Yo también trabajo en el CNC desde hace 2 años, en el Área de Desarrollo. Trabajamos extendiendo, dando soporte y manteniendo los sistemas de gestión de toda la UNA y desarrollando nuevas aplicaciones para la misma.

Yo entiendo la posición de Cesar. Es la posición de alguien, como yo, que está un poco cansado de que se opine sin tener información suficiente, dando argumentos sin sustento (como que ganamos “jugosos salarios”) y sin tener consideración por las personas.

Sin embargo, César, tenemos que asumir que en el CNC se cometió un ERROR, y aunque no seamos los responsables directos, sencillamente tenemos que poner la cara por el mismo TODOS NOSOTROS. Yo personalmente, siento mucha vergüenza por lo que pasó, porque es un golpe a mi orgullo también.

Dicho esto, quisiera decir que también me parece muy deshonroso de parte de Luis Benítez, quien habiendo trabajado en el CNC, se haya aprovechado de este problema para hacer público comentarios que tendría que haber acercado a su antigua casa de manera amistosa y solidaria. Pero bueno, esto ya depende de la ética y la moral que cada uno maneja y el tiene la libertad de expresar lo que desea como lo desea.

Personalmente, teniendo en cuenta todo lo que le debo al CNC por todo lo que he crecido allí, YO hubiera procedido de otra forma. En lugar de unirme a la catarata de críticas y quejas (totalmente justificadas), me hubiera acercado a mis amigos del CNC para ofrecerles mi ayuda antes que publicar un comentario hablando mal de su trabajo (aún cuando este sea muy malo).

Yo les puedo asegurar que hay muchísimo que mejorar en el CNC. Les puedo decir por ejemplo que una de las causas de esto es precisamente lo que César decía, la alta rotación de técnicos. Así también hay excelentes cosas que rescatar. Lastimosamente, la mayoría de las veces solo nos hacemos eco de aquello que es malo y nunca de lo bueno. Aún más cuando se trata de una Institución Pública como lo es el CNC. No podemos evadir esta realidad.

Lo que si pienso, muy personalmente, es que nuestra actitud ante el error de los demás, siempre debe considerar que detrás de las máquinas, hay personas, y por lo tanto nuestros comentarios deben criticar más que nada el error, sin agregar calificativos sobre esas personas. Por que sencillamente a las personas no las conocemos, y es muy fácil caer en prejuicios sin sustento.

Por lo demás, las críticas y quejas que se han realizado debido al problema, son totalmente válidas y justificadas. Aunque no lo crean, nos hacemos responsables y ya se trabajó para resolverlo. Si en el futuro vuelven a encontrar un problema de seguridad o errores en el trabajo que hacemos, ojalá prime la solidaridad antes que la mala onda.

En este ejemplo que expusiste existe una persona INDIVIDUALIZADA quien tiene la culpa: el médico negligente.

Sin embargo, en tu blog (te invito a que lo leas de nuevo), establecías QUE NADIE TIENE LA CULPA… por que se trataba de algo vieeejooo de hace 10 años. O sea..

En consecuencia, tu ejemplo del IPS, ni se asemeja al caso, a tu blog y a las críticas vertidas HACIA LA INSTITUCIÓN (y sus funcionarios) responsables de la inseguridad del sitio.

Te recuerdo también que nadie nunca dijo: César Rodas, sin embargo fuiste quien saltó con este blog.

Si tiro un nmap por todos los .py seguro que encuentro algo.

Quien no haya hecho un sistema con errores, es porque nunca hizo un sistema Se tiene que crear una conciencia en torno a la seguridad informatica, pero si van a linchar al primero que se atreve a reconocer un error ajeno, bueno que esperan los admins de otros entes hagan.

Por esta actitud de turba es que no hay estadisticas de incidentes de este tipo en el país, por ende no sabemos que tan mal estamos hasta que lo leemos en el diario.

Hay una comunidad de seguridad informatica seria en el pais?, o son todos unos defacers lent0s.

=p

Interesting ports on mail.fpj.com.py (200.61.225.46):
Not shown: 1678 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
79/tcp filtered finger
80/tcp open http
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1521/tcp open oracle
4444/tcp filtered krb524
7000/tcp filtered afs3-fileserver
8080/tcp open http-proxy
8081/tcp open blackice-icecap
16959/tcp filtered subseven
27374/tcp filtered subseven
27665/tcp filtered Trinoo_Master

Nmap finished: 1 IP address (1 host up) scanned in 48.388 seconds

Y el 22 el user es root

[~]# nmap -sS -P0 -D 62.232.12.8,ME,65.213.217.241 200.3.249.67
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2008-11-24 18:13 EST
Interesting ports on mail.senado.gov.py (200.3.249.67):
(The 1653 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp filtered ftp
25/tcp open smtp
37/tcp open time
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
822/tcp open unknown
1015/tcp open unknown
3306/tcp filtered mysql
6667/tcp filtered irc
Nmap run completed — 1 IP address (1 host up) scanned in 22.370 seconds

Yo no tuve nada que ver con lo del NIC, es como que una persona trabaje en la farmacia del IPS, y un paciente muera por negligencia media en el mismo nosocomio, que culpa tiene el farmacéutico?, pues la misma que tengo yo.

