prácticas,  fijense en este url que le pertenece al servidor del Congreso de la República del Paraguay:

Lista de directorio

Fijense que utilización se le da a algunos recursos del Estado Paraguayo viendo esta foto y el de esta conejita (Gracias por el dato Michel Quomo=). Esto que demuestra? simplemente mala configuración de los servicios (otro problema completamente diferente pero normal en muchos servidores que estan en la red Internet en nuestro país). Y sobre la foto... esta demás cualquier comentario adicional.

Publicar un comentario