Antiguo y abandonado blog de Ricardo Galli :-(

Saturday 9/6/2007

nic.es/red.es nos enseña como hacer el “captcha” más inútil

Filed under: cabreado, chapucillas, Seguridad, Administración — gallir @ 15:09

A todos los que estamos en Internet nos molesta que el whois no funcione con los dominios .es. Hay que ir a la página del ESNIC (de Red.es) y hacer la consulta allí, donde antes de darnos los datos nos presenta un captcha.

captcha esnic

En teoría eso serviría para evitar abusos de robots, y una de las condiciones es que el texto no pueda ser predecido por los robots, ni siquiera con OCR, por eso se ponen texto “deformados”. En este caso el captcha no está muy logrado porque el contraste entre los caracteres y el fondo –de color muy uniforme– es bastante claro. Pero eso no es nada, voy a mirar el formulario y encuentro lo siguiente:

captcha 2 esnic

Es sencillamente alucinante, han puesto el texto del captcha como campo del formulario. Con eso es muy sencillo hacer un pequeño programa que lo coja y haga la consulta automáticamente.

Hice un programa en Perl muy sencillo que sólo envíe el formulario, sin ninguna “consulta” previa. Y funciona perfectamente. Pero no sólo eso, pensaba que la clave adiciona (el randomStr) serviría para algún control adicional, pero no, no sirve para nada.

Así es que una vez obtenido el texto del captcha y esa clave, se pueden hacer las consultas que se deseen, con cualquier dominio:

captcha perl

$ ./esnic.pl uib.es
Titular: Universidad de las Islas Baleares
Domicilio: Ctra. Valldemossa, Km. 7,5
Población: Palma de Mallorca
Fecha de Alta: 30/06/1992
Fecha Caducidad: 30/06/2007

$ ./esnic.pl upc.es
Titular: Universidad Politecnica de Catalun~a
Domicilio: Jordi Girona Salgado, 31
Población: Barcelona
Fecha de Alta: 17/07/1992
Fecha Caducidad: 17/07/2007

Además del fallo enorme de todo el sistema, seguía sin entender el objetivo de randomStr, lo probé desde otros ordenadores con diferentes IP y funciona perfectamente. Así que en realidad no sirve para nada.

Durante las pruebas he visto además que el HTML que generan es completamente erróneo –por ejemplo etiquetas del “head”, link, insertadas antes del “html”–, lo que hace que en realidad funcione de pura casualidad porque los navegadores ignoran el error. También siguen con el iso-8859-1, que no sólo no es el estándar europeo, sino que ya deberían estar usando UTF-8.

Aunque no me hubiese sorprendido ver este monumental en una pequeña empresa o desarrollo “casero”, es aberrante que esto suceda en una organización como ESNIC. ¿No tienen un mínimo de control calidad sobre lo que hacen? ¿no deberían ser aún más cuidadosos que el resto de los mortales? ¿por qué meten este tipo de controles placebos que no sirven para casi nada? ¿pretenden hacer creer que cuidan la privacidad de los datos?

En fin, ¿molestar al usuario sin saber muy bien el objetivo? ¿desconocimiento profundo de para qué son los captchas? ¿medidas placebo –como lo de usar https para todas las consultas– para parecer más “serio”? Red.es sigue luciéndose.

44 Comments

  1. nic.es/red.es nos enseña como hacer el "captcha" más inútil…

    [C&P]A todos los que estamos en Internet nos molesta eso que el whois no funcione con los dominios .es. Hay que ir a la página del ESNIC (de Red.es) y hacer la consulta allí, donde antes de darnos los datos nos presenta un captcha…….

