Ministerul Sănătății

Hai să alternez una rece / una caldă / una rece.
Urmează aia rece. Una atât de rece încât mai că-ți lasă fiori pe șira spinării.

Mai acum câteva zile am aflat de faptul că mysql-ul de pe serverul Ministerului Sănătății n-are parolă la conectarea din exterior. Primul lucru a fost să încerc și să verific. După ce-am aruncat un ochi fugar peste bazele de date de acolo și m-am lămurit că IP-ul este același cu cel pe care rulează site-ul Ministerului Sănătății am pus mâna și-am trimis un mail la adresele de mail de contact existente pe site și la nelipsitele webmaster, admin și postmaster (măcar astea ar trebui să ajungă la cineva care să știe cu ce se mănâncă chestiunea).
În mail le spuneam că-i aștept 12 ore să remedieze situația, în caz contrar voi seta eu o parolă pe mysql ca să nu pățească cine știe ce (atenție, eu nu aveam informația la prima mână) și că-i aștept ulterior să recupereze parola de la mine sau să facă orice comentariu referitor la situație. Asta se întâmpla pe sâmbătă. Am stat până duminică seara. Între timp mi s-au întors și mail-urile cu Undelivered la webmaster/admin/postmaster. Deja speranțele ca cineva întreg la minte să citească mail-ul trimis de mine se apropiau de 0 vertiginos. Am dezbătut cu avionaru dilema morală în care mă aflam. Să fac publică treaba fără să mă ating de serverul lor și să-i las la mâna unuia care nu știe prea multe și dă un drop p’acolo sau să setez înainte o parolă.
Pe la 11 seara am setat o parolă la ei. Nu înainte de-a face o serie de screenshot-uri din care se vede pe unde m-am plimbat. I-am mai lăsat totuși până azi în speranța că vor da un semn de viață. N-am auzit nimic. Poate se aude acum ceva…

Ca să-l citez pe Avionaru, trist, se învârt o grămadă de bani de-ai noștri în treburi făcute în halul ăsta.

MS Ro 1

MS Ro 2

MS Ro 3

MS Ro 4

29 Comments Ministerul Sănătății

  1. Alex

    Acum se pune urmatoarea problema. Daca tu ai aflat chestia asta de la cineva care se presupune ca a mai zis la una doua persoane. Ce siguranta mai au oamenii aia ca informatiile sunt necompromise. Parerea mea este ca absolut 0. (nu zic ca le-ai umblat tu ca din ce-am citit pe aici nu esti genul :D).

    Si cum prostia se plateste eu unul sa fiu in locul patronului de la firma care se ocupa de siteul/serverul astora l-as pune pe desteptul care a configurat mysql-ul ala sa introduca de mana toate datele din nou. Sigur astia din minister au toate balariile alea si pe hartie ca altfel nu se simt bine :p

    Ps: Super tare partea cu setat parola. Pe cate beri facem pariu ca nu ajung sa o ceara pana la sfarsitul luni?

    Reply
  2. Meekuu

    N-au nevoie s-o ceară. Pot s-o schimbe și singuri. Da’ pe câte beri punem pariu că n-o schimbă ? :D

    Reply
  3. XtraVagAnT

    Nu merita astia bagati in seama. Eu am patit-o acum ceva timp cand am descoperit niste gauri intr-un script php al unei publicatii. La fel le-al trimis mail explicandu-le problema si atentionandu-i de riscurile la care se expun.
    Crezi ca mi-a raspuns cineva? Dupa cateva zile au modificat (peticit) scriptul insa nici macar un mail cu un singur cuvant, “Multumesc” nu mi-au scris.
    Bravos!

    Reply
  4. Actzipild

    Aveti mare grija sa nu se oftice careva care se ocupa de serverele alea. Chiar daca ceea ce ati facut voi este o chestie normala si laudabila, in cazul in care cuiva i se scoala parul in cap puteti fi acuzati de hacking. AFAIK chiar daca observi o chestie de genul asta si o repari tot poti fi acuzat. De aia e oarecum mai bine sa le lasi in pace.

    Reply
  5. Meekuu

    “Hacking” presupune că am depus un minim efort pentru a intra acolo. Ceea ce n-a fost cazul. Sau poate meritau să postez treaba asta fără să le pun o parolă înainte ?

