domingo, enero 31, 2010

Advertencias y Recomendaciones

Jugando con la FOCA 2.0 me dio por mirar el dominio de la CIA, a ver si encontraba a Bin Llamazares Laden por allí. Tras encontrar una bonita lista de servidores llegué a uno publicado que me tiene impactado.


Si tienes cojones pon una comilla

Tras leer la advertencia, a mi se me quitaron todas las ganas de probar nada raro en el formulario de login, vamos que, si mis padres me hubieran cedido un apellido de auditor de webs, tal como "O'neal", "O'brian" o cualquier otra cosa con una comilla en él, hubiera solicitado un permiso por escrito para poner mis datos personales en esa web.

Ahora bien, ahí dice que para tests, demostraciones y entrenamiento se puede utilizar otro servidor paralelo en http://ddsstest.cia.gov. ¿Nos dejarán un server para jugar? Ya me veo yo haciendo las demos y diciendo: "Con este servidor que nos dejan para hacer demostraciones vamos a ver como es posible..." sería guay, ¿Verdad?

No, lástima. Cuando visitas ese sitio de pruebas vuelve a tener el mismo mensaje de advertencia. Jugando con la FOCA es fácil descubrir que hay un par de servidores llamados ddssdata.cia.gov y otro llamado ddsstestdata.cia.gov donde sosprechosamente parece que están los datos de esas webs, pero... ¿alquien tiene cojones a hacer algo tras los mensajitos de advertencia? A mí ni se me pasa por la mente.


Lista de servers, todos aparecen buscando en Google con cariño

Sin embargo, no deja de sorprenderme que una aplicación como ésta esté publicada directamente a Internet. ¿Por qué no usar una conexión con una VPN autenticada correctamente? Un Forefront UAG que autentique correctamente quién se conecta a esta aplicación va que ni para el pelo en este entorno.

Saludos Malignos!

15 comentarios:

  1. Cuando llegues al aeropuerto, definitivamente te estarán esperando dos hombres de negro, con su pinganillo y tal, vas a necesitar meter algunas comillas por ahí, tu cuerpo te lo pide, hazlo copón! :D

    ResponderEliminar
  2. Al final, alguien se va a meter en un lío...

    ResponderEliminar
  3. Al final te vas a volver a encontrar con ese securata tan amable de Las Vegas...

    ResponderEliminar
  4. Al final, estas echo un juanker sin cojones!!!

    ResponderEliminar
  5. @anónimo, siempre he estado "echo" de una pasta muy blandita porque no le "hecho" cojones. Pero... mejor no meterse en líos, no crees?

    ResponderEliminar
  6. "apellido de auditor de webs" jaja.

    Que peligro tienes...

    ResponderEliminar
  7. Para estos casos lo mejor, meter la comilla desde la biblioteca de tu UNI

    ResponderEliminar
  8. Si fuera un server chino, ya tendrias fecha de caducidad.. Pero ya estoy viendo la imagen:

    Un becario de la CIA, en una larga noche va a descubrir 'elladodelmal' y se va a ganar un ascenso dando el soplo...

    Como si fuera una peli..., yo tampoco pondria la comilla, pero seria un reto hacking cojonudo!

    ResponderEliminar
  9. excelente.. a jugar un raticoooo

    ResponderEliminar
  10. cobardes!!! jeje

    ResponderEliminar
  11. Definitivamente uno de los mejores (relacion resultados/precio) parachoques es el miedo. Menos firewall, menos UAG y más amenazas con fuente 42 y en negrita xDD

    ResponderEliminar
  12. ¿Qué premio hay por intentarlo? xDxD Porque si es un reto de "a ver quién tiene cojones de intentar juankear el server de la CIA"... xDxD Si es que... Mejor ni intentarlo. La pregunta es: ¿para qué ponen un server para esas cosas con el mismo disclaimer de "vas a adelgazar 30 kilos como se te ocurra enchufar la comilla"?

    También el tema está en lo que dices: ¿Cómo se les ocurre dejar eso abierto al público con lo delicado que es?

    ResponderEliminar
  13. La aplicación GDNS que aparece en imágenes es pública ?? salu2

    ResponderEliminar
  14. ddsstest.cia.gov/ -> "WARNING: This system is for TESTING, TRAINING OR DEMONSTRATIONS use only!!!"
    ¡Ojo! Única y exclusivamente, lo pone bien puesto :P Y yo diría que no significa lo mismo que el que muestras en imagen...

    ResponderEliminar
  15. @anónimo, GDNS es como se llama la app donde se está trabajando el nuevo módulo la FOCA 2. Estará integrado y saldrá en Marzo.

    Saludos!

    ResponderEliminar