    Trackback by meneame.net — Saturday 9/6/2007 @ 16:25

  2. “Nos molesta eso DE que el whois”

    Comment by hommer — Saturday 9/6/2007 @ 17:29

  3. Casi lo mejor habría sido no decir nada y poder hacer whois sin el captcha, total, el fallo no es tan grave ;)

    Comment by Ferran — Saturday 9/6/2007 @ 17:48

  4. […] Ricardo GalliTags captcha, bots, […]

    Pingback by La accesibilidad de red.es / Cosas Poposas — Saturday 9/6/2007 @ 18:10

  5. Para captchas chorras y facilmente saltables también está el captcha matemático de idealista.com

    Id a la página de comentarios del foro y para introducir un comentario te pide que resuelvas una formula matemática sencilla (sumas y restas), qué facil es hacer un parser que lea estas operaciones!!!

    http://www.idealista.com/pagina/boletin.comentarios?id_noticia=20072201

    Comment by Bosco — Saturday 9/6/2007 @ 19:54

  6. JAR! jejeje es co-jo-nu-do.
    Estas cosas las suelo llamar seguridadPorIgnorancia, esconder las cervezas detras de los yogures y las verduras para que no se las ventilen los colegas…

    Comment by Diek — Saturday 9/6/2007 @ 20:04

  7. Jajjaja que asco (formerly saco) de captcha xD, por cierto, serías el amo si consigues sacarle las NAMESERVER ;)

    Comment by Xeon — Saturday 9/6/2007 @ 20:16

  8. Jua, jua, ¡qué inútiles!

    Comment by Juanito — Saturday 9/6/2007 @ 22:12

  9. Vaya, ya empezamos a destapar secretos xD

    Comment by JarFil — Saturday 9/6/2007 @ 22:34

  10. Que se puede esperar de una web desarrollada por funcionarios…

    Comment by -_- — Saturday 9/6/2007 @ 23:12

  11. #10, no creo que sean funcionarios, seguramente es subcontrata.

    Comment by gallir — Saturday 9/6/2007 @ 23:17

  12. […] fin si pasaos por el blog de Ricardo Galli y veréis más […]

    Pingback by Diario Hacker » Nic.es y su Captcha — Sunday 10/6/2007 @ 0:39

  13. Viva la programación Made in Spain

    Comment by Spain is different — Sunday 10/6/2007 @ 0:45

  14. Hace unos años hice un programilla (en MICROSOFT qbasic 4.5) que escaneaba rangos de ips y devolvia todos los datos del whois.Encontre muchos servidores de empresas interesantes con el.
    Funcionaba conectandose al servidor telnet,despues creo que prohibieron el acceso.

    Comment by _Pabl — Sunday 10/6/2007 @ 0:53

  15. Un poco de historia…

    Este captcha se “improviso” el mismo dia que se liberaron los dominios .es despues de que el whois estuviera saturado durante varias horas. Supongo que en aquel momento esta chapuza sirvio para evitar la saturación y así se quedo!

    Comment by koala — Sunday 10/6/2007 @ 8:08

  16. tiene pinta de ser lo que comenta koala, como pasa (casi)siempre, trabajando a ñph (ñapa por hora)

    Comment by Diek — Sunday 10/6/2007 @ 13:33

  17. Hommer, no se que pretendes mostrando el DE en mayúsculas, pero la frase “Nos molesta eso DE que el whois no funcione”, es correcta.

    No siempre que aparece la preposición “de” con la conjunción “que”, la frase es incorrecta.

    Sería incorrecta si hubiera dicho:
    “Nos molesta de que el whois no funcione”

    Pero al poner “eso”, si le quitas la preposición, entonces también queda incorrecto:
    “nos molesta eso que el whois no funcione”

    Pero tal y como lo ha dejado ahora también es correcto:
    “nos molesta que el whois no funcione”

    Estos son algunos ejemplos de uso correcto del “de que” publicados el el museo de los horrores del Instituto Cervantes”:

    *Me alegro que hayas podido llegar a tiempo.
    (Debe decirse: Me alegro de que hayas podido llegar a tiempo).

    *Me acuerdo que siempre jugábamos con otros niños.
    (Debe decirse: Me acuerdo de que siempre jugábamos con otros niños).

    Lo que NO es correcto es que hayan quitado la preposición DE cuando es correcto, hasta en los telediarios, porque ni los licenciados en peridismo son capaces de saber como aplicarlo.

    La eliminación del “de que” cuando es correcto es un hipercultismo para evitar el dequeísmo, pero es tan patético o más que el propio dequeismo.

