Generalmente los criterios para asignar accesos a los distintos sistemas es los mismos, existen las que son aleatorias con y sin patrones, las típicas “dos letras iniciales del apellido seguido del año de nacimiento”, etc. Quizá el problema no está en asignarles claves por defecto fáciles a los usuarios, sino en los mismos usuarios que no las cambian o bien tardan una eternidad en ingresar por primera vez al sistema. Por esto mismo, pienso que la seguridad de los sistemas no debe depende de los usuarios, debe depender del sistema, a menos que tengamos muy acotado el tipo de usuarios que tendrá el sistema.
En este post hablaré sobre los tipicos accesos a universidades, cuentas de correo de empresas, cuentas de servidores ftp, ssh, web, etc.

En primer lugar, pienso que, el hecho de querer facilitarle las cosas al usuario final asignandole una password que sea “recordable”, es riesgoso. El hecho de que una password siga un patrón quiere decir que es altamente descifrable o descubrible por un atacante. Como patrónoes entendemos password como:

• usuarioYYYY: donde YYYY puede ser el año de nacimiento, el año que la persona ingreso a la institución u otra cosa que tenga relación.
• Primeros o últimos 3 o 4 digitos del rut: Por ejemplo si el rut de una persona es 6.714.870-9, la clave podría ser 6714 o bien 8709
• Nombre de usuario: aunque no lo crean, es muy comun tambien que se asigne como contraseña lo mismo que le entregan como nombre de usuario
• Juego con las iniciales de los nombres y/o apellidos y año de nacimiento o año de ingreso: Por ejemplo, para Juan Perez, una posible password sería jperez2009, juanp2009, jp2010, etc.

Quiza lo que acaban de leer pareciera ser algo muy estúpico o algo demasiado básico, pero es increible que suceda. Hace un par de semanas publiqué dos ejemplos muy claros al respecto, lo pueden ver en:

La poca importancia de la seguridad en la Universidad Mayor
Seguridad en accesos de ex alumnos del Instituto Profesional CIISA

El hecho de saber un patrón de asignaciones de contraseñas por defecto de una empresa o alguna institución les abre una puerta trasera enorme y, a mi criterio, es una vulnerabilidad que debe ser considerada critica si se desea proteger el robo de información y la privacidad de la institución y de los mismos usuarios.

La contraseña de un usuario puede comprometer el acceso a otros usuarios, por ejemplo si mi password por defecto corresponde a la primera inicial de mi nombre, seguido de mi apellido, luego un guión bajo (_) y finalmente mi año de nacimiento y es interceptada por algun atacante, sea como sea, independiente de que esa persona haya querido atacarme a mi o independiende de que si yo tengo informacion privada o si me interesa la seguridad o no, estoy dando el paso para que esa pesona pueda adivinar contraseñas de las demas personas.

Un caso muy comun es el hecho que cuando una persona ingresa a trabajar a una empresa generalmente le preparan un computador con todo listo, su cuenta de correo lista, configurada y lista para usarse por lo que el usuario jamás tendrá curiosidad de cambiarla, asi mismo todos o la gran mayoría de la empresa. Una persona sin muchos conocimientos podría probar el mismo patrón de contraseñas para ingresar como su compañero de trabajo, luego que ingresa al correo de esa persona exitosamente, lo gracioso sería intentar ingresar a otras cuentas por ejemplo al sistema de tickets u otros sistemas con el que podríamos hacer más daño. Según mi punto de vista, las contraseñas por defecto deberían ser por defecto aleatorias y obligar a que el usuario se loguee apenas es creada la cuenta y cuando ingrese por primera vez obligarlo a cambiar la contraseña.

Los desarrolladores o administradores pueden quejarse con la típica frase “es que son sistemas que acceder desde la red interna, desde la lan solamente”, pero la verdad es que uno nunca sabe desde que lado esta el atacante.

