nic.ar y el cuento de nunca acabar

Nic.ar ya es obviamente un tema que me mantiene bastante activo.
Asi como alguna vez se dijo que Yaciretá era el “monumento a la corrupción”, creo que si no cambian un poco las cosas, y rápido, Nic.ar se va a transformar en el “monumento al negocio privado del empleado público”.
Puedo confirmar que aun no ha sido solucionado el problema que permite visualizar el e-mail de la entidad registrante, denunciado el día 12 de setiembre y registrado bajo el expediente 46744/2006 y que publiqué en https://blog.salinas.com.ar/2006/09/21/nicar-no-protege-los-datos-personales/
Pro, antes de eso, la publicación de un detalle minúsculo como que el captcha de Nic.ar mostraba un número muy parecido al 7 pero que era interpretado indistintamente como 1 y como l, confirmado también por Marcoss, generó un cosquilleo en el atrofiado seso de un energúmeno que está denunciado también por sus no tan anónimos insultos bajo expediente 39047/2006 de la Cancillería Argentina.

En principio, no me resultaron llamativas sus respuestas, ya que después de desaparecer foronic.com.ar se había quedado sin su plataforma de anonimato garantizado y supuse que era todo resentimiento.
Pero después de un tiempo me sonó la campanita, cuando Pablo T (no, no es Pablo Tossi, es otro), un buen colaborador con mas tiempo, ganas y conocimientos que yo y que prefiere mantener el anonimato me sopló que no era el único caracter que se podía sobrepasar con múltiples letras y/o números.
Asi como el 1 y la l, se puede hacer lo mismo con el 0 (cero) la o y la O (o mayúscula) y algunos otros datos que el sigue investigando.

Veamos ahora un poco el funcionamiento del captcha en base a esta imágen.
captcha de Nic.ar

Como se ve ahi, la imágen generada se guarda en un directorio temporal y el nombre de la imágen es una cadena de 32 caracteres, muy similar a md5. Y digo similar, ya que cualquier prueba que hagamos generando el md5 de las letras y números mostrados no da el mismo resultado que el nombre de la imágen.
Debemos suponer entonces, que la cadena de letras y números mostrada por la imágen, al ser introducida por el usuario, es pasada por un algoritmo y verificada contra el nombre del archivo de imágen.
Pero claro, me dice Pablo T, si usaran md5 no podrían “relajar” el comportamiento visual que tantos problemas trajo.
Dicho de otra manera, para permitir que sea mas fácil para un humano y que no tenga que probar si es un cero, una o mayúscula o minúscula, un 1 o una l, el algoritmo que genera el nombre de la imágen tuvo que haber sido desarrollado para que cualquiera de esos caracteres dieran finalmente el mismo resultado.
Parece que no les pareció bien usar otra tipografía, ni separar las letras un poco más o darles menos inclinación.
Tampoco eliminar dicha imágen en cuanto se completa el trámite de renovación y desconozco aun el tiempo que permanece almacenada en el directorio temporal.
No, de un cifrado no reversible como el md5, que implicaría poner a un registrante automático a probar por fuerza bruta el texto original, el sistema ha quedado usando un algoritmo que iguala ciertas letras para mejorar la usabilidad, pero que, al ser un algoritmo propio de Nic.ar, ahora nos deja mayores interrogantes.
¿Quien garantiza que ese algoritmo es no reversible?
¿Quien garantiza que ese algoritmo no lo conocen Ki Hoon Kim, Juan Stom y casi medio Santa Fe?
¿Quien da fe de que no existe la “master key” que sobrepasa cualquier captcha?

Lamentablemente, seguimos sumando situaciones irregulares:
No se cumple la regla de que los dominios son para el primero que los solicita.
No hay correlatividad en los números de trámites de registro y baja.
Hay dominios “olvidados” en pendiente al menos desde hace 4 años con una sola solicitud.
Y un captcha que deja lugar a la duda sobre la efectividad de su función y que pone en duda al sistema completo y a la honestidad de los encargados de mantenerlo en funciones.

Hasta la próxima, aunque sigo esperando que no la haya.

Compartir via ...Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Email this to someone
email

1 comentario

    • marcoss en 21 de noviembre de 2006 a las 13:08

    Sinceramente no creo que se hayan puesto en la tarea de desarrollar o modificar un algoritmo para verificar el captcha, mas bien creo que hacen un filtro de las palabras antes de pasarlas por la función que encripta la cadena, una especie de “string replace” y de última pueden usar algún dato extra, como el tiempo, para hacerla mas compleja.

    Igualmente, sabiendo el hash de la “master key”, es indiferente el algoritmo que se use y si es o no reversible.

    Como siempre, una vergüenza lo de NIC.ar.

Deja un comentario

Tu email nunca se publicará.