    Otro que no usa nunca “de que” ni aun cuando es evidente su uso, es el presidente Zapatero. Sin entrar en connotaciones políticas, alguien de la RAE debería darle un cursillo sobre el uso de la preposición “DE”. Cada vez que oigo uno de sus discursos me rechinan los oídos.

    Comment by Bart — Sunday 10/6/2007 @ 13:52

  18. Está muy bien este artículo, el CAPTCHA del ESNIC es lamentable y alguien tenía que decirlo. Además hay otros problemas que no has mencionado.

    Con algunos navegadores, como Opera, cuando buscas un dominio se queda gusrdado el CAPTCHA y al buscar el siguiente, si no recargas la página te muestra el de la anterior consulta y da error aunque lo introduzcas bien.

    Comment by Bart — Sunday 10/6/2007 @ 14:01

  19. El otro dia por telefono, les comente la imposibilidad de realizar registros de varios dominios de una sola vez (para un cliente que queria registrar varios en una cuenta propia) y aprovechando los datos que ya habia incorporado al formulario inicial, sin tener que repetirlos para cada dominio (hay que rellenarlos TODOS para cada dominio) y me dijo el operador que estaba hecho asi adrede; que el sistema estaba asi para desincentivar el uso de su sistema y que la gente lo contratase usando los registradores autorizados, y que asi no se producian registros masivos, de verdad que me quede alucinando.

    Evidentemente es lo que contestan cuando no pueden decir que su sistema esta mal realizado tecnicamente y que no tienen “capacidad” o “motivos” para arreglarlo, sinceramente perdi cerca de una hora de trabajo realizando a mano estos registros. Muy lamentable.

    Comment by Luis — Sunday 10/6/2007 @ 17:11

  20. La pagina se genera correctamente (con respecto a eso de las etiquetas por encima del gracias a que las mismas etiquetas están en su sitio correcto (copia y pega, supongo).

    ¡Viva la programacion made in spain! Si no nos juankean es por pena.

    Comment by Manu — Sunday 10/6/2007 @ 18:24

  21. Los chistes de gallegos no tienen fin ! LOL :-)

    Muy buena nota.

    Comment by Juan Carlos — Sunday 10/6/2007 @ 21:32

  22. me parecio muy importante tu odservasion quisiera saber mas comentarios de algo en especial

    Comment by nelson — Monday 11/6/2007 @ 3:44

  23. La explicación es muy sencilla: El estado se gasta millones para preparar una página web y ésta resulta ser una mierdecilla. Es natural que alguien se forre y ese alguien suele ser un político o uno de sus familiares. Y ya se sabe que los políticos no tienen ni puta idea de nada salvo de cómo robar.

    Comment by Santa Klaus — Monday 11/6/2007 @ 8:32

  24. La pasta destinada a programar eso se la gastaron en comilonas. Y claro, cuando tocó hacerla quedaba poco dinero… ;)
    No me extrañaría también que el formulario de contacto [https://www.nic.es/consultas/consultas.html] fallase. xD

    Al menos de lo último, puestos a buscar al culpable, apostaría por esta empresa. ;)

    Comment by corsaria — Monday 11/6/2007 @ 9:44

  25. Logeándote en nic.es con usuario y contraseña puedes hacer todos los whois que quieras y sin captcha. Nada nuevo aporta este post.
    Es más, nic.es lo sabe desde hace tiempo y no será hasta la versión 4.0 del Sistema General de Nombres de Dominio previsible para las próximas semanas que se corrija ese fallo irrelevante (dado que el servicio whois está en realidad abierto sin captcha una vez logeao)

    Comment by Javi — Monday 11/6/2007 @ 15:47

  26. > Logeándote en nic.es con usuario y contraseña puedes hacer todos los whois que quieras y sin captcha. Nada nuevo aporta este post.

    ¿Eins? ¿Cómo que nada nuevo? El sistema de whois es público para los .net/.com etc., y es ridículo decir que puedes hacer con usuario y contraseña, ¿o hay qyue abrirse una cuenta para poder consultar los datos de un .es? Absurda justificación.