    Reply
  6. jollyca

    Lol.
    Am avut un proiect cu Ministeru in cauza acu ceva ani. Lemme tell u that: de partea de IT si networking se ocupa de fapt un organism cumva separat (ceva cu Directia Sanitara nu-stiu-cum). Acest organism e plin pana la refuz de dinozauri care mai au 10 minute pana la pensie si care se plimba cu o discheta de devirusare dupa ei, ca daca are omu o problema cu al lui calc SIGUR e virusat.
    Nu te astepta sa raspunda cineva la adresele alea de mail, cre’ ca nici nu-s configurate.
    Want some juicy details ? Imaginati-va o camera in care stau ceva servere (nu “camera serverelor”, asa ceva nu exista) si in care, intr-un UPS, sunt bagate urmatoarele: un calculator cu un WINNT 4.0, un monitor, inca un monitor, un calculator marca “Digital” (remember ? e ceva pe la nivelul lui 386).
    Asa aratau lucrurile prin 2004. Eu nu cred ca s-a schimbat ceva data fiind incompetenta crasa cu care m-am intalnit pe holurile minunatei institutii.

    Reply
  7. Sabotor

    Hmmmm, eu as fi cu ochii pe TV, la stiri… Sa vezi cat dureaza pana vor apare primele stiri alarmante despre faptul ca serverele Ministerului Sanatatii au fost hackuite iar medicii nu au putut accesa baza de date si n-au lucrat, pacientii au murit ca nu li s-au putu accesa datele si ca s-au produs pagube de stiu eu cat….

    Reply
  8. Alex

    @Meekuu

    Daca n-au fost in stare sa o seteze de la inceput crezi ca sunt in stare sa modifice o parola deja setata? ;)
    Cred ca nici nu o sa se prinda pentru pana cand nu o sa vrea sa mai faca un cont de utilizator normal :P

    Reply
  9. Actzipild

    In definitia lor hacking nu are unitate de masura pentru efort. Poti sa te chinui un an sau poti sa ai direct # la primul telnet. N-are importanta. Ce e important este ca le-ai modificat parola de root pe mysql. Acum intrebarea mea e: daca aveau cine stie ce baza de date cu o aplicatie care tragea date de acolo, aplicatie care folosea contul de root? Evident, e o fabulatie, dar for the fun of it…presupune.

    Datorita modificarii tale a cam luat foc mamaliga, ca nu le mai merge acum aplicatia. De ce? “Cineva a schimbat parola de root!!111oneoneeleven. We’ve been hacked.” Cred ca poti vedea unde merge mai departe scenariul. “Aaaa, am primit eu un mail de la unu care ne zicea ceva de parola aia!” “Ala e! Sho pe el!”

    Reply
  10. Meekuu

    Mă îndoiesc că există cineva atât de tâmpit încât să mai și creeze o aplicație cu care să se conecteze din extern la o bază de date FÄ‚RÄ‚ parolă.
    Merg pe ideea c-au pierdut din vedere contul de root@%.

    Reply
  11. Mihai

    E amuzant ca au un singur furnizor :).
    Sa fie oare dovada de licitatie trucata ? :D

    … in rest e trist

    Reply
  12. Tinu Coman

    Nu imi vine sa cred! Postul acesta ar trebui preluat de ceva ziar de scandal. Sa vezi atunci cum s-ar agita ca furnicile inainte de ploaie.

    Reply
  13. TheBride

    Acum multi ani, inainte de 2004, un consortiu de firme printre care Siveco si HP din cate tin eu minte au castigat o licitatie pentru informatizarea Ministerului Sanatatii. Licitatie care evident s-a lasat cu scandal. Nu stiu cum s-a mai terminat povestea. Probabil ca la un search pe Google pot fi gasite diverse picanterii despre subiect:) Rezultatul este cel care se vede si din exterior.

    Reply
  14. sara

    amice, parerea mea este ca ai fost TAMPIT (no pun, esti sysadmin ce dracu)
    .
    am intampinat dilema ta morala de mai multe ori in situatii similare si de fiecare data cand AM SPUS ca m-am atins de sistem RAU am facut.

    Situatiile de genul asta tind sa se intoara sa te muste de cur, pentru ca esti ultima persoana care a accesat sistemul si deci tap ispasitor si ai mai schimbat si parola la sql (probabil ei au acum servicii care nu mai pot sa se conecteze la baze) si probabil o sa ti-o dea ca ai cauzat damage.