El tema se volvió personal cuando todos tiraban bombas hacia el CNC y funcionarios, contra nosotros, metiéndonos en una misma bolsa,

En otro punto, los del NIC siempre tiran toda la borda a CNC, ya que CNC > NIC toda la vida, y creo que aqui se dio lo mismo … o bien CNC realmente fue el responsable, ojo no los actuales personas … parece que esto data de tiempo atras.-

Yo dije en mi anterior post que este articulo no tenia sentido, al menos no abrirlo desde una persona que trabaja en CNC queriendo decir que no tiene nada que ver, es como que hayan robado la casa de alado de la tuya y que vos saques en el diario “YO NO FUI” … simplemente no tiene sentido. También en mi anterior post quise darle un tono de “realmente esto mucho no importa” pero desde qué sentido? desde esto:

http://www.informconf.com.py/informconf/system2.0/utils/preconfig.bat
http://www.informconf.com.py/informconf/system2.0/connect.ssc (Visual Basic o Studio)
http://www.informconf.com.py/informconf/
http://www.informconf.com.py/informconf/*.*

http://www.congreso.gov.py/senadores/ (user webmaster pass webmaster)

http://200.61.225.46 (22, 9704, 77) [Financiera ParaguayaJaponesa]
http://200.61.225.46:8080/apex/ [Financiera ParaguayaJaponesa]

ETC ETC ETC

El paraguayo es un mal Sysadmin?, en general si, y existen demasiados muchos ejemplos de pésimas administraciones, de desconocimientos y es cierto, no justifica y tal vez menos en el NIC que el sueldo viene de nuestro IVA que garpamos mes a mes, lo queme hubiese gustado ver seria a un César Rodas que tiene el “privilegio” de trabajar en el CNC y dar propuestas de soluciones, ocuparse bien entonces del server, digo .. al menos los que nos consideramos buenos SysAdmins y que luchamos todos los dias contra el desconocimiento y tratamos de actualizarnos e informarnos, lo que menos podemos hacer es ayudar, mas estando en tu puesto de trabajo César.-

El problema de muchos ( como lo son en el CNC ) es que son cerrados, es como linux.org.py, y demases, personas que creen ser superiores y se cierran pero de una manera increible, CNC se cierran y son un grupo de personas cerradas no en lo individual sino en la cabeza mismo .. sino es *BSD no existe y ahi ven .. la seguridad .. el profesionalismo de muchos …

Esto no es nada gente … no es nada .. creanme ..

‘las webs fueron extraidas del conocimiento publico.-

Y se está desviando un poco el tema, pero no me importa, el DNS no va a ser hackeado aunque tengan el usuario root de ese servidor web, nada tiene que ver.

Reconozco que pueden tener razón (yo no tengo ni un *.py pero tengo mas de 30 *.com, por el precio y el servicio), pero este no es el medio para quejarse, ya que yo no tengo nada que ver con el NIC, y no voy a poder ayudarles en NADA. Pueden enviar una nota al NIC.py si quieren perder el tiempo, o hacer algo útil y enviar una nota al Rector de la UNA, o a la ICANN. Con plagueos por blogs (aunque no me molestan para nada que escriban acá, apruebo todo lo que escriben) no van a lograr nada.

El problema en el CNC, y por consiguiente con el NIC, es la gran rotación del personal por el bajo salario que la gente del Rectorado asigna para salarios en el CNC (no cuento cuanto es mi salario, porque es irrisorio). No es una justificación, pero es caótico entrenar al personal por más o menos 1 año, para que luego se vayan a empresas privadas, dejando proyectos a medio terminar.

El comentario Flameware! flameware!, ya me puse el casco para la guera…!, era una broma… me falto el jajaja al final.

No entiendo patavinas de la parte técnica, pero decir que algo “es viejo” es como mínimo una actitud poco profesional.

“Señor cliente: el banco fue robado, y todos tus bienes que estaban en la caja fuerte se perdieron… pero el que instaló la caja fuerte ya no trabaja acá, no es mi culpa, yo estoy a cargo de la seguridad del banco hace sólo 1 mes…” Y bue… así nos va en nuestro querido Paraguay!!!