    Lo “nuevo” que aporta es el ridículo que hacen con su captcha, que sirve sólo para molestar a los usuarios “normales” pero no pone ningún impedimento para los spammers o bots.

    >que se corrija ese fallo irrelevante

    ¿Un captcha que pone el texto en el html es un “fallo irrelevante”? Si parece que lo hayas programador tú y estés justificando tu ignorancia de para qué se usan (o deberían usar) los captchas.

    > Es más, nic.es lo sabe desde hace tiempo

    Que lo quiten.

    > (dado que el servicio whois está en realidad abierto sin captcha una vez logeao)

    Más tonterías.

    Comment by gallir — Monday 11/6/2007 @ 16:22

  27. #25 javi debe ser de nic.es

    algunos cobrando pueden defender cualquier chapuza

    si además son españoles, lo hacen con la chuleria de javi y así le va al país

    por eso me quedo en roma

    javi, si quieres ver leones te ofrezco visita guiada, por dentro y por fuera del leon ¡¡y gratis!! que se te ve pesetero vendio y con esto fijo que te convenzo

    Comment by neron — Monday 11/6/2007 @ 16:32

  28. […] me envía este artículo de Ricardo Galli que pone contra las cuerdas de la profesionalidad a los responsables ( o […]

    Pingback by Red.es, o el pais de la pandereta en Internet. en 1618.es — Monday 11/6/2007 @ 16:42

  29. Te abres una cuenta y haces los whois que te de la gana. Esa es la realidad.
    Ese captcha sobra sin más, no vale para nada. Es una pérdida de tiempo, sin más, nada grave, nada crítico, no es ningún descubrimiento nuevo. ¿O de dónde se creen ustedes que salen los datos de whs.es?. Para cuando unos vais, otros han ido, ha vuelto y os han comido la tostada…jajaja

    Por cierto nerón, si yo igual soy de nic, ¿tú no serás por casualidad el de “las putas de Nerón”?. Y es que los hay que cobrando, se tienen que ir de putas de lo feos que son…

    Comment by Javi — Monday 11/6/2007 @ 16:44

  30. Hay va una pequeña mejora del script para quien lo quiera usar:

    #! /usr/bin/perl

    use HTML::Entities;
    use LWP::UserAgent;
    my $ua = new LWP::UserAgent;

    my $domain = shift;

    if (!$domain) {
    print “Debe pasar un dominio por parametro.\n”;
    exit 1;
    }

    my $res = $ua->post(’https://www.nic.es/esnic/esn/verificarValidacionWhoisAction’,
    [’nombreImagen’ => “mv2xht”,
    ‘insertadoStr’ => “mv2xht”,
    ‘randomStr’ => “qsf/8iK+Obb1zUGYhEPJ8PYJv9Q=”,
    ‘dominio’ => $domain ],);

    if ($res->is_success) {
    print filter($res->content);
    } else {
    print “Error\n”;
    }

    sub filter() {
    my $content = shift;
    my $answer;

    @content_by_line = split (/\n/, $content);
    foreach $_ (@content_by_line) {
    my $value;

    # Titulos de seccions
    if ((($value) = $_ =~ m{]+>\s*([^} )) {
    $answer .= “$1\n”;
    }

    # Valores de seccions
    if ((($value) = $_ =~ m{([^([^>]+)})) {
    $answer .= “\t$1: $2\n”;
    }

    # NIC_HANDLE
    if ((($value) = $_ =~ m{NIC_HANDLE([^>]+)})) {
    $answer .= “NIC_HANDLE: $1\n”;
    }

    # Dns
    if ((($value) = $_ =~ m{ ([^})) {
    $answer .= “\t$1\n”;
    }

    }

    $answer = decode_entities($answer);
    utf8::encode($answer);

    return $answer;
    }

    Comment by SamuelGaliza — Monday 11/6/2007 @ 17:01

  31. #29 me has pillado, pero tu dislexia (la misma con la que analizas mecanismos web) te confunde: yo cobro porque mi hermosura da escalofrios

    tu madre se dejo un paston el otro dia

    Comment by neron — Monday 11/6/2007 @ 17:28

  32. #29

    Cometer un error, aunque sea tan gilipollas, es de humanos, no pasa nada. Tenerlo durante tanto tiempo, ya es más grave. Cuando sólo molesta al usuario o pone molestias injustificables el acceso a la información todavía es más grave. Si además es de la administración, es casi imperdonable.