Aunque no lo crean, muchas veces esas mismas empresas que le asignan esas contraseñas por defecto a sus empleados, lo hacen tambien con sus clientes. Por ejemplo, una empresa de hosting o diseño web, en ambos casos, cuando le quieren dar acceso a ftp o bien acceso a algun sistema para que hagan el “testing”, cumplen el mismo patron, si no es “123456″ es, por lo general, el nombre del cliente. Puedo entender que es engorroso asignar contraseñas tan dificiles de recrodad a los clientes para que hagan simplemente un checkeo de una aplicación, pero aveces la seguridad requiere de un poco de esfuerzo.

Compartir/Guardar

La idea de un sitio con certificado SSL es que toda la información viaje cifrada, pero la gente de E-Sign al parecer no piensan eso. Al menos dos formularios del sitio envían la información sin cifrar, entonces ¿Para qué usan el certificado SSL?

Quizá no es tan crítico, ya que se trata del formulario de contacto y el buscador, pero ya que ellos obligan al usuario a confiar de ellos aun cuando los formularios no se envian de forma segura, nosotros aprovecharemos de generar otro tipo de trafico de manera insegura, por ejemplo insertando un formulario falso o un sitio externo mediante XSS.

¿A qué me refiero con esto? Sencillo, cuando estás navegando en un sitio seguro y en él, existe información que viaja de manera no-segura (sin cifrar), el navegador nos alerta y nos pregunta si queremos continuar.

En cierta forma, E-Sign está obligando al usuario a confiar en ellos y para proceder, el usuario tendrá que poner aceptar. Si ellos lo hacen, ¿por qué nosotros no?

Nos aprovechamos de una vulnerabilidad XSS que presentan algunos links, por ejemplo link de “Contacto”:

https://www.e-sign.cl/contacto.php?prefilla=%22%3E%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E

Mediante XSS podriamos perfectamente modificar el formulario, agregar y quitar campos y redireccionar la informción hacia otro sitio o bien colocar un iframe externo que nos permita insertar un formulario arbitrario para capturar información que necesitamos.

Con un poco de ingenieria social y un poco del arte del engaño, seguramente podemos explotar aun mas esta vulnerabilidad. Muchas veces la vulnerabilidad va más alla de si misma, depende mucho del sitio sobre el cual se intenta explotar, en este caso, es mucho mas grave que en el caso del post anterior.

Lo que encuentro más problematico, es que una empresa de seguridad, quienes ofrecen un servicio Anti Phishing, tengan este tipo de vulnerabilidades, le resta demasiada credibilidad a la empresa, lamentablemente las personas que contratan estos servicios generalmente no saben mucho del tema y creen que estaran en buenas manos y muchas veces estan cometiendo un error entregando su seguridad a las personas equivocadas.

Como de costumbre, intenté contactarme con los encargados mediante el formulario de contacto del sitio pero no he obtenido ningun tipo de respuesta.

ACTUALIZACIóN – 3/Mayo/2010: La empresa se ha contactado conmigo via email. Más información acá.

Compartir/Guardar

¿Qué se puede hacer cuando nos encontramos con una red insegura abierta?
Facilmente podemos snifear todo el trafico que está pasando por la red capturando información personal y privada, pudiendo hacer lo que queramos con ella. Se puede prestar para realizar phishing, robo de identidad, claves y accesos para sitios bancarios, robo de credenciales para distintos servicios como twitter, gmail, msn, etc.

¿Cómo puedo aprovecharme de esta campaña?
Fácil. Basta con instalar un honeypot en varios puntos de la ciudad para que la gente piense que “alguien, amablemente, libero su wifi”.

Existen otras formas para ayudar a que la gente se comunique, pero esta me parece realmente tonta.

Compartir/Guardar

La semana pasada he descubierto una vulnerabilidad Cross-Site Scripting (XSS) en el sitio web de RedBanc.

Redbanc S.A.. es una empresa que presta servicios de interconexión bancaria, es decir permite a los clientes de todos los bancos asociados realizar distintas operaciones, depósitos, transferencias, giros, etc. a través de una red cajeros automáticos, que son computadores interconectados, permitiéndole al cliente realizar una serie de operaciones que antiguamente se debían realizar en una caja normal y con la restricción del horario.

Está de más decir que con esta vulnerabilidad encontrada es posible realizar phishing, robos de identidad (robos de cookies mediante xss) y muchas otras cosas más relacionadas con estáfas usando la confianza el sitio RedBanc.cl.

