Written by G3org3 comenta en su blog la noticia de la pesima administracion del departamento de informatica de la camara de diputados. Ahi podemos encontrar desde programas pirateados (donde quedo el “no a la pirateria? 
), hasta mp3 y porno. Es un caso escandaloso que seguramente saldra a la luz publica en estos dias (g3org3 y otros [saludos, enchilame] ya se estan encargando).
Sin embargo, y para nuestra desgracia no es el unico caso. Despues de una investigacion con informacion publica ( a traves de google) se pueden encontrar muchisimos casos de mala administracion de sistemas en el area de gobierno de mexico.
Aqui mostrare unos cuantos “NUNCA” cuando se trata de la administracion de sistemas.
- Nunca NUNCA NUNCA! tengas expuestas el codigo de tus bases de datos.
Mediante esta busqueda a google (filetype:sql site:.gob.mx) podemos encontrar muchos muchos muchos dumps de distintas bases de datos. El problema aqui es que usualmente en estas bases de datos esta informacion confidencial y datos de usuarios y contraseñas. Es como dejar las llaves pegadas en la puerta. - Nunca NUNCA NUNCA! dejes de poner atencion a las areas publicas de tus sitios.
Query relevante: porn site:gob.mx. Los sitios publicos como foros, blogs, etc. son blanco facil de los spammers. Como sitio de gobierno, es responabilidad absoluta de los administradores de sistemas monitorear el contenido publico. No queremos tener anuncios de pornografia en la pagina de la direccion general de televisión educativa, o en la pagina del DIF verdad?
- Nunca NUNCA NUNCA! pierdas control de tus servicios
Corolario del anterior. Una de las principales culpables de esto es el instituto de cultura del estado de campeche. Al parecer su servidor fue hackeado y a traves de el se ingresan a paginas pornograficas. Para muestra, un boton. (click aqui, no safe for work) - Nunca NUNCA NUNCA! dejes el código de tus aplicaciones abierto en la web.
Este es un gran “Duh!”. El principal responsable es… chan chan chan chan… e-gobierno. Uno de los grandes proyectos del gobierno de Fox, que sin duda tiene sus bondades, pero también carece de una correcta administración. Para encontrar este tipo de hoyos basta de usar este query (“directory listing” site:.gob.mx) en google. Saldrá un enooooooooooooooooorme listado (en mi caso, mas de 12 mil hits) de directorios desprotegidos con código de e-gobierno. Aunque la mayoría de ellos son inocuos, seguramente habrá informacion confidencial ahi. - Nunca NUNCA NUNCA! dejes abierta el listado de directorios a menos que sea necesario
Este es corolario del numero 4, y el query culpable es (“directory listing” site:.gob.mx –templates -egobierno -work). Son tantos los de e-gobierno que tuve que filtrarlos. Aqui podemos encontrar desde archivos psd hasta lo que te imagines. Por supuesto, no querras que sean accesibles al publico. - Nunca NUNCA NUNCA! dejes los archivos de configuración o administracion a menos que sea absolutamente necesario
Este es corolario del anterior también y talvez mas grave que el punto 4. Busqueda: (“directory listing” config site:.gob.mx) y (“index of” admin site:.gob.mx). Si dejas tus archivos de configuración abiertos, tendrán acceso a tu base de datos, a tus archivos, a todo. Esto es peor que dejar las llaves en la puerta, esto es dejar la puerta abierta y un pastel de bienvenida a los ladrones. Esta es solo una muestra, pero con un poco de imaginación es posible encontrar mas. Queda de ejercicio al lector
- Nunca NUNCA NUNCA! contrates a un inepto como administrador.
Despues de revisar el post de g3org3 y los puntos anteriores, creo que esta se explica sola.
Estas son solamente unas perlas, sin embargo la lista es grande. Y nadie se salva, en practicamente todas las entidades de gobierno a nivel federal y local hay muchos problemas. Es triste que haya tal apatía o falta de conocimiento en el sector gobierno, siendo que ademas, esta en juego mucha informacion confidencial de todos nosotros y la confianza y el poco prestigio que aun le queda al gobierno..
Y repito, toda esta información es publica, ellos la publicaron en internet y esta accesible a través de google, cualquiera puede acceder a ella. Porque luego a los politicos les encanta decir que los hackearon, pero no, es simple ineptitud.
Algunos de los afectados ya han sido notificados, sin embargo es prácticamente imposible avisar a todos. A final de cuentas, es responsabilidad de los administradores. Ojalá y estos tips salgan a la luz y ayuden en algo, y asi ya no tengan pretexto. Ademas, si no saben, pregunten! Y si quieren asesorías, avisen
Pendiente: poner las imagenes de cada caso. Lo hare mañana!
Update 1: Salio otro culpable del punto número 5… adivinen? Pues presidencia de la republica. En su pagina de multimedia (http://multimedia.presidencia.gob.mx/) esta muchiiiiiiisima informacion disponible para bajar. No se si esto sea intencional y no he revisado todo el material, pero vamos, es de novatos ese tipo de errores. <sarcasmo>Ahi encontramos todos los programas de fox contigo, para aquel que se los perdio! jejeje.</sarcasmo>
Update 2: Despues de un poco de busqueda mas, en realidad me doy cuenta que practicamente todas las dependencias tienen los mispos problemas. Si no me creen, busquen por ejemplo “index of” site:.df.gob.mx. Van a encontrar archivos privados del gobierno del df. Y asi siganse… Es lamentable. Muy lamentable.
Update 3: Al parecer, la tarde de ayer estuvo muy lenta la pagina de los diputados. Aunque desconozco si estuvo totalmente inaccesible, parece que habia mucha gente bajando p0rn desde ahi… Se comprueba una vez mas. Los botnets y otro tipo de ataques para saturar la red son cosa del pasado, lo de hoy es “sube porno a tu servidor y hazlo publico”. =)
Related posts:
precisamente esa página de presidencia es donde pude entrar a ver la información impunemente… pero de todo lo que revisé no encontré nada bueno, pura propaganda polÃtica…