Está preparado el gobierno chileno para recibir un ataque de robo de información ?

Ultimamente se han puesto de moda los ataques de “Anonymous”, ataques como tirar un sitio abajo o saturación de servidores, algo bastante simple que no requiere mucho conocimiento y es por esto que mucha gente se ha sumado. Algunos medios los han llamado ‘hackers‘ otros ‘simples aficionados que se descargan un programa, introducen una URL, se coordinan y presionan enter‘. Por suerte del gobierno no se comparan con los ataques originales de Anonymous o LulzSec. Cuando digo “originales” me refiero a esos ataques que han salido a la luz donde divulgan información sobre las cuentas de usuario e información sensible y privada de las empresas, no a unos wannabe.

Según mi opinión, un ataque de denegación de servicio a sitios del gobierno no tiene ningun sentido y no hacen daño ni provocan preocupación, creo que los ataques deberian realizarse hacia “servicios” y no a “sitios”, donde se vean afectados los servicios que los ciudadanos usan y que el gobierno se sienta incapaz de brindarselos. Esto sucede porque no se hace un estudio sobre la víctima, para darle donde más le duele, se puede llamar “ataque organizado” porque se acuerdan una hora y todos presionan el botón ese dia a esa hora, pero no hay una real coordinación donde se investigue un objetivo donde realmente llame la atención, y mientras siga siendo así, seguiran siendo ataques simbólicos.

El gobierno chileno tiene muchas brechas de seguridad informática y de la información, es por esto que me hago la pregunta, ¿Está preparado el gobierno de Chile para recibir un ataque de robo de información?, la respuesta clara es: NO. No está preparado el gobierno, ni las personas, ni los encargados, no existen políticas (y si existen no se cumplen), encargan su seguridad a un simple firewall que solo les sirve para que sus empleados no puedan ingresar a ver youtube. Obviamente no puedo decir que “todas las entidades del gobierno tienen fallos de seguridad”, pero me refiero al gobierno en general.

Desde hace un tiempo que he estado investigando las distintas vulnerabilidades web en sitios del gobierno, intentando reportar la mayoría. En algunos casos no responden, en otros casos no hay forma de contactarlos pero en el mejor de los casos, recibo respuestas y unas satisfactorias gracias.

El gobierno chileno es muy vulnerable a la fuga y robo de información (data leak, data theft).

Fuga de Información o Data Leak
Basta con preparar un dork lo suficientemente bueno que nos permita encontrar URLs indexadas por algún buscador donde podamos acceder a información sensible. Es muy típico acceder a respaldos o dumps de bases de datos, a planillas de calculo o archivos de texto que no deberían ser publicos. Por otro lado tambien está el problema del control de acceso, saber quien y a qué se accedió a los sistemas de manejo de información.

Robo de Información o Data Theft
Asimismo, tambien es vulnerable al robo de información o Data Theft, se han preguntado que tan fácil es ingresar a una organización del gobierno y encontrar información sensible para poder llevarnos? Los mismos empleados publicos tienen la capacidad de insertar un pendrive en sus computadores de trabajo y llevarse información a casa, muchas veces lo hacen inconcientemente, sin saber o sin darse cuenta que estan exponiendo la seguridad de la institución.
Se han preguntado si la información que se da de baja realmente se destruye?
Qué información podemos encontrar en los basureros diariamente? Sería bueno hacer ese ejercicio …
Si a una persona se le pierde el telefono movil o el portatil de la institución, qué información queda expuesta?
Cuanta información sensible manejan las personas sin saber que se tratan de datos sensibles?

Servidores y Servicios
Si hablamos de la seguridad a nivel de servidores y servicios, de 1 a 10 yo pienso que el nivel de seguridad no supera el 5 en la mayoría de los casos: instalaciones y configuraciones por defecto, versiones de sistema operativo antigua, versiones de servicios antiguas (ftp, ssh, http, etc), passwords débiles y genéricas, poca seguridad en cuanto a permisos y propietarios de archivos (se encuentran muchos permisos 777 y como propietario el usuario apache) y por último, culpando nuevamente al usuario, el hecho de que un usuario le entregue su password a otras personas.

Vulnerabilidades Web
Pueden tener el firewall más caro, contratar a la empresa de seguridad con más prestigio, pero cuando una web es vulnerable a ataques que nos permitan acceder al servidor de alguna forma, es dificil de detectar. Muchos sitios web del gobieron son vulnerables a distintos tipos de ataques, desde algunos tan sencillos como los que nos permiten obtener el full path, hasta unas mas complejas que nos permiten, mediante distintas técnicas de ataque, obtener el control del servidor. Las vulnerabilidades tipicas son las inyecciones de SQL (sql injection), XSS (en algunos casos XSS permanentes), Local/Remote File Include, Directory Traversal y, para rematar, Arbitrary File Upload. Hay veces que saltarse los filtros es muy facil, pudiendo combinar distintas vulnerabilidades como “Full Path Disclosure + Arbitrary File Upload + Directory Traversal” para lograr obtener una shell en el servidor. Muchos sistemas carecen de validaciones efectivas para sanitizar o filtrar los parametros que se pasan mediante GET o POST.