    NU MAI PUNE MANA PE SISTEMELE LOR CA AI INCALCAT LEGEA SCHIMBAND PAROLA SI CHIAR SI CU UN LS SI O SA TI SE SPARGA IN CAP iar ei nu o sa prinda pe nimeni care a facut rau ci doar pe tine guguf care teai apucat sa trambitezi (pentru faima – fraiere :) lol

    come on man … use your head … where was your head !?!? :))))

    Reply
  15. Razvan

    Sfatul meu e sa nu umblii si sa ii lasi in pace. Pentru idiotii aia sint in stare sa te acuze pe tine si conform Legii comertului electronic, faptul ca te-ai plimbat pe server neautorizat este infractiune, chit ca inteleg perfect circumstantele si ca tu vrei sa ajuti. Asa ca risti sa ajungi in situata aia cu “facere de bine f…re de mama”. In rest, m-am amuzat copios cu postul tau, banul public e intr-adevar gestionat de cretini.

    Reply
  16. mopje

    am capatat un americanesc `hey,a beer for you`,5 procente reducere daca vreau un vps(sugerat voalat ca reducerea doar un an,si asta de la cineva MARE),de la un roman cu un site legat de onegeuri/fonduri de la uniune un merci si un id de ymess.nu se merita,nu te baga

    Reply
  17. Marius

    Stai linistit man, daca n-au fost in stare sa-si paroleze rootul de la mysql nu vad cum ar sti sa deie un tail pe un log asa ca nu-ti prea fa griji, dinozaurii astia isi merita soarta, pun pariu ca daca radeai bazele de date in interirorul institutiei se auzea zvonul “a picat serverul”

    Reply
  18. Dragos Iorgulescu

    Salut! Dupa ce am citit, am dat acest anunt mai departe unei prietene (sa-i spunem, de familie) care lucreaza la ministerul sanatatii. Este o femeie deschisa, super de treaba, insasi ea impotriva incompetentei de pe acolo. Nealterand date, nu te poate lua nimeni “pe sus”. Ea a comunicat direct purtatorului de cuvant al ministerului, iar respectivacica transmite multumiri. Eu am zis ca ar fi dragut daca ar putea raspunde la unul din mailurile tale sau sa vina sa multumeasca, macar aici pe blog, in mod oficial. Totodata, facand cu ou si cu otet tot departamentul IT de pe acolo si sugerand si prietena in cauza o reevaluare seriaosa, sper sa vedem o schimbare. Sunt insa sceptic. Oricum, sa vedem ce se intampla acum ca problema a ajuns chiar la ei, pe cale oficiala, de sus in jos sa zicem (de la purtator de cuvant catre IT). Felicitari pt descoperire si de azi o sa fac si eu “scanari” detaliate ale site-urilor ministerelor si institutiilor publice de pe la noi. Cine stie, poate intr-o zi imi tremura mana si un “chown” o sa iasa cam aiurea din mana mea :D.

    Multa bafta!

    Reply
  19. sovidiu

    Manca-l-ar porumbeii de ziua lui pe ala care se prezinta SQL DB Admin din partea MCTI. Chiar asa s-a ajuns? Baietu’ tatii e angajat la MCTI dar nici macar nu stie de unde se inchide monitoru’?

    Ar trebui aflat numele lui/ei si dat(a) afara.

    Din 23 de milioane, sigur se gaseste unul mai bun.

    E domeniul de Stat; astia râd de noi, si-o fac pe banii nostri.

    Reply
  20. Meekuu

    “nuș ce parolă” e parola de la serverul de baze de date. Baze de date as in “colecție de date private”. A fost o scapare si inca una grava.

    In altă ordine de idei, ți se întâmplă des să citești articole și să te trezești că-ți dai cu părerea vis-a-vis de subiecte care-ți depășesc puterea de înțelegere ?

    Reply
  21. Cezar

    Se vede ca si tu ai avut aceleasi probleme incercind sa dai peste cei de la ministerul sanatatii. Si eu am scris despre modul in care stiu ei sa aiba grija de site-ul lor livrind malware la toti vizitatorii. M-am intrebat atunci cum au reusit sa faca upload la iframe-ul care facea redirectionarea dar acum am raspunsul. Bravo…ma bucur ca macar acum poate vor face ceva dupa ce au ajuns in presa.

    Reply
  22. gogu

    “testarea vulnerabilitatii unui server” foarte legal. si in plus de asta , eroarea adminului a fost descoperita si raportata acu vre-o 2 luni de zile.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *