Y esto es una vulnerabilidad? (sobre el MSDS)

Leyendo el blog de jhuss(*) me encuentro con vínculos a todos los blogs y foros de estos lammers (DIOS!, se intercambian MSN! y ponen screenshots de Internet Exploiter, o sea?, yo creo que no conocen como hacer un Tor de su IP y solo saben Windows!) y me encuentro con conversaciones tan absurdas como estas:

“Mientras escribía esta nota, fui contactado por Aleck (ojo: recuerden que yo le pedí que me agregara al MSN anoche cuando me enteré de lo de Mercal) y me dijo que el día de hoy continuarán los ataques. Me mostró una vulnerabilidad del sitio del Ministerio del Poder Popular para la salud y dijo que también atacaría allí y a otros sitios gubernamentales.”

Decidí seguir el vínculo y me encuentro que apunta a un volcado SQL (un mySQL Front dumping bastante arcaico de una versión de MySQL tambien bastante arcana “4.04” cuando ya vamos para la versión 5.2); para un ojo no experimentado esto sería algo de “código mágico” para obtener un acceso ilimitado como root a todo el sistema; pero es un simple volcado (dumping) de la base de datos mySQL con la que administran este absolutamente loco PHPNuke (mis saludos a Francisco Burzi!); no es solamente algo estúpido pensar que eso sirva de algo (ni siquierala linea donde encontraremos donde está la tabla de nuke_users y el password del webmaster -> ‘ca2269a193ca0bd45e48f334b39d3b2e’; pero claro, está en MD5 y si estos lammers me dicen que conocen como hacer una prueba de regresión de factoriales para romper este md5 me quito el sombrero ante ellos; al ser un algoritmo de una-via; necesitarían un buen diccionario un ataque de fuerza bruta para obtener el password; pero conociendo a los implicados (MSDS) es capaz de que es la cédula del admin de sistemas; o algo peor!, un ‘123456’ jajajaja); sino que además, se consideran unos grandes genios por haber descubierto esto; yo más bien consideraría unos grandes “IDIOTAS” a los sysadmins y programadores del MSDS; no solo por usar algo tan lleno de huecos e inseguro como PHPNuke (existiendo Xoops o Joomla u otros CMS más profesionales); sino que además, se les ocurre dejar data e información en cualquier lado!; ¿a quienes tenemos como sysadmins en nuestras instituciones?.

Más lindo que ese dump es esta sección http://www.msds.gov.ve/estados/apure/; donde podemos ver el signature del server (un Red Hat con apache 2.0.52)y alcanzar virtualmente cualquier sector del server; o el phpmyadmin (http://www.msds.gov.ve/estados/apure/mya/) instalado, o la base de datos de recibos del MSDS (http://www.msds.gov.ve/estados/apure/recibo/recibo.sql); no creo que se necesite ser genio para darse cuenta que estos sysadmins son unos ineptos TOTALES y que cualquier niño de 12 años comiendo chocolate puede tirarse estas páginas; ¿Cual es el chiste entonces? …

Por qué atacar páginas tan inútiles?, si con 2 minutos de mirar encuentro todos estos problemas; necesito ser un gran “Juaquer” para tirarme esas páginas?, no, cualquiera puede apelar a los miles de recursos para los “ejecutadores de scripts ajenos” (script-kiddies) y hacer un “defacing” del home y poner ridiculos gif animados o loguitos de RCTV o cosas peores como páginas hechas con Microsoft Frontpage! (no que muy hackers?, por qué no usas linux y escribes con vim?).

¿Entonces cual es mi problema?; mi problema no es con ellos!, mi problema es con la pobre Betulia Alvarado!; si!, con ella!:

INSERT INTO `trabajador` VALUES (‘8195088′,’ ALVARADO H BETULIA’,’ 75211 MEDICO DE SALUD PUBLICA I’,’01/07/1989′,’NO VOY A MOSTRAR SUELDO’, ‘ NO VOY A MOSTRAR SU CUENTA’,’ 1 NO QUIERO MOSTRAR EL BANCO C.A. Cta. NO TE INTERESA’);

La pobre Alvarado Hernández Betulia Josefina; nacida en 1965, en donde estés por allá en el estado Apure, para tí van mis saludos! (y mis disculpas de que te haya usado como ejemplo), Ya que cosas como el sistema de recibos del MSDS me permite obtener por ejemplo; datos como su sueldo, banco y salario que percibe (que edité para que nadie más sepa); de la tabla de movimientos puedo obtener los datos de cuando se le deposita y la regularidad de los pagos; contrastando esos datos con la lista maisanta (que tambien se consigue pública en internet) puedo descubrir su dirección y quien sabe que más!, el movil perfecto para el hampa organizada! (ya entiendo por qué roban tan regularmente a los ancianitos que van a cobrar la pensión); de quien es la culpa de que yo pueda saber más información de Betulia que el mismo esposo de ella?; Pues de los administradores de Sistemas!; de esos completamente ineptos seres que no entienden la magnitud ni la posición en la que se encuentran!, que permiten que cualquier información confidencial se filtre al público porque andan más preocupados de cobrar sueldo, de la proxima marañita que van a montar que de realmente ser para lo que se les contrató, unos reales ADMINISTRADORES DE SISTEMAS.

