Un tiempo atrás cuando escribí sobre la vulnerabilidad en los cafes inalambricos, me tome el trabajo de ver que otros equipos en el rango de IP's publicas al que pertenecia el modem de Arnet, tenian la configuracion por default de sus passwords.
El resultado fue alarmante, muchos equipos tenían la misma configuración por default pero con la administracion remota habilitada.
Descubrir esto no es ciencia de cohetes, por ejemplo, un simple :
nmap -p 8080,80 -Pn -v xxx.xxx.xxx.2-254
Nos muestra todos los equipos que tienen los puertos 80 y 8080 abiertos.
Dentro de este paquetes de rangos de IP, había una en particular que tenia el puerto 80 abierto.
Como soy curioso, dirigí mi navegador hacia esa pagina, sin duda mi sorpresa fue mayor cuando me encontré ante el pedido de usuario y password de un sistema perteneciente a un organismo del estado.
Mas precisamente al Ministerio de Relaciones Exteriores y Culto.
Intuí por el nombre del sistema, que el mismo estaba en desarrollo.
En el sitio no había ningún banner alertando que el mismo estaba reservado a personas con autorizacion, por lo tanto supuse que se podía acceder en forma libre, siempre y cuando se contara con un usuario y password.
Yo tenia uno : admin/admin
Que puedo decir...en nuestro amado país, si tenemos algo que nunca vamos a perder, es la capacidad de asombro.
Como se ve en el post que publico en el blog Exosafe, el sitio contenía toda la información presupuestaria del Ministerio de Relaciones Exteriores y Culto, pero como el usuario "admin" es ...administrador, uno tenia acceso a los perfiles de los usuarios, passwords y una de las cosas mas increíbles, la posibilidad de ejecutar comandos desde la pagina.
Que alguien me explique, cual es el sentido de poder ejecutar comandos desde el shell, en un sistema de administración presupuestario ?
Cual es el sentido de tener instalado en el server de desarrollo, o en este equipo, herramientas como nmap ?
Entendi la gravedad que significaba esto y me comunique con la gente de Arcert, quienes se ocupan de :
Unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información.
También difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión Pública, siendo sus principales funciones:
También difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión Pública, siendo sus principales funciones:
- Centralizar los reportes sobre incidentes de seguridad ocurridos en la APN y facilitar el intercambio de información para afrontarlos.
- Proveer un servicio especializado de asesoramiento en seguridad de redes.
- Promover la coordinación entre los organismos de la APN para prevenir, detectar, manejar y recuperar incidentes de seguridad.
- Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas de defensa
Luego de una serie de inconvenientes con mi certificado digital para enviar la información encriptada, logre enviarles la información de la vulnerabilidad.
Yo entendiendo lo lento que son los organismos del estado en reaccionar, no imagine que este problema ( el no permitir el acceso desde internet a esta aplicación ) estaría resuelto en menos de una semana.
Hago disponible la información que se encuentra en el sitio, ya que no es posible acceder a este sitio.
De todas maneras esto nos deja muchos interrogantes :
--Este incidente fue un problema de desidia o era una fuga de información intencionada ?
--La IP pertenecía a un organismo del estado o a una empresa contratada ?
--Quienes auditan el desarrollo de este tipo de aplicaciones en la APN ?
--Existen Metodologías de Desarrollo Seguro en la APN ? Quienes las elaboran ?
--Los datos con los que contaba la aplicación, eran reales o estaban modificados ? ( personalmente creo que eran reales ... )
--Que ocurrio con los responsables de este desarrollo y quienes permitieron que esto ocurra ?
Estas son algunos de los interrogantes, Arcert no volvió a comunicarse conmigo para ponerme en conocimiento como se actuó, de ultima soy un ciudadano y lo que ocurre con estos sistemas me afectan de alguna manera.
Veo la reacción de Arcert como muy positiva, creo que es el lado lleno de este vaso que es la seguridad de la información publica, hay mucho por hacer para completar la parte vacia.
En el blog, de Exosafe voy a publicar mas información sobre este incidente.
1 comment:
Ns/Nc :(
Post a Comment