El caso del Ministerio del Interior
Hace unas semanas reporté una vulnerabilidad de XSS Permanente en el sitio web del Ministerio del Interior. En algunos casos un XSS podría parecer inofensivo, pero en este caso en particular al tratarse de un XSS permanente, si alguien lo hubiese explotado, perfectamente podria haber accedido a información sensible del ministerio, ya que se encontraba en un sistema donde los usuarios realizan preguntas o peticiones al ministerio, luego las preguntas son recibidas por gente que trabaja en el ministerio mediante una interfáz web. Si inyectabamos un codigo html/javascript en nuestra “pregunta”, se guardaba sin filtrar ni parsear en la base de datos, luego cuando el usuario encargado ingresaba vía web al sistema de administración, el código javascript se le ejecutaba en el navegador, exponiendolo a un ataque que podría haberle robado la sesión o más datos de su computador, enviandolos a un servidor remoto.
Esta vulnerabilidad fue corregida despues de haberla reportada.

El caso de la Dirección General de Movilicación Nacional (DGMN)
La DGMN expone desde el 2007 la base de datos del registro del servicio militar, dejando al descubierto los nombres de los que postularon y fueron llamados, juntos con sus RUT y más información sensible. La DGMN ha sido reportada mediante distintas vias y ninguna ha dado resultado, siguen sin solucionar el problema y hasta el día de hoy la base de datos está expuesta junto con otros datos más.

Si en Chile el grupo “Anonymous” estuviese conformado por hackers con los conocimientos y habilidades suficientes, estoy seguro que podrian poner en aprietos al gobierno.

12 comentarios

  1. Por nombrar y dar un ejemplo de ataque grande a un gobierno y que afecto a sus servicios, fue el ataque que recibió Estonia en el 2007, ya que ese país apostó por una informatización masiva en donde el pagar impuesto, votar en las elecciones, obtener un préstamo bancario, los documentos gubernamentales todo estaba en linea, estos servicios junto a los noticieros en linea fueron interrumpidos por ataques del tipo DDoS sumando a esto los problemas entre Estonia y Rusia, la gente al no tener noticias, al sentirse inseguros, vulnerados empezó a salir a las calles a buscar respuestas, seguridad y al ver que el gobierno perdía el control frente al incidente, entro el caos y la desesperación en la población, lo que conllevo a saqueos a tiendas, desmanes y finalmente al enfrentamiento entre la civiles y fuerzas policiales, este es un ejemplo de lo que realmente busca un ataque a servicios, traer confusión, irritabilidad y posteriormente enfrentamiento entre la gente y el gobierno es por eso que no es un tema menor, no se busca enfrentamiento entre 2 bandos, si no provocar a los integrantes del bando contrario para que actúen y se enfrenten entre ellos mismos.

  2. Hola @_4L3!

    Hay que saber donde, como y cuando atacar, para realmente lograr algo y, obviamente, tener un objetivo claro. Obviamente hacer un “DDoS” solo porque si, para tirar un sitio y que no le afecta a nadie, y que en 2 horas ya vuelve a estar arriba.. no tiene ninguna trascendencia. Es distinto tirar sitios que sean un “servicio publico”, que los usuarios realmente se sientan “amenazados” porque el gobierno no fue capaz de presstarle un servicio … se entiende?

  3. @zerial

    Creo que ningún gobierno esta preparado para un ataque, ya que si lo estuviesen, el atacar no sería posible, ahora lo que me sorprende es que si se reporta un bug, este no sea parchado, ya que cualquier kiddie podría causar un problema y mas de algún dolor de cabeza a dicho servicio. Tambien es cierto que a lo mejor un DDoS no causa tanto problema, sin embargo hoy en día tirar un smurf por ejemplo al sii en plena declaración de impuestos sería algo molesto para los usuarios de este servicio. De todas maneras creo que ningún sistema es 100% seguro, pero esto no quiere decir que si alguien reporta algo, esto va a ser obviado por algún tipo de soberbia. claramente los sysadmin de DGMN, no entienden mucho del tema.

    Saludos y muy buen articulo.

  4. Hola @calegria,

    Que el gobierno este o no preparado, no signifia que sea o no posible, ya que la preparacion corresponde al saber que hacer, como actuar, saber encontrar las fallas … Que tu estes preparado para algo no significa que no se pase, simplemente que sabras como actuar en el caso de.