Pero lo más grave es: si la INSTITUCIÓN (que trasciende a las personas, las de antes y las de ahora) usa la excusa de que es algo “VIEJO” para justificar lo “INSEGURO”, ¿¿¿qué garantías me da la INSTITUCIÓN de que lo programado por los “actuales”, en temas más sensibles como el DNS, no sea fácilmente hackeado en 2, 5 o 10 años, cuando se haga “VIEJO”???

Hay que recordar algo, estimado César (a quien no conozco y no tengo nada en contra): la UNA es una institución pública. Cada ciudadano paga parte de tu sueldo. Al menos deberías respetar eso, y no tomarnos por estúpidos!!!

Jajaja, geeks hablando de mere mortals. But ofc hun, being an ultimate geek maeks you god.

ON

El recurso ese de “no es co yo nomás, el tambíén” [sic] funcionaba en tercer grado.

El problema es la imagen de desidia y negligencia que irradia el NIC-py. Comenzando por las OBSOLETAS metodologías de registro y pago de dominios, hasta el hecho de tener la misma página corriendo “hace 10 años”, y no haberse planteado NI UNA SOLA VEZ (loco, 10 años es mucho tiempo) la posibilidad de testear la seguridad del sitio. Quién sabe qué más estará compromised. Si no asumen su responsabilidad (quienquiera que sea el “responsable”), es cuestión de tiempo para que alguien haga algo más grave.

El CNC (Contacto Técnico del ccTLD-PY) es responsable de la administración y operación de los servidores DNS, y el LED (Contacto Administrativo del ccTLD-PY) es responsable de las aprobaciones de las solicitudes de delegación de dominios.

Evidentemente es responsabilidad del CNC la operación de los servidores DNS. El web server se lo puede tomar como un plus o extra sobre esas responsabilidades, que con el tiempo se volvieron indispensables. Así nomás también empezó a utilizarse el webmail, y ahora no podes venir a excusar que el webmail no tiene nada que ver con el SMTP/POP3/IMAP.

Es por ese motivo que cada servicio anexado al servicio principal de DNS debe ser tan prioritario como el servicio principal. Si en realidad no es importante ese servicio, debe salir de producción.

Mucha gente buena está y estuvieron por el CNC. Y es un balde de agua fría el comentario:

Si piensan que los culpables somos los funcionarios actuales del CNC, la respuesta es NO, ya que esa página está desde hace mas de 10 años, y tenemos una larga lista de actividades de cosas a hacer, no podemos pasar la vida controlando cosas que fueron hechas hace años y que funcionan (o así parece).

Significa que nadie más le dio pelota y quedó en la desidia. Y expone que no existen procedimiento sobre todos los sistemas que están en producción. Sabemos bien que el software necesita mantenimiento para seguir funcionando.

Finalmente, todo lo que expongo son puntos de vistas que tengo relacionado sobre esta problemática en particular. Quisiera que el NIC mejore y de más servicios, de modo que al ir nuevamente a pagar por los dominios “.py” no salga protestando por el precio queriendo llevar mi dinero fuera del país buscando el dominio “.com”. Si los funcionarios actuales del CNC no dan abasto, porqué no pedir ayuda al LED? Ahí también hay buenos profesionales y además ambos están por la causa llamada NIC.

Saludos,
Nicolás

NIC != CNC

NIC = CNC + LED

La gente que trabaja en el CNC en redes (como yo) o en desarrollo nada tiene que ver con el NIC.py.

Ademas, quisiera saber como un servidor web “afectado” en la zona DMZ + permisos de usuario www-data, podría afectar todo el NIC, siendo que el NIC está en la red privada?, un servidor web, no afecta en nada al NIC, por favor gente no crean lo que dice por ahí un viejito buscando propaganda.

Lo que debería hacer la gente del NIC, CNC, o quien sea que fuese responsable de el Web Server comprometido es tomar las medidas para que ni ese, ni ningún otro servidor de NIC sufra nuevamente algún “daño” por más “mínimo” que sea, por personas ajenas a la institución.

Si no pueden con eso, tercericen el servicio a otra autoridad competente que quiera encargase de los sistemas. De los “nuevos” y de los “viejos”.

Yo no tengo arte ni parte en el NIC, tienen problemas deberían llamar al 585550, y quejarse ahí…

Migs, no es culpa mía, no trabajo en el NIC, y no entiendo el resto de tu comentario.