La vulnerabilidad se encuentra en la no-validación de los parametros de entrada en la URL http://www.redbanc.cl/portal_redbanc/browse?pagina=portal_redbanc/inicio.htm. Si modificamos la variable “pagina” y preparamos un javascript especialmente para el robo de cookies o bien algun sitio web externo que nos permita hacer phishing, basta con que coloquemos el código necesario y se lo asignemos a la variable.

Explicación

Cuando se cambia el valor de la variable pagina el sistema reportará que la página no existe. El mensaje de error tomará el valor que ingresamos en la variable y lo mostrará de la siguiente forma:
- En el caso de http://www.redbanc.cl/portal_redbanc/browse?pagina=veamos/si/existe/la/pagina.htm podemos ver el mensaje de error

Pagina no existe
Pagina veamos/si/existe/la/pagina.htm no disponible

Si nos damos cuenta, lo que dice justo debajo de “Pagina no existe” es justo lo que pusimos como valor de la variable pagina por lo que asumimos que cualqiuer cosa que pongamos en su lugar será mostrado y por ende si inyectamos un código html éste será mostrado e interpretado por nuestro navegador.

PoC

Inyectando un código javascript:
http://www.redbanc.cl/portal_redbanc/browse?pagina=<script>alert('XSS')</script>

Inyectando un iframe con destino a otro sitio, el cual podría contener un sitio web maligno:
http://www.redbanc.cl/portal_redbanc/browse?pagina=<iframe src=http://sitio.web</iframe></iframe>

(más información sobre este último punto en: Haciendo phishing explotando una vulnerabilidad XSS)

He intentado contactarme con los encargados del desarrollo del sitio pero no he obtenido respuesta. El formulario de contacto del mismo sitio web no funciona y he estado enviando correos a info@redbanc.cl (correo que aparece en el sitio web) y ni si quiera me han respondido que leyeron el correo.

Los riesgos

Los chilenos bien saben lo que es RedBanc y deberían imaginar los peligros que puede significar un fallo de este tipo en el sitio web oficial.
Explotando esta vulnerabilidad es posible robar la identidad de personas y obtener información privadas tales como nombres, rut, telefonos, números de cuenta bancaria y claves de acceso. Tratandose de un sitio web que tiene directa relacion con los bancos y tarjetas de débito es posible tambien obtener los dígitos del PIN PASS, usando un poco de ingenieria social y engañando a los usuarios con falsos e identicos sitios y formularios.

Aclaración

La vulnerabilidad fue avisada el Jueves de la semana pasada por primera vez, luego intente contactarme con ellos el día Lunes y tambien el Martes y, siendo Jueves, aún no he obtenido ninguna respuesta, ni si quiera acusando que el correo que les envié fue recibido.

ACTUALIZACIóN – 5/Mar/2010 12:30
Luego de numerosos correos enviados a la gente de redbanc reportando el error y sin obtener ninguna respuesta, decidí publicar este artículo y parece que ha dado resultado, porque la gente de Redbanc ya ha solucionado el problema, obviamente sin agradecer y sin emitir ningun tipo de comentario al respecto, simpemente solucionaron el problema como si nada ha pasado.
Buscando en Google me he dado cuenta que este sitio ha tenido esta misma vulnerabilidad en distintos scripts y y redbanc nunca dijo nada.

Compartir/Guardar

Alvaro Veliz me ha reportado el siguiente problema básico de seguridad en la plataforma de ingreso de alumnos. Esta plataforma llamada “Portal Estudiantil” dice ser una “Intranet solo disponible para alumnos regulares y egresados“, sin embargo, ellos mismos dan la opción de que no sea así y que cualquier persona pueda ingresar tan solo probando con RUTs al azar.

Podemos ver el mensaje en rojo que dice:

La clave que debes ingresar para acceder al Portal Estudiantil es 123456. Esta contraseña la debes cambiar en la pantalla siguiente tal como se te solicita.
IMPORTANTE: Al momento de cambiarla se te pide ingresar tu clave anterior, ésta es 123456, no lo olvides.

