Hace un tiempo atrás cuando escribí sobre la vulnerabilidad en los cafés inalámbricos, me tome el trabajo de ver que otros equipos en el rango de IP's publicas al que pertenecía el modem de Arnet, tenían la configuración por default de sus passwords.
El resultado fue alarmante, muchos equipos tenían la misma configuración por default pero con la administración remota habilitada.
Descubrir esto no es ciencia de cohetes, por ejemplo, un simple:
nmap -p 8080,80 -Pn -v xxx.xxx.xxx.2-254
Nos muestra todos los equipos que tienen los puertos 80 y 8080 abiertos.
Dentro de este paquetes de rangos de IP, había una en particular que tenia el puerto 80 abierto.
Como soy curioso, dirigí mi navegador hacia esa página, sin duda mi sorpresa fue mayor cuando me encontré ante el pedido de usuario y password de un sistema perteneciente a un organismo del estado.
Mas precisamente al Ministerio de Relaciones Exteriores y Culto.
Intuí por el nombre del sistema, que el mismo estaba en desarrollo.
En el sitio no había ningún banner alertando que el mismo estaba reservado a personas con autorización, por lo tanto supuse que se podía acceder en forma libre, siempre y cuando se contara con un usuario y password.
Yo tenia uno : admin/admin
Que puedo decir...en nuestro amado país, si tenemos algo que nunca vamos a perder, es la capacidad de asombro.
Como se ve en el post que publico en el blog Exosafe, el sitio contenía toda la información presupuestaria del Ministerio de Relaciones Exteriores y Culto, pero como el usuario "admin" es ...administrador, uno tenia acceso a los perfiles de los usuarios, passwords y una de las cosas mas increíbles, la posibilidad de ejecutar comandos desde la pagina.
Que alguien me explique, cual es el sentido de poder ejecutar comandos desde el shell, en un sistema de administración presupuestario?
Cual es el sentido de tener instalado en el server de desarrollo, o en este equipo, herramientas como nmap ?
El resultado fue alarmante, muchos equipos tenían la misma configuración por default pero con la administración remota habilitada.
Descubrir esto no es ciencia de cohetes, por ejemplo, un simple:
nmap -p 8080,80 -Pn -v xxx.xxx.xxx.2-254
Nos muestra todos los equipos que tienen los puertos 80 y 8080 abiertos.
Dentro de este paquetes de rangos de IP, había una en particular que tenia el puerto 80 abierto.
Como soy curioso, dirigí mi navegador hacia esa página, sin duda mi sorpresa fue mayor cuando me encontré ante el pedido de usuario y password de un sistema perteneciente a un organismo del estado.
Mas precisamente al Ministerio de Relaciones Exteriores y Culto.
Intuí por el nombre del sistema, que el mismo estaba en desarrollo.
En el sitio no había ningún banner alertando que el mismo estaba reservado a personas con autorización, por lo tanto supuse que se podía acceder en forma libre, siempre y cuando se contara con un usuario y password.
Yo tenia uno : admin/admin
Que puedo decir...en nuestro amado país, si tenemos algo que nunca vamos a perder, es la capacidad de asombro.
Como se ve en el post que publico en el blog Exosafe, el sitio contenía toda la información presupuestaria del Ministerio de Relaciones Exteriores y Culto, pero como el usuario "admin" es ...administrador, uno tenia acceso a los perfiles de los usuarios, passwords y una de las cosas mas increíbles, la posibilidad de ejecutar comandos desde la pagina.
Que alguien me explique, cual es el sentido de poder ejecutar comandos desde el shell, en un sistema de administración presupuestario?
Cual es el sentido de tener instalado en el server de desarrollo, o en este equipo, herramientas como nmap ?
Entendí la gravedad que significaba esto y me comunique con la gente de Arcert, quienes se ocupan de:
Unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información.
También difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión Pública, siendo sus principales funciones:
• Centralizar los reportes sobre incidentes de seguridad ocurridos en la APN y facilitar el intercambio de información para afrontarlos.
• Proveer un servicio especializado de asesoramiento en seguridad de redes.
• Promover la coordinación entre los organismos de la APN para prevenir, detectar, manejar y recuperar incidentes de seguridad.
• Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas de defensa
Luego de una serie de inconvenientes con mi certificado digital para enviar la información encriptada, logré enviarles la información de la vulnerabilidad.
Yo entendiendo lo lento que son los organismos del estado en reaccionar, no imagine que este problema ( el no permitir el acceso desde Internet a esta aplicación ) estaría resuelto en menos de una semana.
Hago disponible la información que se encuentra en el sitio, ya que no es posible acceder a este sitio.
De todas maneras esto nos deja muchos interrogantes:
• Este incidente fue un problema de desidia o era una fuga de información intencionada?
• La IP pertenecía a un organismo del estado o a una empresa contratada?
• Quienes auditan el desarrollo de este tipo de aplicaciones en la APN?
• Existen Metodologías de Desarrollo Seguro en la APN ? Quienes las elaboran?
• Los datos con los que contaba la aplicación, eran reales o estaban modificados? ( personalmente creo que eran reales ... )
• Que ocurrió con los responsables de este desarrollo y quienes permitieron que esto ocurra?
Estas son algunos de los interrogantes, Arcert no volvió a comunicarse conmigo para ponerme en conocimiento como se actuó, de ultima soy un ciudadano y lo que ocurre con estos sistemas me afectan de alguna manera.
Veo la reacción de Arcert como muy positiva, creo que es el lado lleno de este vaso que es la seguridad de la información pública, hay mucho por hacer para completar la parte vacía.
En el blog, de Exosafe voy a publicar más información sobre este incidente.
Autor: Julio Jaime
Visto en: segu-info
Unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información.
También difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión Pública, siendo sus principales funciones:
• Centralizar los reportes sobre incidentes de seguridad ocurridos en la APN y facilitar el intercambio de información para afrontarlos.
• Proveer un servicio especializado de asesoramiento en seguridad de redes.
• Promover la coordinación entre los organismos de la APN para prevenir, detectar, manejar y recuperar incidentes de seguridad.
• Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas de defensa
Luego de una serie de inconvenientes con mi certificado digital para enviar la información encriptada, logré enviarles la información de la vulnerabilidad.
Yo entendiendo lo lento que son los organismos del estado en reaccionar, no imagine que este problema ( el no permitir el acceso desde Internet a esta aplicación ) estaría resuelto en menos de una semana.
Hago disponible la información que se encuentra en el sitio, ya que no es posible acceder a este sitio.
De todas maneras esto nos deja muchos interrogantes:
• Este incidente fue un problema de desidia o era una fuga de información intencionada?
• La IP pertenecía a un organismo del estado o a una empresa contratada?
• Quienes auditan el desarrollo de este tipo de aplicaciones en la APN?
• Existen Metodologías de Desarrollo Seguro en la APN ? Quienes las elaboran?
• Los datos con los que contaba la aplicación, eran reales o estaban modificados? ( personalmente creo que eran reales ... )
• Que ocurrió con los responsables de este desarrollo y quienes permitieron que esto ocurra?
Estas son algunos de los interrogantes, Arcert no volvió a comunicarse conmigo para ponerme en conocimiento como se actuó, de ultima soy un ciudadano y lo que ocurre con estos sistemas me afectan de alguna manera.
Veo la reacción de Arcert como muy positiva, creo que es el lado lleno de este vaso que es la seguridad de la información pública, hay mucho por hacer para completar la parte vacía.
En el blog, de Exosafe voy a publicar más información sobre este incidente.
Autor: Julio Jaime
Visto en: segu-info
No hay comentarios:
Publicar un comentario