martes, 25 de noviembre de 2008

El CNC y una nueva negligencia

A finales de los 90 recuerdo que un fin de semana cayó el servidor dns del CNC o el enlace satelital, esto no hubiese sido ningún problema si ellos respetaban algunos RFC (este es el best practice de la IANA) que recomiendan llevar copias a otros continentes de la base de datos de este tipo de servicios, la cuestión fue que no lo hicieron, tal vez por desidia, tal vez por ignorancia. El problema empezó un viernes, para el domingo ningún dominio ".py" se podia 'ver' en la red. Esto se solucionó el lunes siguiente cuando habilitaron de vuelta los servicios. Eso pasó ya hace tiempo. Luego de este evento no percibí otro raro, hasta ayer. En tocorre alguien publicó la dirección url de un script que permitía la modificación de muchas cosas en el servidor del NIC. Acá hay una prueba de ello:



http://img296.imageshack.us/img296/2336/hacknicpyer0.png

Que sucedió en el CNC? ya no tienen presupuesto para el mantenimiento de los servicios? Habría que recordar que este también es un MONOPOLIO al que ni la prensa ni los proveedores hacen referencia.

Esto que sucedió se puede tomar como evidencia de cierta desidia del personal técnico del CNC, asi como hace años en el problema descripto inicialmente.

Todo el pais puede verse afectado ante esto. Nuevamente la prensa no se hizo eco de este tipo problema, será que no entienden las implicancias? (no seria raro que no lo entiendan).

Por qué este evento desnuda un problema grave? Simplemente por que el DNS forma parte de los protocolos que hacen a la arquitectura de Internet. Sin el DNS del NIC.py nadie en ninguna parte del mundo podrá llegar a servidores que tienen su dominio bajo .py. Podrían hacerlo por el número IP, pero no por el nombre de dominio. Al tomar cierto control de este equipo es solo cuestión de tiempo, (y si se tiene el conocimiento adecuado) tomar el control del resto de la infraestructura.

Este hack esta penado en nuestro código penal, esto es un delito y como tal debe ser perseguido. Pero dudo que la fiscalía tome alguna acción al respecto.

En el mundo no existe una persona o empresa que pueda crear un software 100% a prueba de estos problemas (esto es un hecho conocido por todo profesional del área), todos los días se descubren bugs nuevos.  Estoy más que seguro que este bug pudo realizarse por alguna mala práctica de programación (sin importar el nivel que tiene el programador, es más, conozco del alto nivel profesional del personal del CNC). Pero justamente conociendo la infalibilidad de los sistemas, conociendo la posibilidad del error humano, existen mecanismos, procedimientos que se suelen aplicar a este tipo de sitios, tan sensibles que hacen a la infraestructura. Normalmente se contrata servicios externos que realizan pruebas (hacking ético) sobre toda la infraestructura, con esto se suele 'limpiar' errores conocidos y básicos, tambien algunos 'avanzados'. Normalmente despues de este tipo de acciones se les puede sacar la responsabilidad de alguna negligencia al personal técnico y administrativo. Antes no. Son pocas las Instituciones del Estado y del sector privado que realizan estas tareas como parte del mantenimiento de los servicios que ofrecen en Internet. Este tipo de actividades se realiza de forma periódica ya que la 'vida' en Internet es sumamente 'peligrosa'. En los servidores que administro no pasa una hora sin recibir algún tipo de ataque, esto seguirá así, esto es el día a día de tener un servicio expuesto en Internet.

Es por ello que me parece gravisima la desidia y/o negligencia del personal del CNC, y ante todo una vez más la población (sobre todo los usuarios) de vuelta esta desprotegida, y seguirá así, si no cambian ciertas prácticas.

Pero el CNC no es la única Institución que no aplica diversas mejores prácticas,  fijense en este url que le pertenece al servidor del Congreso de la República del Paraguay:

Lista de directorio

Fijense que utilización se le da a algunos recursos del Estado Paraguayo viendo esta foto y el de esta conejita (Gracias por el dato Michel Quomo=). Esto que demuestra? simplemente mala configuración de los servicios (otro problema completamente diferente pero normal en muchos servidores que estan en la red Internet en nuestro país). Y sobre la foto... esta demás cualquier comentario adicional.

3 comentarios:

Pablito dijo...

Buena parte de las veces contratar un servicio externo para probar tu seguridad es redundante. Al menos en este caso con revisar los logs uno ya tendria q estar al tanto de q esta pasando y se puede reaccionar realmente rapido.
La pregunta q levanta es pq paso esto y como tardo tanto en solucionarse.
Q tanta seguridad tenemos de q no se repita? y esto no esta totalmente aparte de las areas sensibles? cual es el grado de separacion entre la web y lo interesante?

Creo q hubo mucha confianza en la seguridad por oscuridad, q es lo mismo q ninguna seguridad.

Autopoiesis dijo...

Mira Pablito, desconozco totalmente el funcionamiento actual del CNC (hace mas de una decada trabajé allí) pero no temo equivocarme si afirmo que el personal técnico destacado allí (probablemente estarán entre los mejores del país) estarán saturados de trabajos aparte de mal remunerados. Por este tipo de prácticas creo que siempre es conveniente que terceros realicen el 'hacking ético' necesariamente tiene que ser gente de afuera. Aparte la seguridad de un sitio no es una tarea, es un proceso, y en este proceso esta eso que decís aparte de otras tareas mas o menos rutinarias. Además en cuestiones de seguridad uno nunca 'sabe todo'. Y para eso hay empresas que se dedican al rubro.

Con respecto al tema de si fue comprometido o no otras áreas, no tengo idea. Pero de vuelta te puedo asegurar que será mejor para ellos si asumen que todos los sistemas fueron comprometidos de tal forma a reencauzar las aguas.
En cuestiones de seguridad en Internet si de algo estoy seguro es que volverán a intentar algo así. Es mas probablemente ya lo están intentando.

Gunter Krone dijo...

es.youtube.com/watch?v=HNsh4ZNNRjI deben ponerle antes el http:// señores...