Me pregunto cuanta gente, hasta la fecha de hoy, ha ingresado al portal y ha cambiado su clave? Bastaría con generar un script que pruebe una lista de RUTs probables con una clave 123456 y ganar acceso al sistema, obtener informacion de los alumnos y crear dolores de cabeza a los administradores cambiandole todos los datos al usuario. Con estos hechos queda demostrada la poca o nula preocupación por las Universiades cuando se trata de proteger la información personal y la privacidad de sus alumnos.

Compartir/Guardar

El IP CIISA es una entidad de educación superior que tiene la misión de formar profesionales y técnicos de nivel superior en las áreas del conocimiento vinculadas a las tecnologías de la información y las redes y comunicación de datos.

Sin embargo, si ingresamos al sitio web y nos vamos a “ExAlumnos” podemos ver como ellos mismos nos indican, publicamente, la clave de acceso para cada usuario.

Dice claramente: “4 primeros dígitos del rut + año de nacimiento“.

Me recuerda mucho a una entrada que vi en SecurityByDefault hace un par de meses atrás, donde ponían un código de seguridad sobre el teclado numérico para escribir el mismo.

Compartir/Guardar

Tanto las empresas como los usuarios (clientes) no tienen las suficientes medidas de seguridad al utilizar uno de éstos servicios, muchas veces los usuarios no denuncian una anomalía, por lo que para las empresas es difícil dar solución a algo de lo que no tienen conocimiento. Por otro lado, las empresas, cuando un usuario les denuncia algun problema, no son capaces de dar solución.

Tarjetas de crédito

El proceso corecto para realizar una compra (tanto por parte del usuario como por parte del vendedor) es entregar al vendedor la tarjeta de crédito y el carnet de identidad, el vendedor imprime desde la maquinita una boleta o ticket, el comprador debe firmar y anotar su número de identidad, luego el vendedor debe verificar la validéz de éstos datos con el carnet de identidad. ¿Qué pasa generalmente? El vendedor entrega el carnet de identidad y la tarjeta de crédito antes de que el comprador firme el ticket, por lo que obviamente, el vendedor jamás podrá comparar si la firma y el número de identidad son correctos. Yo he hecho el ejercicio más de una véz, cuando me entregan el ticket simplemente firmo con un “yeah!” y escribo cualquier número de identidad muy distinto al mio, el vendedor lo único que hace es decir “gracias por la compra, hasta luego“. ¿Qué pasa actualmente? En las últimas 5 compras que he hecho, el vendedor no ha sido capáz de pedirme ni si quiera el carnet de identidad.

Con todo ésto, yo me siento vulnerable, siento que si se me pierden mis documentos o me los roban, podrán realizar compras sin ningún problema y claro, cuando yo vaya a reclamar al banco, ellos no me darán ninguna solución. Está de moda en los bancos ofrecer un “seguro anti fraude” que te “protege” de éste tipo de hechos, pero hay que pagar, es decir, hay que pagar por la seguridad que ellos deben ofrecernos.
Yo me he puesto a pensar en más de una oportunidad que perfectamente podría reclamar que jamás he hecho una compra, ya que no tendrían como comprobar que fui yo quien hizo la compra en ese local, ya que el vendedor jamás verificó si mis datos eran reales.
Actualmente, los bancos están implementando en famoso PinPass que, supuestamente, mejoraría la seguridad y ayudaría al usuario a realizar sus compras de una forma más tranquila. En éstas 5 últimas compras que he hecho, el vendedor me pregunta ¿Tiene su pinpass? y mi respuesta es “no” entonces él me dice “ok, entonces presione enter sin escribir nada“.
Yo intenté denunciar éste hecho con mi ejecutivo de cuentas pero no obtuve respuesta. Les dejo el email que le he enviado:

Hola,

En los ultimos 5 o 6 meses, cada vez que compro con mi tarjeta
mastercard, con o sin cuotas, no me piden ni mi carnet ni tampoco me
hacen firmar la boleta. Esto demuestra que el metodo de compra no tienen
ningun mecanismo de seguridad, mi problema nace cuando pienso que que
pasaria si me roban mis documentos incluyendo mi tarjeta de credito? La
persona podra comprar como si nada.

