El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

  

Chile: Ataques informaticos a centros de salud

mayo 15th, 2015 · No hay Comentarios

uhh

Hace un par de semanas escribí criticando la preocupación que existe por parte de los centros de salud en chile respecto a temas de seguridad informatica (algunos le dirian seguridad cibernetica). Luego de esa publicación, dejé pasar un tiempo para recorrer distintos sitios web relacionados con salud que han sido intervenidos y al parecer ni si quiera se han dado cuenta.

Un recorrido rapido por algunos sitios, muestra rapidamente una lista de sitios o sistemas de salud intervenidos por terceros, de gobierno, clínicos, independientes, etc.
Más allá del problema mismo de la intervención del sitio, la pregunta es ¿a qué información logró acceder el atacante? o ¿cual fue el impacto del atacante? Si pudo ingresar a un servidor perfectamente pudo haber saltado a otro.

[Leer Más →]

→ No hay ComentariosEtiquetas: Seguridad

Como NO se debe mitigar un Cross-Site Scripting (XSS), el ejemplo de ChileAtiende

abril 29th, 2015 · No hay Comentarios

logo_chileatiende_beta_2xDe acuerdo a su propia descripción, ChileAtiende es una red que busca acercar los servicios del Estado a las personas, entregando un conjunto de trámites de diferentes instituciones públicas, en un solo lugar.

Revisando rapidamente el sitio web, se puede ver que intentaron aplicar algunos controles de seguridad para prevenir ataques, sin embargo, se pueden evadir facilmente. Como ejemplo voy a tomar una inofensiva vulnerabilidad que afecta al buscador del sitio, alojado en buscador.chileatiende.cl.

[Leer Más →]

→ No hay ComentariosEtiquetas: Hacking · Seguridad · Sitios Vulnerables

Vulnerabilidad en Sky Airline permite acceso a Tarjetas de Embarque

abril 28th, 2015 · No hay Comentarios

Sky_Airline_Logo(Large)

Una falla en el sistema web de Sky Airline permite acceder a una configuración interna del sistema, mediante la cual es posible acceder a información historica y actual de las tarjetas de embarque de los pasajeros. Esta falla expone los datos de vuelo de todos los pasajeros, violando la privacidad e incumpliendo uno de los principios básicos de la seguridad de la información: confidencialidad.

El error se produce por una mala practica muy común al momento de poner en producción un servidor o un sistema, sobre todo en las plataformas .NET y Java.

[Leer Más →]

→ No hay ComentariosEtiquetas: Privacidad · Seguridad · Sitios Vulnerables

Banco Santander solicita claves personales para acceder a información del S.I.I

abril 16th, 2015 · 3 Comentarios

santander-chile-650x400

Cuando nos acercamos al mesón de atención al cliente o bien a una caja, siempre nos damos cuenta que las personas que nos atienden son descuidadas y dejan información a vista de todos, podemos decir que las personas simplemente no piensan en la seguridad de la información o simplemente que fue un descuido, pero una cosa totalmente distinta es recibir un correo de un ejecutivo solicitando una clave personal de otra institución para poder “sacar unos informes“.

ladronEsto no es una historia personal, todo comenzo cuando un amigo me contó su experiencia para obtener un crédito hipotecario, típico que te piden antecedentes comerciales, cotizaciones, boletas de honorarios, entre otros. Despues de un rato me dice con cara de tortuga sorprendido “Weon, el ejecutivo me pidio la clave del Servicio de Impuestos Internos para él ingresar a sacar mi información, ni cagando se la voy a dar” obviamente mi reacción fue un WTF y le pedí más antecedentes para poder escribirlo y publicarlo.

[Leer Más →]

→ 3 ComentariosEtiquetas: Interes general · Privacidad · Seguridad

Chile: ¿Están preparados los centros de salud para un ataque informático?

abril 14th, 2015 · 4 Comentarios

Hace unos dias se dio a conocer una noticia que afectaba a un centro de salud dental y a sus clientes (pacientes). Se trataba de un ataque informático que permitió el robo de información de 151.626 personas mediante un malware instalado en uno de las estaciones de trabajo permitiendo al atacante acceder a la base de datos interna donde se almacenaba la información de los clientes..
El Compliance Manager de la clínica se jacta de haber actuado rapidamente, ya que en otros casos los atacantes podrían estar meses y meses navegando por los datos. Entonces, yo me pregunto.. Los centros de salud chilenos ¿Estan preparados para este tipo de amenazas?

[Leer Más →]

→ 4 ComentariosEtiquetas: Hacking · Interes general · Seguridad

Los detalles de las vulnerabilidades del software gubernamental SGS

febrero 2nd, 2015 · 5 Comentarios

gobierno-transparente-nuevo-01

Con el fin de cumplir con la Ley 20.285 mas conocida como Ley de Transparencia, el gobierno desarrolló un sistema web el cual debía ser implementado por distintas instituciones del gobierno. El sistema es conocido como Sistema de Gestión de Solicitudes o mas bien SGS y dentro de las instituciones que lo utilizan esta el Servicio Nacional de la Mujer, Ministerio de Transporte, Ministerio Secretaría General de la Repulica, Ministerio de Justicia, DIPRES, Secretaría General de Gobierno, Fonasa, entre otros.

De acuerdo a lo descrito en el sitio web del sistema: Fue diseñado para que los órganos y servicios de la Administración Central del Estado dispongan de una herramienta para gestionar y controlar adecuadamente los procedimientos de recepción, derivación y respuesta de las solicitudes de acceso a la información.

En el post pasado di a conocer que este sistema era vulnerable a distintos tipos de ataques, pero no entregué detalles al respecto. En el primer aviso que envié a los responsables les solicité que les avisaran a todas las instituciones publicas que utilizaban este sistema para que estuvieran al tanto de los agujeros de seguridad y para que puedan tomar sus propias medidas de seguridad mientras el software SGS se parchaba, luego en una reunión que tuve de forma presencial con ellos (interior+segpres) tambien les mencioné lo mismo y finalmente tambien se lo mencioné a una persona encargada de la Unidad de Modernización y Gobierno Digital. Nadie le tomo el peso al asunto y no se les avisó, por lo tanto decidí publicar que el sistema era vulnerable; aunque sin mencionar los detalles ya que me había comprometido a darles tiempo antes de publicar cada vulnerabilidad detectada.

Bueno, horas despues de haber hecho publico, los responsables enviaron un comunicado a las instituciones publicas indicando que temporalmente el sistema sería dado de baja y dentro de los próximos dias iban a comunicar los pasos a seguir para una solución definitiva. Un par de dias despues enviaron otro comunicado indicando que el sistema fue dado de baja de manera permanente y que en un par de meses ibana disponibilizar otro sistema bajo otra modalidad: As A Service, es decir, un servidor centralizado, administrado por ellos, donde cada institución tendrá su “espacio“. Claramente esto no soluciona las vulnerabilidades, simplemente las “esconde”. El código fuente dejará de estar disponible bajo Software Público, es decir, nadie lo podrá descargar y analizar.

Los responsables del SGS tuvieron acceso al texto que leeran a continuación hace un par de semanas, sin embargo, tenian conocimiento de estas y otras vulnerabilidades desde Junio del 2014, ya que se les notificó.

 

[Leer Más →]

→ 5 ComentariosEtiquetas: Hacking · Interes general · Seguridad