¿Es posible que hackeen al renaut? ¿Es posible despertar una mañana y leer en los diarios «piratas informáticos hackearon el renaut»?
Podría sonar un poco alarmista, pero la realidad es otra, al gobierno mexicano no se le conoce por ser de los más seguros en informática, hace algún tiempo un hacker de 14 años, modificó la página principal del senado, salio en la tv y medios locales.
¿Pero quienes son esta clase de administradores de sistemas al cual pagamos con nuestros impuestos? ¿A ninguno de ellos se le ocurrio que sería divertido buscar vulnerabilidades en sus sistemas?
La verdad no es mi intención dañar a ninguna institución o persona física. Y los contenidos que exponga solo reflejan un punto de vista personal.
Ahora ¿qué tan seguro es el Renaut (Registro Nacional de Usuarios de Telefonía Móvil)?
RENAUT es un sistema que supuestamente nos va a ayudar mitigar y evitar así las ya famosas «llamadas de extorsión» que frecuentemente hay en México. ¿Qué estupidez es esa? sinceramente la idea del RENAUT no es mala, pero no esta nada bien implementada. Es evidente que los políticos siguen pensando que la mayoría de la población es tonta e inepta, y cualquier «solución» es buena para el país por mas tonta que esta parezca. Esto lo digo porque estoy casi seguro que implementarone esto del RENAUT porque piensan que la población se va a detener al pensar de que «uff, mejor ya no hago llamadas de extorsión porque tienen mis datos»
Pero la verdad es que si a uno le roban el celular, pues evidentemente el ladrón tendrá unos momentos para hacer llamadas de extorsión. Se supone que el usuario del celular robado debe de avisar de que se lo robaron, pero mi pregunta es… ¿qué tan rápido llegan a avisar de que nos han robado el celular? y además ¿qué si yo registro un celular con una CURP de otra persona?
En fin, ahora si todos los celulares de México están almacenados en un solo lugar, se dan cuenta del poder que tendría un hacker si obtuviera esa base de datos, cabe mencionar que no solo obtendría los números de celular, si no también la CURP de los ciudadanos mexicanos y por obvias razones fecha de nacimiento nombre etc..
Yo la verdad dudo que esos sistemas estén protegidos, ¿porqué? ya que el día de hoy pude ver cosas curiosas en el RENAUT que me hicieron pensarlo cosas como:
Historial Bash:
Estas cosas insignificantes ayudan a los Hackers a conseguir información privada y son cosas tan simples de corregir, que regreso a lo mismo ¿Pero quienes son esta clase de administradores de sistemas al cual pagamos con nuestros impuestos? ¿Y que sabemos hasta este punto?
1.- Utilizan Linux
2.- Utilizan Mysql
3.- Existe una carpeta llamada «Include» que contiene datos sensibles
http://www.renaut.gob.mx/.bash_history
Contenido:
/usr/local/mysql/bin/mysql -u root -p
pwd
ls
cd RENAUT
ls
ls -l
vi index.php
exit
cd RENAUT/include/
cd ..
vi index.php
cd include/
ls -l
vi index.html
vi index.html
vi index.html
vi index.html
vi index.html
<li><a href=»http://201.159.133.87/consultapublicarenaut» target=»_blank»>VERIFICA QUE TELÉFONOS ESTÁN DADOS DE ALTA CON TU CU
ls -l
vi alta_curp.html
vi alta_curp.html
vi alta_curp.html
vi alta_curpNip.html
vi baja.html
vi preguntas.html
vi servicios.html
vi fundamento.html
ls -l
vi buscador.php
exit
cd RENAUT/include/
vi verifica.html
vi verifica.html
vi verifica.html
exit
Servidor Tomcat desprotegido (Allow from all)
http://201.159.133.87/consultapublicarenaut/busquedaCURP.do
Si bien en esta dirección verificas si tu número está dado de alta, también puedes ver que el servidor que se utiliza es Tomcat y obvio tecnología JAVA:
Apache Tomcat/5.0.28
http://201.159.133.87/admin/
http://201.159.133.87
¿En qué situación nos deja? Total indefensión jurídica y tecnológica.
Los datos personales de los ciudadanos en el gobierno están tutelados por los Lineamientos de Protección de Datos Personales emitidos a fines de septiembre de 2005 por el Instituto Federal de Acceso a la Información Pública.
Estos Lineamientos, prevén las medidas aplicables a la administración, conservación, transmisión, etc, … aplicables a los Sistemas de Datos Personales.
El RENAUT, por naturaleza, termina siendo un repositorio reconocido como un Sistema de Datos Personales, mismo que cuando éste se encuentre bajo la tutela de Secretaria de Gobernación (no sé en que parte de la reforma le dieron esa competencia, pero… nada...) o en su momento de la Comisión Federal de Telecomunicaciones, recibirá la aplicación de lo dispuesto por los Lineamientos de Protección de Datos Personales comentados en el párrafo anterior.
El problema real es el medio de recolección de los datos personales, ya que es tecnológica y humanamente insegura la forma actual que se ha previsto para obtener los datos, ahí es donde se gesta el riesgo de una incorrecta manipulación de la información que como ciudadanos proporcionaremos. La solución (con bola de cristal): una futura expropiación del servicio de telefonía móvil para asegurar que los datos personales, sólo los vea el gobierno y no un prestador del servicio. La pregunta es: ¿queremos eso?
eso se ve genial aunque se poco de asp inlcuso di de alta mi telefono con la curp del peje XD