Iloo

https://iloo.wordpress.com

Archivos por Etiqueta: Bolivia

Tigo: la velocidad de mal en peor

La verdad tigo Bolivia es un desastre (al menos el servicio de Internet),con eso digo todo (es posible que surja algún comentario, aunque no lo creo, defendiendo a capa y espada a esta empresa), la velocidad de mal en peor, el soporte diciendo las mismas idioteces. Aunque en Bolivia ninguna empresa ofrece un buen servicio de conexión a Internet, a pesar de que el costo de contratar un servicio de este tipo no es nada barato.

Ahora tengo una conexión 3G  que apenas sobrepasa los 10 KB/s (el doble de mi antiguo dial-up), y el soporte (800-17-8000) me dice lo siguiente:

  • Cambie el tipo de conexión (solo 3G, preferente 3G, etc)… y usted ni siquiera sabe para que sirve eso.
  • Cambie el puerto donde se conecta el modem… claro el puerto USB esta demasiado congestionado hay que dejarlo descansar.
  • Reinicie el equipo… el equipo también tiene que descansar.
  • No es nuestro problema, le recomendamos que revise sus equipos… y ustedes deberían revisarse el cerebro!
  • Nosotros le garantizamos un mínimo de 64 KB/s… y entonces porque tengo 10 KB/s ?
  • Es debido a la zona donde vive, a dos cuadras de usted el servicio es mejor… haberlo dicho antes, voy a mover toda mi casa buscando su señal.
  • Debido a la insuficiencia eléctrica de las portátiles en los puertos USB es que su modem se corta, le recomendamos que use una PC de escritorio… vaya y yo que leí que los puertos USB son seguros y optimizan la energía.

Y cuando todo eso no funciona me mandan a sus oficinas para revisar el problema de mi modem, y el encargado (que ni siquiera sabe la diferencia entre KB/s y kbps) me dice lo siguiente:

  • El modem solo esta diseñado para navegar… osea no puedo hacer videconferencias, ni ver vídeos, osea solo puedo navegar.
  • Nosotros le ofrecemos un máximos de 256 KB/s… y eso es el nominal o real?  o.O
  • El modem se conecta normalmente… lea mis labios el problema es la velocidad!

Creo que no tengo de otra, solo rezar para que el próximo sábado pueda contratar un mejor servicio.

Haber si para la próxima voy añadiendo los nombres de estas personas.

Anuncios

Web Applications Security: www.bancounion.com.bo (1)

Si bien el uso de CMS‘s ayuda y agiliza la publicación de un portal, no todo es tan fácil y simple, es necesario probar muchas cosas, asegurar los datos y la información, hacer pruebas de contenido, seguridad, etc; tomando en cuenta que un portal puede ser una vía de acceso al contenido del servidor , la red de equipos y la información en y detrás de esta.

Por ahora no tengo muchas ganas y tiempo para ir probando esto a detalle, pero haciendo una prueba rápida y simple al portal del Banco Unión S.A., cuya dirección es www.bancounion.com.bo, se tiene:

De aquí:

  • SO: windows, lo más probable NT.
  • Servidor web: Apache.
  • Ruta de instalación del servidor web.
  • CMS: joomla.
  • Un error.
  • Y un administrador distraído.

Web Applications Security: tip 2, datos de acceso

Ahora que tengo tiempo (de manera obligatoria, debido a un accidente) voy a mostrar un post que tenía guardado hace rato.

Otro caso de la vida real, si bien el usuario es considerado el eslabón más débil dentro de una aplicación en general, y no por dar un poco más de facilidad a estos se puede exponer su seguridad.

Vamos al grano tenemos la siguiente aplicación perteneciente a Laboratorios Droguería INTI S.A.:

Para entrar a la aplicación hay que “seleccionar” un nombre de usuario y escribir un Contraseña, si escribí “seleccionar”, ya que todos los usuarios son mostrados en un campo tipo select, ahora usando fuerza bruta ya se puede ingresar fácilmente a la aplicación, pero alto esto continúa…

Lo peor es que algunos nombres de usuario son iguales a las contraseñas, y por tanto uno puede ingresar a la aplicación de manera mucho más sencilla.

De todo esto se pueden rescatar las siguientes sugerencias:

  1. Si bien las aplicaciones tienen que ser intuitivas, fáciles y rápidas de usar, pero no por esto se puede dejar de pensar que un usuario no pueda memorizar y escribir el id de acceso a la aplicación.
  2. No se deben de mostrar todos los usuarios y menos en un campo de tipo select.
  3. El clásico error es que la contraseña sea igual al nombre de usuario, no es difícil para un usuario recordar un id de acceso y un contraseña que sean distintas, en caso de que fuera muy muy difícil entonces se podrían usar los correos electrónicos como cuentas de usuario, es algo que siempre ayuda.

Web Applications Security: www.mingobierno.gob.bo (1)

Estoy cansado de ir avisando sobre las vulnerabilidades que existen en algunos sitios a sus respectivos administradores, esto porque no recibo ni siquiera un gracias, todo lo contrario, a una persona le hicieron un problema por comunicar algo que envió a este blog, cosa que demuestra que tales administradores son unos mediocres, así que: administradores se jod…

En este caso el sitio en cuestión es el Ministerio de Gobierno del Estado Plurinacional de Bolivia (www.mingobierno.gob.bo) No es necesario hacer un análisis minucioso para ver que el sitio tiene varias deficiencias en su implementación. Entre ellas: El enlace http://www.mingobierno.gob.bo/detalle_noticia.php?id=57 parece vulnerable, si cambiamos y lo dejamos de la siguiente manera: http://www.mingobierno.gob.bo/detalle_noticia.php?id=’, obtenemos un error:

Ya no queda más que hacer tiene un servidor windows con AppServ., vulnerable a SQL Injection y Blind SQL. Ahora el siguiente horror error es de del módulo encargado de la publicación de noticias:

Esta sección simplemente no tiene control de acceso, el nombre de la dirección es la más común, creo que no aprendieron que la seguridad por oscuridad no es seguridad.

Web Applications Security: www.presidencia.gob.bo (2)

Retomando la parte de administración.

Primero: En la sección de Gestionar Documentos.

Se observa un formulario para cargar archivos al servidor pero existe un error gravísimo, se puede cargar al servidor cualquier tipo de archivo (como veremos más adelante).

Recomendación: restringir la extensión y el tipo de archivo a subir al servidor.

Segundo: del punto anterior se puede cargar por ejemplo un shell php:

Recomendación: ver punto 1

Bueno ya teniendo el shell cargado se puede hacer prácticamente todo, cambiar nombres de directorios y archivos, subir y descargar archivos (se puede jugar una buena broma), también tener acceso a las bases de datos, etc, etc.

Lo dicho en el anterior post, el problema de la seguridad en el inicio de sesión se encuentra en la base de datos, así como no pude contactarme con el administrador, voy a arreglar yo mismo este problema, claro no es difícil, solo hay que borrar los registros nulos (espero que el administrador no haya colocado estos datos de manera consciente).

Ahora si iniciamos sesión de nuevo con los datos vacíos tenemos:

Por último y estoy seguro que la parte de inicio de sesión sigue siendo vulnerable a SQL Injection, con más tiempo voy a demostrar esta aseveración…