Nic.ar ¿idiotas o complices?

En noviembre del año pasado Pablo Tschopp me confirmaba que las deficiencias del sistema captcha de Nic.ar no se limitaban solo a la posibilidad de ingresar un 1 por una i y yo explicaba que para esto fuera posible se debía haber creado un algoritmo distinto al md5 que “relajara” la exactitud de la información a ingresar.
En dicho post, dejaba flotando la posibilidad de que dicho algoritmo sea de conocimiento de alguna otra persona además del propio staff de Nic.ar.
Pues bien, hoy, y gracias al tiempo y las ganas de que dispone Pablo, puedo confirmar que esto ni siquiera es necesario.
El sistema de Nic.ar vuelve a deslumbrarnos con una nueva vulnerabilidad que permite registraciones automatizadas masivas, aunque limitadas en el tiempo.

¿Como es esta nueva historia?
Al iniciar un trámite de registro por el metodo convencional, o sea, a traves de un navegador, al llegar a la última pantalla se presenta una imágen con letras y números distorsionados visualmente (captcha), y un campo de texto donde se debe ingresar lo que uno cree ver en dicha imágen (8 caracteres/números).
A su vez, en el servidor se genera un archivo de imágen con un nombre que parece ser un md5 con extensión .jpg y este nombre se almacena en una variable oculta.
Dicha imágen se mantiene por un cierto tiempo en el servidor. El suficiente como para que, luego que uno anote los caracteres vistos, uno incluya ese string y el nombre del archivo en un script que registre dominios en forma automática hasta que la imágen se elimina.

De esta manera, cualquier persona puede registrar cientos de dominios en forma automática con solo haber decodificado UN SOLO captcha. Esto también es válido para la registración de los dominios que vencen un determinado día, con lo cual se puede empezar a entender el motivo por el cual cualquier mortal que está a la espera de un vencimiento jamás puede ganarle a los otros registradores.

¿Cuantas de estas van a ser necesarias para que alguien tome las riendas y hagan ALGO, LO QUE SEA, para empezar a eliminar estas chanchadas?

Un video-resumen de las mas graves, mails de registrantes, datos falsos, mails inválidos, registros automatizados (atención a partir de 1:21 minutos) y gente que es mas gente que la gente.

Compartir via ...Share on facebook
Facebook
Share on twitter
Twitter
Share on email
Email

8 comentarios

2 pings

Saltar al formulario de comentarios

  1. los de nic. cualquiera. no solo ue me dieron de baja unos sitiosn SIN haberme enviado el mail que tengo toooodos guarados sno que poseen una pesima atención.

    un sitio que tenia y no estaba dado de baja, apareció publicado a nombre de otra persona. y lo necesita urgente!

    son cualquiera.

    • kifman el 30 de junio de 2007 a las 13:08

    Hola Javier, lo de la imagen la verdad no lo entiendo y lo del script tampoco. he intentado comprobarlo pero si lo hago desde otro servidor que no sea la pagina oficial me sale Internal Server Error.

    • Javier el 30 de junio de 2007 a las 13:49
      Autor

    Seguramente te está faltando pasarle el referer , ya que las páginas de nic.ar rebotan cualquier petición que no contenga ese dato.

    • kifman el 1 de julio de 2007 a las 19:03

    Como referer te referisa al campo oculto que lleva el codigo de la foto??? porque si es eso no me lo he olvidado!!

    • Javier el 2 de julio de 2007 a las 7:04
      Autor

    kifman:
    El referer es un dato que envía el navegador a la página que uno solicita y que refiere a la página en la que uno está.
    En una consulta de dominio en nic.ar desde un navegador, la consulta se ve de esta forma:

    POST /consdom.html HTTP/1.1
    Host: http://www.nic.ar
    User-Agent: Mozilla/5.0 (X11; U; Linux i686; es-AR; rv:1.8.1.3) Gecko/20070310 Iceweasel/2.0.0.3 (Debian-2.0.0.3-1)
    Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
    Accept-Language: es-ar
    Accept-Encoding: gzip,deflate
    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
    Keep-Alive: 300
    Connection: keep-alive
    Referer: http://www.nic.ar/consdom.html
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 30
    nombre=pirulo&dominio=.com.ar

    Cuando uno hace la consulta desde un script, por ej. en PHP, no hay que olvidarse de armar la petición con este dato,ya que el script de consulta de nic.ar devuelve un error si el referer no existe o no apunta a nic.ar.
    Esto es un mecanismo estúpido e inútil para evitar las registraciones automáticas, ya que cualquier tipo con mínimos conocimientos de programación (como yo) instala Curl y la tarea de engañar al servidor es cuestión de una sola linea de código.

