Graves fallos de programación en la web de La Moncloa (otra vez)
Si es que no aprendemos. Ni aprenderemos. Leía hoy por la manaña en IBLNEWS que «El Gobierno moderniza la página web de la Moncloa», pero más que modernizar parece que lo que pretenden es que se la modernicen.
Nadie se puede olvidar de lo que ocurrió hace unos dos años cuando un grupo de crackers se colaron en el servidor que hospedaba la página web de La Moncloa, y cambiaron la página principal por la imagen de José María Aznar babeando sangre y con unos cuernos rojos. Parece que no han aprendido de aquello y siguen cometiendo los mismos errores (o parecidos).
En aquella ocasión, los problemas se debían a no haber aplicado los parches de seguridad oportunos y, ahora, a pesar de habar pagado mas de siete millones de pesetas por el desarrollo de la nueva web, han cometido otros errores, en este caso, de programación.
Como no quiero recibir una visita de la Guardia Civil durante los próximos díás, no voy a modificar la web de La Moncloa ni a facilitar demasiados detalles de como hacerlo. Esto posiblemente haga pensar a muchos que me estoy inventando toda esta historia para que todo el mundo crea que soy un gran «hacker». Nada más lejos de la realidad.
Los problemas existentes se podrían haber evitado si los programadores hubieran leído mi artículo «Verificando lo que introduce el usuario». Como parece que no lo han leído, o si lo han hecho no han prestado demasiada atención, podemos aprovecharnos de esta situación para conseguir el nombre de usuario y el password que nos da acceso a la base de datos.
La base de datos se llama «WebMoncloa» y se aloja en un servidor SQL 7.0 (aunque en principio hicieron las pruebas con una base de datos en formato Access llamada «LaMoncloa.mdb»), el nombre de usuario es «usrWebMoncloa», y el password es… Bueno, casi mejor que no lo diga. Solo diré que empieza por «mx» y termina por «sa». Por lo menos no han sido tan lelos como para escoger un password sumamente sencillo como podria haber sido «presidente». Espero que esta información les sea sufuciente a los señores programadores para comprobar que es cierto lo que estoy diciendo (aunque después lo nieguen en público).
Por cierto señores administradores (aquí no se libra nadie), han dejado casi todo el código escrito en VBScript al descubierto. ¿No saben que hay ciertos tipos de archivos que hay que marcarlos solo para ejecución y no permitir su lectura? Si no saben como hacer esto último, no se preocupen, ya estaba dándole vueltas a la posibilidad de escribir un artículo sobre el tema. Vuelvan a este mi sitio web con frecuencia.
Por otro lado, no he notificado a los que mantienen el sitio web de La Moncloa como es mi costumbre, porque después de 5 minutos buscando no he encontrado una dirección de correo electrónico de contacto, y me niego a probar direcciones típicas como webmaster@la-moncloa.es (Por cierto, la no inclusión de direcciones y teléfonos de contacto ¿no va en contra de la LSSI?).