miércoles, 25 de noviembre de 2009

La Universidad Nacional de La Rioja "hackeada" (Deface)

Probablemente algunos de ustedes se haya enterado de esto, pero la semana pasada el sitio de la Universidad Nacional de La Rioja fue "hackeado". Lo escribo entre comillas ya que eso se llama deface y ni se asemeja a la definición de hacking (que por cierto no tiene porque tener connotación negativa).

Los muchachos que hicieron esto se hacen llamar "[M]entes [C]riminales" y en el Home de la universidad dejaron esto:







Como verán, solo reemplazaron el archivo Index del sitio por uno armado por ellos (Básicamente en lo único que consiste el defacing).

Lo interesante de todo esto es el mensaje que dejan, donde no solo critican públicamente al administrador del sitio sino que alegan no pertenecer a "ninguna bandera política" y que son capaces de "controlarlo todo, porque en todos lugares hay una computadora". Bueno...no se que creerán ustedes pero esto me parece de lo mas infantil, y no solo por haber realizado dicha modificación, sino también porque se contradicen en su mensaje, como lo pueden ver en este link (Lean la linea siguiente a la amenaza que le hacen a Massa). ¿Ninguna bandera política? Por cierto, ese archivo quedo luego de un deface masivo que se realizo hace un tiempo contra sitios .GOV.AR protestando contra el impuestazo tecnológico.

Ahora analicemos como fue que realizaron este "impresionante" ataque. El sitio en cuestión fue armado utilizando Joomla, un sistema de manejo de contenido (CMS) gratuito y de código abierto. En este caso el entorno se encuentra en la carpeta /administrator/, algo fácil de encontrar por lo genérico del nombre. Bueno, si recuerdan el ultimo post, donde hablamos de la utilización de credenciales por defecto, más puntualmente el famoso admin:admin se imaginaran a donde apunto. Así es, el administrador olvido cambiar esta contraseña, dando acceso completo a Joomla y por consecuencia al sitio web como pueden ver a continuación:





Como verán no es ningún desafío intelectual el deface que realizo esta gente. Una vez que descubrí como realizaron la modificación del sitio, restaure el home del mismo al original y cambie la contraseña de la cuenta admin. Seguidamente le mande un mail al administrador explicándole lo sucedido e informándole las nuevas credenciales y dándole recomendaciones de como solucionar este y otros problemas de seguridad que poseía el sitio (cosa que siempre hago previo a un post).

El día de ayer recibí una respuesta del administrador agradeciendo la mano y confesándome su desconocimiento en temas de seguridad informática, cosa que opino no es para avergonzarse. Creo que la manera de solucionar los problemas de inseguridad en los sitios web no es realizando un deface dejando a los administradores en evidencia sino asesorándolos en lo que se pueda para ayudarlos en su formación como profesionales.

Lo que hace la gente del grupo denominado "[M]entes [C]riminales" no es mas que una búsqueda de fama y renombre...alimentar su ego si se quiere, como ellos mismos confiesan en esta entrevista que les realizaron. El único fin de este grupo es hacer defacing a sitios gubernamentales (aqui una lista) y dicen querer ayudar a asegurar "nuestros" datos.

Es por esto que los invito a ponerse el sombrero blanco y a realmente tratar de hacer una Argentina mas segura, sitio a sitio. Manden mails, realicen post, o cualquier actividad no maliciosa para poder ayudar a los administradores web ya que, de que sirve el conocimiento si no se comparte.


Ximo

lunes, 16 de noviembre de 2009

¿Acceso restringido? Si, claro...

Hoy les traigo algunos casos de sitios que pasaron por alto los principios básicos al momento de restringir una sección o implementar el famoso "Acceso de Administrador".

En primer lugar tenemos un error de programación en un sitio web de clasificados digitales. En su sección de administración encontramos lo siguiente:





Nada raro hasta aquí...una típica solicitud de credenciales. Pero escribiendo cualquier cosa en ambos campos llegamos a esto:





Como ven, ya estamos dentro del "privilegiado" sector de administración.

Mas triste aún es lo que hizo el webmaster del site de venta de zapatilla de "5ta a Fondo", donde simplemente ingresando a la carpeta /admin/ se llega a esto:





Y si dudan que desde allí se puede hacer algo, les dejo la siguiente captura:





Si, lo se, increíble... Esto puede ser simplemente solucionado protegiendo dicha carpeta con htaccess.

Pero esperen! Aún hay más! Una error frecuente es utilizar credenciales por defecto o muy sencillas como el clasico "admin admin" (es decir, usuario: admin , contraseña: admin), como es el caso del Centro de Cultura e Idioma Japonés en la Argentina, que en este caso solo utilizan una contraseña de protección (algo no recomendado):





Y aquí luego de ingresar:





Como ven, se puede incluso hasta modificar las secciones del sitio web...siempre y cuando hablen Japonés... :P

Como siempre digo, no hay que tomar la seguridad de nuestro sitio a la ligera, ya que por más que digan "No les sirve de nada hackear mi sitio" están muy equivocados. Este tipo de errores (ya que no son considerados vulnerabilidades) pueden permitir que usuarios malintencionados alojen malware en su sitio, o lo inyecten con código malicioso...entre otras cosas, por lo que estarían siendo participes sin quererlo de actividades ilegales.


Ximo

viernes, 13 de noviembre de 2009

Camaras de seguridad Argentinas no tan seguras

Buenas gente, si, volví...sepan disculpar la falta de posts, pero últimamente estuve con mucho trabajo.

En esta oportunidad les dejo un link a una cámara de "seguridad" de un restaurante Argentino. El problema aquí fue que no configuraron correctamente la mismo para que solicite un usuario y contraseña al querer ingresar, permitiendo que cualquiera pueda echar un vistazo.


If no image is displayed, there might be too many viewers, or the browser configuration may have to be changed. See help for detailed instructions on how to do this.



Para aquellos que se preguntan como fue que di con este link. Bueno, con una simple búsqueda en Google, se obtienen muchos resultados. Lo único que hice yo fue acotar los mismos a solo sitios de Argentina (pueden verificar que la cámara esta en Argentina haciéndole un simple ping o traceroute).

intitle:”Live View / - AXIS”


Sino para los mas vagos: 
Link directo a la búsqueda en Argentina

Les recomiendo que no restrinjan la búsqueda por país y verán una amplia variedad de resultados... :D


Ximo