    Pero justificar de la forma en que lo estás haciendo es alucinante. El tiempo en que has tardado en justificar podría haberse dedicado a eliminar ese ridículo captcha.

    Comment by gallir — Monday 11/6/2007 @ 17:44

  33. Hola Gallir, yo no justifico nada, solo digo que no me parece un error tan grave. Cierto es que es un coñazo para los usuarios que nos se quieran logear. Sobra ese captcha, no lo discuto, pero son funcionarios y las cosas de palacio… No hay solución

    Lo que me hace gracia es que la gente aproveche cualquier resquicio para meter caña a nic.es cuando hay cosas mucho más graves y que se han hecho mucho peor. Y las que quedan por llegar…

    Pd: nerón estoy seguro de que te equivocas y esa mujer de la que hablas es la madre de tu hermanito pequeño.

    Comment by Javi — Monday 11/6/2007 @ 18:35

  34. #33 imposible, era en nuestra familia nadie es tan feo

    Comment by neron — Monday 11/6/2007 @ 20:14

  35. Javi: no sé de quien puede ser la culpa, pero el hecho es que el error está ahí. No veo porqué picarse de ese modo. Ahmmm joee y es que le entras al trapo a Neron, que sólo piensa en buscar carnaza para sus leones. xD

    Comment by corsaria — Monday 11/6/2007 @ 22:37

  36. #35 corsaria tu si que sabes lo importante que es una buena alimentacion

    Comment by neron — Tuesday 12/6/2007 @ 0:53

  37. Esto me recuerda a las camaras de vigilancia que no estan conectadas a nada, tan solo para aparentar.

    Comment by jackepc — Tuesday 12/6/2007 @ 15:35

  38. Pues ya no funciona el pequeño programa de esnic.pl.
    Siempre da error.

    Comment by Emilio — Wednesday 13/6/2007 @ 14:25

  39. Ya se porque no me funcionaba, necesitaba instalar Crypt-SSLeay.ppd

    Comment by Emilio — Sunday 17/6/2007 @ 23:54

  40. Da la puta risa, no imagino cómo gestionarán otros factores.

    Comment by Sergio Alvaré — Tuesday 19/6/2007 @ 13:35

  41. “cosas de palacio… No hay solución”
    Sí que la hay, hacer que un servidor se ponga a hacer consultas 24/7. No se si es ético, sé que hay quien busca vulnerabilidades como ésa para provocar un ataque a tiempo y librarnos así de otros “usuarios malintencionados”.
    Yo no sabría arreglarlo -porque no es mi trabajo- pero excusarlos sería como hacerlo con un médico que no sabe diagnosticar un catarro por el mero hecho de que yo no conozca el tema. Menos mal que los blogs van a gritarlo bien alto y el mundo se arreglará.

    Comment by Sergio Alvaré — Tuesday 19/6/2007 @ 13:39

  42. gracias, gallir. Después de haber demostrado a todo el mundo lo listo que eres y que haya salido en menéame, lógicamente ha llegado a oidos de alguien y lo han corregido.
    Había ya bastante gente que utilizaba scripts para esto, solo que no eran tan bocazas.

    Comment by Agradecido — Monday 2/7/2007 @ 20:11

  43. #42, ya, ya, típico, festejemos la inoperancia y el trapicheo en vez de pedir que se hagan las cosas bien. La ética [profesional] en el culo. Típico comentario troll-informático-cañí :roll:

    Comment by gallir — Monday 2/7/2007 @ 20:32

  44. En Computer Hoy, en las primeras paginas, sale la noticia. Bueno, según ellos “se ha descubierto”, vamos, que no conocen lo que es el “vía”.

    Comment by Sergio Alvaré — Tuesday 3/7/2007 @ 13:57

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Powered by WordPress