El dialogo entre yo y el vendedor es:

Vendedor: Como cancela?
Yo: Con mastercard
Vendedor: Ok … Deslicela por ahi
Yo: Ok.
Vendedor: Tiene PinPass?
Yo: No.
Vendedor: Ok, entonces presione ‘enter’.
Yo: Ok.
Vendedor: Muchas gracias por su compra, hasta luego!

Esto me tiene bastante molesto ya que de una u otra forma, me estoy
sintiendo presionado por el banco a contratar el “seguro de fraude” (o
algo asi), siento que si no lo contrato, como no me piden carnet ni
firma al comprar, no tendre derecho a reclamo si algo me llega a suceder.

Me gustaria saber que solucion me pueden dar para esta inquietud.

Saludos.

Intentaré escalar el problema a otra persona, hasta que me den alguna respuesta.

Artículo relacionado.

Cajeros automáticos

Hace unos días leí un artículo que hablaba sobre el Skimmer, se trata de un aparato que se sobrepone a la ranura donde se inserta la tarjeta y el usuario no se da cuenta y apenas inserta la tarjeta ésta es clonada.

Irónicamente, este “dispositivo” mejora la usabilidad del cajero, ya que en algunos casos les agrega una leyenda de ayuda de cómo insetar la tarjeta y tambien una leyenda en braile.

El dispositivo de la imágen fue creado con partes de un reproductor mp3. Algunos Skimmers son altamente sofisticados y son capaces de enviar sms cada véz que se inserta una tarjeta.
El artículo completo fue publicado en meneame y se pueden leer comentarios bastante interesantes al respecto. El artículo original lo puedes encontrar aquí.

Teléfonos públicos

En este punto solo quiero enlazar a un articulo que escribi hace un tiempo, contando una anéctoda cuando me sentí estafado por 3 “actores”: el personal del metro de santiago, telefónica y por una persona que abría los teléfonos y se llevaba el dinero.
El artículo se llama: Robo en los teléfonos públicos de telefónica.

Compartir/Guardar

¿Y cómo termina todo esto?
Por ejemplo, con ésto.

Como dice mi querido amigo Clark en un comentario de un post anterior:

@Zerial, con respecto a este tema te encuentro toda la razon, sin tener mucho conociento en el tema hice algunas pruebas por una wifi con cifrado wep de una universidad X y chan! claro despues de un rato de acostumbramiento comence a adquirir user y pass de los funcionarios, pc’s, servidores y mas informacion, claro ahora estoy con la duda de dar a conocer sus problemas?, vuelvo a repetir no tengo muchos conocimientos en el tema pero hacerlo fue gratificante como dice @andres. ademas puedo decir que me encanto y me pico el bichito de la curiosidad lo que me lleva a documentarme mejor en el tema! y ahora se que alguien siempre esta escuchando del otro lado :s.

No hay que ser un experto, no hay que ser un jajajahacker ni un experto en seguridad informática, simplemente hay que tener las herramientas para hacerlo y ni si quiera saber ocupar las herramientas al 100%, actualmente con la información que hay en el manual de ettercap es posible lograr muchas cosas. Al igual que en una conversación telefónica, celular o lo que sea, siempre puede haber un tercero que esté filtrando la información, siempre puede existir un “hombre en el medio” (MiTM).
No se trata de un tema de paranoia ni nada por el estilo, pero creo que debemos tomar conciencia y tener conocimiento de donde nos estamos conectando, a traves de quien estamos pasando, etc.

En mi caso, cuando me conecto a unas de estas redes no dejo de hacer las cosas que hago siempre, pero me aseguro de que nadie esté “escuchando” lo que estoy haciendo. Si me aparece un certificado falso, obviamente no lo voy a aceptar (cosa que el común de la gente si lo hace), no voy a hacer transferencias ni ingresar a la cuenta de mi banco, y si trafico información importante me aseguro de que la información viaje por un canal seguro.

Tal véz deba existir algo que regule éste tipo de cosas.

