[HACK] agujero en la web del ministerio de ciencia y tecnologia

merce at grn.es merce at grn.es
Thu Aug 8 22:27:03 CEST 2002 

17:00 31/07/02


NUEVO AGUJERO EN LA WEB DEL MINISTERIO DE CIENCIA Y TECNOLOGÍA


Mercè Molist
"El   servidor  web  del  Ministerio  de  Agricultura  goza  de  mejor
protección  que el de Ciencia y Tecnología", se queja Tahum, un hacker
que  acaba  de descubrir ahí el enésimo agujero de seguridad: un fallo
muy  conocido  de configuración del servidor, que permite a un intruso
navegar  por  la  base  de  datos,  ejecutar  programas  y  cambiar la
información  expuesta  al  público, como leyes, subvenciones, notas de
prensa, discursos, estadísticas o agendas.

"El  fallo  no  permite  una  entrada  automática al sistema, no es un
problema  de  máxima  gravedad, un "hack plug & play", para decirlo de
algún  modo.  Quien  pueda  ver  el agujero, navegará a sus anchas por
ciertos  directorios,  que  deberían estar protegidos, pero para poder
inyectar  información  a las bases de datos no basta con eso. Aún así,
serviría  para  causar confusión y extraer información, el primer paso
en la metodología de intrusión", avisa Tahum.

El experto se declara sorprendido porque en el Ministerio de Ciencia y
Tecnología  "no sepan administrar un Internet Information Server (IIS)
5.0,  servidor  web  sencillo  de  usar donde los haya. Me pareció, lo
menos,  curioso,  especialmente  después de las palabras de la antigua
ministra  acerca de la LSSI, publicadas en esta misma web: "Birulés ha
afirmado  que  esta  propuesta  normativa pretende dotar de confianza,
seguridad y certidumbre al entorno telemático y digital, protegiendo a
los  usuarios  y  fomentando la prestación de servicios electrónicos".
Esto.. ¿A quién quieren proteger? Miedo me dan".

Tahum  ha  seguido  un camino atípico para hacer público el fallo: "He
descartado  avisar a los responsables, ya que no es la primera vez que
hechos  así  se han de comunicar a través de una dirección de contacto
pobremente  atendida.  Si  lo hago, no contestarán, lo arreglarán y en
tres   meses   veremos  otro  agujero  mayor.  Si  hago  un  documento
explicativo  a  las listas serias de seguridad, nadie aprenderá ya que
es un agujero conocido por el administrador más novato. Pero quizás si
se  publica  en  algún medio que quienes quieren controlar Internet no
tienen   siquiera   una   infraestructura   sólida,  se  puedan  sacar
conclusiones".

Hace unos meses, el mismo experto descubría otro agujero en la web del
Ministerio  de  Ciencia  y  Tecnología, también por mala configuración
básica  del  servidor,  que usa el sistema operativo Windows 2000: "No
hubo respuesta pero se solventó".


Ministerio de Ciencia y Tecnología
http://www.mcyt.es

More information about the hacking mailing list