Hasta cuando vamos a seguir en este jueguito?; ya realmente me harté de seguir en esta movida, muchas empresas incluso se han hecho millonarias montando obsoletas soluciones en software libre para “convencer” a los sysadmins de instituciones que sus “robustas soluciones ad-hoc privativas” son mejores. De los logs me di cuenta que la ultima vez que alguien tocó ese servidor (el del MSDS) fue en marzo del 2007; hasta inútil es esta gente!, solo se dedican a meterle noticias al PHPNuke sin más nada que hacer (salvo dejar cosas como esta colgadas por ahi, parece que es cosa de costumbre).

Y que no me acusen de atacante!; toda esa información está abierta y pública en Internet (y para peor, hasta indexada por google); a quienes deberían colgar es a esos administradores de sistemas; ya basta de tanto inútil trabajando para el gobierno por favor!.

Ya lo decía Mario Silva una vez en su programa; este gobierno no lo van a acabar los gringos, lo van a acabar los mismos que están adentro, que no hacen nada para mejorar y todos los días estamos peor.

Cuando nos vamos a sentar todos y sincerar esta situación? …

UPDATE: (*) El blog es el de Julioh, no el de jhuss; disculpa Julio! … :p

Acerca de phenobarbital

http://about.me/phenobarbital

Publicado el 8 febrero 2008 en contraloría social, Cultura Libre, Cultura Oldie, PlanetaLinux, Política. Añade a favoritos el enlace permanente. 6 comentarios.

  1. LOL, que loquera chamo, epa al inicio es julioh no jhuss. jhuss es mi pana y tengo un subdominio de el.
    La pura realidad, esto se va a caer pero por incompetencias de las personas.

  2. Pana take it easy, te va a salir una úlcera

  3. Pana si inventas, en la tabla trabajador el campo ingreso quiere decir la fecha de ingreso, no el sueldo.

    Así que por lo menos estamos tranquilos que por la red no esta el sueldo de la pobre betulia
    Saludos

  4. Bueno; veo que le salieron dolientes a la página; a mi ni me saldrá ulcera ni nada; me imagino que al ministro tampoco (si eso lleva tantos años así); a los encargados tampoco (que por lo visto ni un análisis de vulnerabilidad del PHPNuke hicieron para darse cuenta que es una aplicación descontinuada desde el año 2004); la diferencia principal en que tu hagas esto en tu casa; en tu trabajo de oficina o en la universidad es que por lo general no pasa nada; pero ser un inepto en sistemas en una institución pública tiene un reflejo y es que es nuestra renta petrolera y nuestros impuestos al seniat los que pagan el sueldo del funcionario; no está ahi porque es bonito o porque haga un café sabroso; su misión prima es resguardar los sistemas y toda la información generada por ellos; no es cosa de tomarsela con calma o a la ligera.
    Te gustaría que un chico cualquiera de 16 años tuviera acceso a tu información en el sistema BOSS de Cantv; reseteara tu router aba y te dejara sin internet por semanas?, o te cancelara la cuenta de teléfono y emitiera una orden de corte?; ¿verdad que no?, pero eso está pasando y la gran mayoría de los ataques han sido a través de operadores de sistemas ineficientes dentro de CANTV que han permitido ese tipo de perversiones; aceptalo, una gente que no sabe lo que está haciendo, por mucho mérito que esté poniendole a aprender, no debería estar aprendiendo con dinero del estado; debería tener la preparación suficiente para administrar los sistemas que se les confía; y aun así, si de verdad estuvieran aprendiendo, no tuvieran un PHP con una versión de mySQL de hace 5 años atrás; lo cual deja mucho que desear de los niveles de responsabilidad asumidos por esos empleados.
    Es como que un médico quiera aprender con sus pacientes; es algo ilógico e inaceptable y lo sabes …
    Así que no son cosas de úlcera sino de responsabilidades, si no saben asumirlas, no deberían estar ahi, tan sencillo como eso, asi no te guste lo aqui expresado …

  5. hola saludo al dueño de este blog solo kiero decirle que esta buenisimo el blog, mira espero que em informe como hago o donde consigo informacion como entrar a una web o como hago para vulnerarla dame alguna s pagina s donde yo pueda foguearme espero que me ayudes por esta parte y dime algo como se le llama a una persona que vulnera paginas web o que nombre se le atribulle soy nuevo en esto amigo gracias y espero que me respondas ok te dejo mi msn para que me informes gracias nada te cuenta solo decirme el resto lo hago yo por mi cuenta amigo salud2 pana

  6. QUIERO APRENDER A vulnerar WEB Y ESPERO QUE ME DIGAS ESTARE PENDIENTE PARA VER LA INFORMACION QUE ME DEJES AMIGO SOLO KIERO APRENDER A ENTRAR A UNA WEB O vulnerar Y HACER LO QUE SE ME PEGUE LA GANA CON ELLA BUENO LAS PRIMERAS QUE ME HECHARE SON LAS PRESINDECIALES ESPERO QUE ME INFORMES O ME AYUDE PARA PULISRME EN ESTO TAMBIEN ME KIERO UNIR A UN FORO O GRUPO QUE SE DEDIQUE AL ESTA TAREA GRACIAS

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: