No es ninguna novedad que el sistema de registro, delegación, transferencias y renovación de dominios en Nic.ar via e-mail ya está obsoleto, caduco y es fuente de múltiples inconvenientes.
Lo que llamó mi atención en estos últimos días es una circunstancia que no pude ubicar en ninguna parte del sitio de Nic.ar: los mails inválidos.
Antes de escribir esto, consulté a un viejo conocedor de las tramas internas de Nic.ar experto, Don Carlos Tori, quien no supo informarme nada al respecto.
La cuestión es así:
Pareciera que cuando una cuenta de e-mail rechaza mensajes, el sistema de Nic.ar pone dicho mail en una especie de lista de mails inválidos.
Repito: no pude encontrar, ni en las reglamentaciones ni en las preguntas frecuentes absolutamente nada sobre esta circunstancia. Lo que si pude constatar es que hay ocasiones en que un e-mail es considerado inválido y esta es la prueba:
Cuando se presenta esta circunstancia, entonces, la única alternativa es la que figura ahi, realizar el trámite de cambio de e-mail via fax.
Se presenta entonces una circunstancia digna de ser tenida en cuenta.
AVISO IMPORTANTE: Debido a que la última vulnerabilidad descubierta, la que permite averiguar el e-mail de una entidad registrante, fue informada en la Unidad de Auditoría Interna de la Cancillería el 12 de setiembre de 2006, tramitada por expediente 46744/2006 y aun no solucionada, ahora decidí publicar esto directamente.
Supongamos el dominio X.com.ar. Averiguamos el e-mail de la persona responsable. Con un poco de suerte, dicha cuenta de e-mail puede tener una capacidad limitada, de algunos megas.
En el peor de los casos, si fuera una cuenta de gmail, yahoo o hotmail, tendría entre 1 y 3 gigas de capacidad, pero aun asi, está limitada.
En mayor o menor medida, se podrían enviar e-mails hasta completar dicha capacidad, generando que los e-mails enviados con posterioridad sean rebotados.
Ingresando con dicha cuenta de e-mail en Nic.ar, se procede a generar mails salientes, por medio del formulario de cambio de datos de la entidad hasta que el sistema interpreta que el mail es inválido.
Con una simple fotocopia de un documento modificado digitalmente, se procede a realizar por fax el trámite de cambio de e-mail y, una vez completado el trámite, transferirlo a la entidad que querramos.
Por supuesto que el quilombo que se puede armar sería mayúsculo, y lo peor de todo es que Nic.ar (o sea, todos nosotros) va a terminar siendo el único perjudicado.
Porque ante el caso de un juicio, tanto el registrante original como el final pueden achacar al sistema de Nic.ar deficiencias en el tratamiento de la información de los dominios registrados.
El registrante original podría recuperar su dominio, pero el otro podría accionar contra Nic.ar por los daños y perjuicios que su vetusto sistema le ocasionó al comprar “de buena fe” un dominio a un tercero.
No sería extraño que este procedimiento se esté implementando para tratar de capturar dominios en fechas cercanas a su vencimiento.
Recordemos que los avisos de vencimiento y baja son enviados a la dirección de e-mail del registrante y responsable, muy comunmente la misma persona y casi con seguridad, el mismo mail.
Si dicha persona no tiene un control efectivo sobre sus dominios, el mismo entra en proceso de baja y es re-registrado por alguno de estos que han “encontrado” la forma de pasar rápidamente el captcha.
Respecto a las modificaciones anunciadas en Nic.ar, hasta el día de hoy solo pueden encontrarse “gurues” que dicen cosas como “yo tengo la posta, se empiezan a cobrar los dominios”.
¿Alguno tiene alguna noticia sobre el resto de las cosas, como por ejemplo, esta que detallo arriba?
7 comentarios
Saltar al formulario de comentarios
La misma vulnerabilidad que yo en su momento apodé ‘boludez humana’ es la que tiene nic.ar y hace unos cuantos años (ya 5 o 6…buff,, estoy viejo) tenia freeservers (alguien los recuerda? hackeado por argentinos de la patagonia :D).
Con dicha vulnerabilidad uno procedía a tomar cuentas de quien quisiera… de un modo fácil… y con un envio de un correo ‘imitado’ (usar la direccion de otro por aprovechamiento de un error de sendmail, montado en un server propio).