Y eso de “deberían comprarse .com” es el argumento más pelotudo posible. El alto costo de los dominios .py, producto sin duda de la cantidad de parásitos que deben mantener ciertas instituciones estatales, es un PROBLEMA que debe ser solucionado, y no descartado con “soluciones” que daría María Antonieta.

aqui no importa quien es famoso o no, quien es hacker o no… lo que importa es cambiar a los mediocres del NIC y poner gente profesional, pero claro en mi querido Paraguay eso es muy dificil.

dicen que no tiene importancia, pero cualquiera podia modificar la pagina como para incluir un troyano a los visitantes del NIC, o podia redireccionar a un sitio donde robar dinero a los usuarios…. es una verguenza.

Por eso recurren al primero que les tira una noticia jugosa, que viene a avalar sus postura neoludista.

Si esto no es una campaña politica es una campaña para vender mas antivirus:P

Es una metodología benigna y muy util. El problema es cuando se utiliza el termino a la ligera. El hacking etico debe estar aprobado por la entidad en cuestión, sino , es un cracking etilico :). Es un servicio mas de auditoria informatica que se presta a una entidad.

Es un metodo por etapas, algunas se pueden saltar si no se aplican al caso en particular. Otras se pueden hacer paralelamente.

Snifear puertos, en busca de servicios y SO’s, probar cadenas de inyección SQL, analisis de cross scripting, etc, usualmente no acarrean daños al sistema, pero cuando le bajas una bateria como hace nessus, podes llegar a “romper” algo.

Se debe dar aviso al webmaster si “la auditoria” se esta haciendo sin permiso, el problema es que el webmaster se enoja y no da piola. Muchas veces tardan en buscar una solución, que no es sencilla.

No podes darle un plazo de 48 hs para arregle y despues contarle a todo el mundo. Es un vil chantaje que nadie puede aceptar.

Hay servicios publicos muy vulnerables que deberian ser auditados tecnicamente, pero la programación no es perfecta. Siempre habrá un pequeño error. La facilidad de programar es inversamente proporcional a la dificultad de crackear el sistema.

Por desgracia si nadie denuncia publicamente, nadie hace nada.

El proceso de divulgación es muy invasivo, imaginate si yo te mandara un mail diciendote que dejaste la puerta trasera de la cocina abierta, me vas a preguntar como es que lo se, no hay respuesta que no sea tetrica (fui ,entre a tu cocina me hice un sandwich y me tome tu ultima cervezita o , te estuve espiando a distancia durante una semana)

Y eso no es “hacking”, es solo probar con password genéricos (y mucha suerte) o aprovecharse de los descuidos… pero es definitivamente no es “hacking”.

Aparte los mere-mortals asocian hacking con warez. y nada tienen que ver…

El hacking etico es una rama mas de la seguridad, enfocada en realizar un analisis de los sistemas de información utilizando las herramientas y metodologias que un cracker, lamer, pendex utilizaria.

Es un arma de doble filo, porque a fin de que el trabajo de auditoria sea relevante debes publicar los resultados para que los responsables del sistema tomen las contramedidas correspondientes. La forma de publicar estos resultados es lo dudoso. Ademas el hacking etico debe contar con el permiso explicito de los responsables del sistema auditado.

Si no es cracking lento nomas. Eso de tocar datos y hacer defacing a fin de demostrar una falla es una irresponsabilidad y no una travesura.

El tema de seguridad por obscuridad da para rato, tremendo flame si lo tiras en un foro cualquiera.

El NIC tiene q comerse su cuota de responsabilidad en esto q quizas sea una tonteria y sin importancia (como lo demuestra q no sea actualizado el script despues de tanto tiempo). Pero es tb en gran parte la cara del NIC.
Ademas la pagina ya se reformo hace no mucho (y por cierto, varias cosas dejaron de funcionar como lo hacian) asi q alguien miro esto y se lo paso por alto.
Ok, todos la pifiamos cada tanto. No es el gran drama, pero sigue siendo responsabilidad de alguien.

El NIC hace rato no se gana el amor de casi nadie y puede q sea responsabilidad de alguien mas, pero en serio tiene q pasar algo asi para q se muevan las cachas? Por suerte esta vez es algo sin importancia, y uno quiere confiar en q las joyas de la familia estan bien resguardadas. Pero uno ya confia menos.

Y como bien decis, a comprar .com nomas…

Lo que vimos, sabemos que fue, como fue probablemente y cuales eran los verdaderos peligros: NADA GRAVE, grave si puede ser el hecho de casi una decada no actualizar un Server por mas choto que sea, pero no es la gran cosa, … tiren el server, seguro que hay backups, y listo .. no robaron ni destruyeron nada importante.-

Por lo que por todo lo dicho anteriormente, y sobre todo lo que realmente pasó … me parece sin sentido el articulo, cuando vi tu entrada en mi RSS pensé que otro buen articulo, para mi gusto caiste en el jueguito del gato y el raton, y tambien con mucha cola de paja =)

Saludos como siempre!.-