    Lo que dices el SII es verdad, por eso mimso, como le dije a @_4L3, hay que saber donde, como y cuando atacar…. Tirar abajo el sitio de http://www.mineduc.cl por ejemplo no tiene sentido, quizas tirar el sitio de reonvacion de pases de la junaeb si …

  5. Estimado,

    seria bueno que tambien revise la seguridad que aplica en su blog, ya que veo por ejemplo que su portal de administracion se puede acceder de forma normal

    http://blog.zerial.org/wp-login.php?redirect_to=http%3A%2F%2Fblog.zerial.org%2Fwp-admin%2F&reauth=1

    Lo cual no es una muy buena practica de segurida, le recomiendo que utilice alguna tecnica de proteccion de este path basada en oscuridad lo cual no permita deducir a un atacante la ruta del portal de administracion.

    Otra mala practica de seguridad que observo, es que esta trabajando en el portal de administracion con la cuenta “admin” esto aumenta el riesgo ya que al atcante solamente deberia dedicar esfuerzo el buscar la contraseña

    Otra mala practica que obsevo, es que esta presente en su blog la version de word press con la cual esta trabajando WordPress 3.0, “espero que sea un señuelo para engañar al atacante”

    Otra mala practica que observo, es que tienes el banner del tu webserver habilitado, lo que permite saber que estas trabajando con la version de Apache/2.2.16 (Debian).

    Esto son los humildes comentarios de un usuario con conocimientos informaticos.

    Nota: espero que apliques mis recomendaciones

    Saludos

  6. Hola “visita”

    Todo eso que mencionas son cosas que me tienen sin cuidado

    saludos

  7. Aplica las recomendaciones viste que te pueden ownear.

  8. Creo que “visita” es el mismo de siempre…! xD
    Zerial, creo que siempre es importante dar un buen informe. Pero en este caso creo que es mas importante informar.

  9. Estimados

    owned ¿?… a este sitio¿?….. No se me paso por la mente… creo que no comprenden una critica constructiva….. y NOZ… deja de ser chupa verga.

    Zerial:

    Esperaba una respuesta mas seria de tu parte… pero en fin

    saludos

  10. @visita

    Creo que le di la seriedad que amerita: No mucha.

    Si querias hacer una critica constructiva, pudiste haberlo hecho de otra forma. Tu comentario no tiene relacion con el post, y si quisieras ayudar lo hubieses hecho por correo o quizas por el formulario de contacto.

    Pero es cierto que me tiene sin cuidado, porque no son cosas que arriesgan la seguridad del servidor o del sitio, quizas hay otros agujeros mas importantes que esos y no los has encontrado, yo se que estan ahi … Yo uso este sitio y mi servidor para hacer pruebas de concepto, no me serviria si por ejemplo le pusiera htaccess pasra restringir el acceso al admin.
    No es que no me preocupe, es que no es mi prioridad. Las vulnerabilidades o lo que para algunos pueden ser malas configuraciones, no afectan a todos los sistemas de la misma forma, por ejemplo un XSS en este sitio no tendria el mismo efecto que un XSS en un Banco. Lo mismo, que sepas que version de apache o que distribucion uso, no afecta. Me entiendes?

    Hace años que tengo este sitio y siempre me he preocupado de cosas relacionadas a la seguridad, pero esto que me comentas es irrelevamente. La unica vuln que se ha detectado en este blog es un XSS que el 2009 afecto a WordPress. Entiendes a lo que voy?

    Si tu intension fue “ayudar” o dar una critica constructiva, gracias 🙂

  11. Zerial yo creo que si pasa un ataque serio quedaria la caga como una vez hablamos con el ksha era que pasaba si se atacara el sistema de la tarjeta bip un dia lunes entre las 7 y las 9 de la mañana quedaria la pura caga nomas y la gente se desesperaria… Lo mismo seria con un ataque al sii en un dia de declaracion del iva como decia un socio …. al gobierno en general le falta invertir plata en capacitar a sus trabajadores sobre todos estos temas… es una lastima pero como siempre esperan que pase para darle una solucion..

    Saludos

  12. claramente no esta preparado para nada, es facil entrar en maquinas sacar informacion y mal utilizarla. paralizar los sistemas de informacion, tipo SII, como decia r4c3, queda la pura caga y le da un infarto al * a los “sysadmin” … sin ir mas lejos el ataque a SCADA , por stuxnet o quien sabe quien , que causo el blackout de chile desde la 4-7 region es solo uno de las tantos ataques que puede paralizar el pais …

    a si que a resar a la santa sara , para que no pase nada malo ….

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.