De este modo, por x o y motivo el servidor te podía llegar a conceder una de las cuentas base… si… admin@… 🙂 un poco de imaginacion y pueden saber lo que podría suceder (y sucedió…).
Las cosas de la vida….ahora nic.ar con una vulnerabilidad “boludez humana”… y es un sitio argentino! jejeje
Autor
Fede:
Creo que Nic.ar puede considerarse como algo mas que “un sitio argentino”. Es el fucking sitio donde se gestiona todo el ccTLD .ar!!!!!
Están a cargo de los dns raiz de todos los dominios argentinos!!!!
Yo lo pondría en una categoría mas alta que la de “boludez humana”.
Aunque hay una vieja frase de Einstein, donde dice que “hay dos cosas infinitas, el universo y la estupidez humana, y de la primera no estoy tan seguro”, yo prefiero la frase de Antonio Salinas que decía “cuando no entendés lo que te están diciendo, es porque te están cagando”.
No se porqué algo me dice que la segunda aplica mejor para este caso 😡
“viejo conocedor de las tramas internas de Nic.ar”
Hacia falta dejarme como el Jorge Rial de los sistemas ? no conozco ninguna trama interna para tu informacion, ni siquiera personalmente a ninguno de sus empleados.
Trata de tener mas tacto al postear mi nombre la proxima Javier. Gracias desde ya.
Alguien me puede comentar con mas profundidad el fallo comentado con Fede… Hace rato estoy tratando de conseguir un mail de una persona que tiene registrado un dominio que me interesa y no contesta ni al telefono ni la direccion es real… Solo me queda contactarme con el a travez del mail o esperar hasta que caiga la registracion..
Muchas Gracias
Autor
Mauro:
Existe una regla no escrita que obliga éticamente a una persona a no dar a conocer una vulnerabilidad hasta que no ha sido corregida por el directo interesado. En este caso, Nic.ar, que dicho sea de paso, no ha tomado cartas en el asunto, al menos, hasta hace un par de días.
Sin embargo, para tu caso, tenés la posibilidad de presentar una nota basandote en el art. 14 de las reglas, que dice:
“# Cuando cualquier persona notifique que existe una inexactitud en la información proporcionada en la solicitud de registro de nombre de dominio, NIC Argentina tomará las medidas razonables para investigar esa supuesta inexactitud. En caso que se determine que se ha proporcionado información inexacta, NIC Argentina tomará las medidas razonables para corregir cualquier inexactitud, siempre que la misma no haya violado alguna de las reglas en cuyo caso denegará la solicitud o revocará el nombre de dominio.”
Tené en cuenta que, según las últimas normativas de Nic.ar, “No se aceptarán presentaciones de revocación por datos falsos o desactualizados … de dominios que a la fecha de la presentación se encuentren en período de renovación o de baja por falta de renovación.”
Gracias Javier… entiendo lo que vos decis sobre las normas eticas con respecto a la seguridad informatica y lo respeto (tendre que investigar por mi cuenta).
Con respecto a la opcion 2, ya la intente, al menos en parte… mande una carta documento como solicita nic.ar y estoy en espera del correo, despues tendre que mandarcelas a ellos… en fin, una burocracia que se hara larga.
Otra vez te agradesco Javier por tu pronta respuesta… y parece que por fuerza mayor y confiezo un poco de curiosidad personal; me voy a poner a experimentar como ya hace años no hacia. Un abz
Realmente son enfermantes los de nic.ar, me llevaron al borde del vómito con cristina.gov.ar. Sabemos que tienen la actitud típica del piojo resucitado, negro de mierda al que le dan un cargo público y se cree que es un título nobiliario del tercermundo. ¿Qué contras tendría si consigo que privaticen esa cueva de idiotas? (NO SIGNIFICA QUE YO PUEDA)¿Sería peor el remedio que la enfermedad? Los estúpidos me producen tanto asco…
—————-
Les dejo una sorpresita:
Vean con el netstat a dónde se conectan cuando navegan nic.ar (la gente del interior lo podrá observar con más claridad) No es que yo sea paranóico sino que los estúpidos están más concentrados en espiar (no sé para quién) que en hacer que las cosas funcionen como es debido.
Y ya que por acá anda el jorge rial de los sistemas, también lo he visto al guido suller de ICIA (sorry man) y me contó que el poder de fuego de nustras fuerzas armadas es de 2 horas 45 minutos.
NIC.AR “Ayudando a destruir Argentina”
“Argentina un país en serio…” ¿peligro de extinción?