    • kifman el 2 de julio de 2007 a las 20:06

    Muy interesante javier, la verdad que tus aportes son enormes, ya que evidentemente nos sos la única persona que sabia esto, pero si la unica que lo denuncia. ojala algun dia las cosas cambien!!! Si podes me gustaria saber un poco mas sobre las presiones que has recibido, como los huevasos. Gracias por todo.

    • Javier el 2 de julio de 2007 a las 20:46
      Autor

    kifman:
    Como en todos lados, siempre hay gente que se arma su propio kioskito en el Estado y cuando aparece algún chiflado como yo, al que le interesa que las cosas funcionen, soy un enemigo que va a cagarle el negocio.
    Esto no pasa solo en el Estado.
    También se ve, y a veces con tal grado de organización que ya parece una mafia, en ciertas grandes empresas que manejan datos sensibles y que debido a su estructura, monopólica y paquidermica, no establecen políticas de control operacional de sus propios empleados (mas costo, menos beneficios, y al final, a quien le importa el cliente).
    La cuestión es que despues de recibir insultos en este mismo blog provenientes de una PC de la red de la Cancillería Argentina, y haberlo denunciado tanto en el blog como ante la Auditoría Interna de Cancillería, una noche , al regresar a casa con mi familia, me encuentro el frente decorado con un par de naranjazos.
    Un par de días después, justo estaba mi vieja saliendo de su casa (vive al fondo de la mía) y vio a un tipo que tiró algo. Me llama inmediatamente, me cuenta, veo el tomatazo y salí, pero el fulano andaba rápido de piernas y se perdió la oportunidad de que le contara las 38 razones que tenía para que entendiera que los negocios se hacen de otra manera.

    De la Cancillería nunca me comentaron absolutamente nada de la investigación, pero por lo visto, lo han detectado y le han dado el raje un ultimatum a que se deje de joder, ya que nunca mas tuve noticias de el.

    • Carlos el 2 de septiembre de 2007 a las 8:25

    estimado Javier

    he leido atentamente tu blog y realmente me parece una valentia de tu parte el hecho de difundir estas estupideces por parte de los tarados del gobierno de turno que creen que nadie se da cuenta de los errores (lease cagadas, pero no quiero ser grosero…!!!), que cometen en nombre de vaya a saber a que lealtad se deben, en vez de ser leales al pueblo, que vota a estos seudo dirigentes (lease delincuentes haciendo de politicos), usando usando mal las propiedades del estado, que no pertenecen a su patrimonio, sino al de los ciudadanos…!!!; no vaciles en continuar denunciando este tipo de actividades; mis felicitaciones…!!!

  1. […] Javier o Pablo descubrieron que el sistema de Nic.ar vuelve a deslumbrarnos con una nueva vulnerabilidad que permite registraciones automatizadas masivas, aunque limitadas en el tiempo. ¿Como es esta nueva historia? Al iniciar un trámite de registro por el metodo convencional, o sea, a traves de un navegador, al llegar a la última pantalla se presenta una imágen con letras y números distorsionados visualmente (captcha), y un campo de texto donde se debe ingresar lo que uno cree ver en dicha imágen (8 caracteres/números). A su vez, en el servidor se genera un archivo de imágen con un nombre que parece ser un md5 con extensión .jpg y este nombre se almacena en una variable oculta. Dicha imágen se mantiene por un cierto tiempo en el servidor. El suficiente como para que, luego que uno anote los caracteres vistos, uno incluya ese string y el nombre del archivo en un script que registre dominios en forma automática hasta que la imágen se elimina. […]

  2. […] que utilizando las letras de uno solo se podían realizar miles de trámites en pocos minutos. Esto lo denuncié publicamente el 14 de Junio de 2007. Digamos que para argumentar idiotez ha pasado demasiado tiempo para ser […]

Deja una respuesta

Tu dirección de correo electrónico no será publicada.