Compartir/Guardar

Así es, el sitio web de Gendarmedia en Chile, expone los datos de sus usuarios al público. Me parece muy mal que estas cosas sucedan en sitios del gobierno, deja mucho que desear en cuanto a la privacidad de la información y seguridad informática.
Me llama mucho la atención que cuando ingreso al sitio y voy a la sección de “Politica de Privacidad” donde podemos leer el siguiente mensaje:

Y por otro lado me encuentro con esto:

Ademas de esta información, lo que se deja público son los correos o el mensaje que las personas dejan mediando los fomrularios de contácto del sitio web de Gendarmeria, además de todos los correos y nombres de las personas que utilizan este formulario de contacto.
Realmente lo encuentro vergonzoso.

Compartir/Guardar

- Ecored.cl
- iti.cl (https)
- stiport.cl (https)
- Lucylafuenteindo.cl
- latitud90.com
- Maqval.cl

Con “Lucylafuenteindo.cl” intenté comunicarme para solucionar el problema pero luego de corregir parcialmente el problema ni se contactaron conmigo. Ecored.cl parece ser (o fue) una empresa de informatica bastante vieja, nose si aun utillizaran el sitio. Con los otros sitios estoy intentando contactarme.
Para leer mas detalladamente las fallas en cada uno de los sitios lea el articulo completo.

A continuación una lista de los sitios con su vulnerabilidad y su URI vulnerable

Remote File Include:

http://www.ecored.cl/php/a-mensaje-envia.php?foro=[RFI]
https://torpedo.iti.cl/funciones/login.php?mensaje=[XSS]&pagina=[RFI]
https://www.stiport.cl/funciones/login.php?mensaje=[XSS]&pagina=[RFI]

XSS:

http://www.latitud90.com/admin/index.php?mensaje=[XSS]&dia=[XSS]&hora=[XSS]
http://www.maqval.cl/?ver=productos&id=5&cat=[XSS]

SQL Injection:

http://www.maqval.cl/?ver=carrito&a=add&c=1&n=[SQL]

Y por ultimo, una vulnerabilidad bastante peculiar, se trata de Auth Bypass, podremos editar el contenido del sitio con tan solo conocer la ruta de la administración, sin un usuario ni un password. Personalmente, pienso que este tipo de sistemas es una falta de respeto.

Tenemos el sitio http://www.lucylafuenteindo.cl/ donde podemos navegar por su contenido, cuando ingresamos nos redirecciona a http://www.lucylafuenteindo.cl/web y misteriosamente, si nos vamos a /admin, podremos editar el contenido  como nosotros queramos, saltandonos cualquier tipo de autentificación que el sitio pudiese haber tenido:
http://www.lucylafuenteindo.cl/web/admin/

Compartir/Guardar

Este sistema de inicio de sesion tiene dos vulnerabildiades que pueden ser explotadas muy facilmente, SQL Injection y Authentification bypass. La primera nos permitirá iniciar sesion como cualquier cliente o administrador y la segunda

Ejemplo, com un SQL Injection vamos a iniciar sesion como un usuario al azar:

La tercera vulnerabilidad la podemos encontrar si miramos la url de esta pantalla

Corresponde a una vulnerabilidad de stipo XSS, si cambiamos el contenido de la variable nom por algun codigo malicioso, podremos usar el sitio de caffarena para hacer phishing, robar cookies y otros datos de clientes, etc.

La vulnerabilidad numero cuatro corresponde a una del tipo authentificaction bypass, que nos permitirá ingresar al sistema de administración con tan solo escribir en la barra de direcciones el directorio donde se encuentra este sistema, sin un login ni nada. En este panel de administración podremos encontrar todos los documentos de los clientes y además, una lista de todos los clientes con sus respectivos passwords.

Como quinta y ultima vulnerabilidad, tenemos que al intentar subir algun fichero, el sistema no valida de que tipo es por lo que podemos subir algun script escrito en php con codigo malicioso que nos permita hacer las cosas que queramos realizar operaciones no permitidas en el servidor, ejecutar comandos, navegar por los directorios, etc.

Como conclusion, no me queda nada mas que decir que este sitio web esta tapado en bugs altamente explotables y es una de las paginas con los sistemas de seguridad y administracion mas malo que he visto.

Compartir/Guardar