Etiquetagobierno

Nueva Forma de Marcar: Análisis a la aplicación publicada por el gobierno

mobapp_android

En Chile se está cambiando la forma de marcar a los celulares y para esto, la Subsecretaría de Telecomunicaciones tuvo la iniciativa de lanzar una aplicación para los dispositivos móviles que facilitara la actualización de la agenda.  Esta aplicación fue encargada a la empresa de desarrollo Cursor S.A.

Los primeros comentarios de quienes empezaron a instalar la aplicación, hacian referencia a la cantidad de permisos que requería para ser instalada y utilizada.

permisos_app

Entonces nos preguntamos: Una aplicación tan simple como actualizar tus contactos para que requiere tantos privilegios? Rapidamente uno podría pensar lo siguiente…

  • Identity: ???
  • Contacts: Ok, obviamente necesita acceder a mis contactos para poder modificarlos.
  • Location: ???
  • Photos/Media/Files: La aplicación tiene la opción de respaldar los contactos. Me imagino que este privilegio es requerido por esa funcionalidad.
  • Wi-Fi connection information: Para enviar los contactos respaldados ???

Entonces empezaron las sospechas …

Seguir leyendo

Atacando sistemas legacy: FONASA y SAG

gobcl-data-leak

Los sistemas legado o legacy siempre son un dolor de cabeza, más aún cuando se trata de seguridad. Por lo general, este tipo de sistemas fueron desarrollados hace más de 5 años y no Sitienen ningún tipo de soporte. El problema es que los siguen utilizando, incluso para el manejo de información sensible y confidencial. Cuando estos sistemas estan publicados en internet, sin ningun tipo de protección ni filtro, el riesgo de sufrir un ataque es aún mayor.
Utilizando simplemente los motores de búsqueda, en chile se pueden enumerar cientos de sistemas legacy a nivel de gobierno, incluso algunos que ya han sido intervenidos y los encargados no se han dado cuenta. Una mala práctica muy común es restaurar los sistemas y bases de datos una vez que fueron intervenidos y “hackeados“, pero no se realiza ningún tipo de análisis de intrusión para determinar el impacto del ataque; simplemente los restauran. ¿Cual es el problema? Que los restauran con los mismos bugs incluso con el mismo backdoor que se utilizo para el ataque.

Seguir leyendo

Los detalles de las vulnerabilidades del software gubernamental SGS

gobierno-transparente-nuevo-01

Con el fin de cumplir con la Ley 20.285 mas conocida como Ley de Transparencia, el gobierno desarrolló un sistema web el cual debía ser implementado por distintas instituciones del gobierno. El sistema es conocido como Sistema de Gestión de Solicitudes o mas bien SGS y dentro de las instituciones que lo utilizan esta el Servicio Nacional de la Mujer, Ministerio de Transporte, Ministerio Secretaría General de la Repulica, Ministerio de Justicia, DIPRES, Secretaría General de Gobierno, Fonasa, entre otros.

De acuerdo a lo descrito en el sitio web del sistema: Fue diseñado para que los órganos y servicios de la Administración Central del Estado dispongan de una herramienta para gestionar y controlar adecuadamente los procedimientos de recepción, derivación y respuesta de las solicitudes de acceso a la información.

En el post pasado di a conocer que este sistema era vulnerable a distintos tipos de ataques, pero no entregué detalles al respecto. En el primer aviso que envié a los responsables les solicité que les avisaran a todas las instituciones publicas que utilizaban este sistema para que estuvieran al tanto de los agujeros de seguridad y para que puedan tomar sus propias medidas de seguridad mientras el software SGS se parchaba, luego en una reunión que tuve de forma presencial con ellos (interior+segpres) tambien les mencioné lo mismo y finalmente tambien se lo mencioné a una persona encargada de la Unidad de Modernización y Gobierno Digital. Nadie le tomo el peso al asunto y no se les avisó, por lo tanto decidí publicar que el sistema era vulnerable; aunque sin mencionar los detalles ya que me había comprometido a darles tiempo antes de publicar cada vulnerabilidad detectada.

Bueno, horas despues de haber hecho publico, los responsables enviaron un comunicado a las instituciones publicas indicando que temporalmente el sistema sería dado de baja y dentro de los próximos dias iban a comunicar los pasos a seguir para una solución definitiva. Un par de dias despues enviaron otro comunicado indicando que el sistema fue dado de baja de manera permanente y que en un par de meses ibana disponibilizar otro sistema bajo otra modalidad: As A Service, es decir, un servidor centralizado, administrado por ellos, donde cada institución tendrá su “espacio“. Claramente esto no soluciona las vulnerabilidades, simplemente las “esconde”. El código fuente dejará de estar disponible bajo Software Público, es decir, nadie lo podrá descargar y analizar.

Los responsables del SGS tuvieron acceso al texto que leeran a continuación hace un par de semanas, sin embargo, tenian conocimiento de estas y otras vulnerabilidades desde Junio del 2014, ya que se les notificó.

 

Seguir leyendo

Chile: Vulnerabilidad en software gubernamental expone a decenas de instituciones publicas

gobierno transparente nuevo-01

Con el fin de cumplir con la Ley de Transparencia, las instituciones publicas deben disponer de un sistema que permita a los ciudadanos a solicitar información publica. Algunas instituciones optaron por el desarrollo propio de un sistema que permita gestionar estas solicitudes y otros prefirieron utilizar un software gratuito publicado bajo la licencia de software público y patrocinado por el Ministerio Secretaria General de la Presidencia (minsegpres).

El software desarrollado por el minsegpres tiene una serie de vulnerabilidades de alto impacto que pone en riesgo a las instituciones que lo implementen, sin que tengan conocimiento de ello.

Seguir leyendo

Seguridad del sistema de Servicio de Impuestos Internos (SII): Algo anda mal …

En el post anterior ya vimos cómo el mismo sistema de servicios de impuestos internos (SII) violaba la seguridad de nuestras contraseñas; en este nuevo post comentaré las recomendaciones de seguridad que aparecen publicadas en el sitio web del SII y tambien analizaré el manual de configuracón para la utilización de ingreso mediante certificado digital o firma electrónica.

En este link, pueden ver las Recomendaciones de Seguridad, donde dan los siguientes consejos:

  • Nuestro Servicio sólo envía correos de carácter informativo, no se adjunta ningún link o documento que deba descargar.
  • El Servicio nunca solicitará respuesta a los correos electrónicos.
  • Nunca se solicitará datos personales, rut ni su clave secreta.
  • Si le solicitan este tipo de información puede estar siendo víctima de un fraude, provocado por un phishing, virus o troyano.
  • Escriba la dirección completa www.sii.cl en su navegador de internet y asegúrese de hacerlo en lugares conocidos.
  • Mantenga su computador actualizado con sus parches y antivirus al día para protegerlo de software malicioso.
  • Si su navegador (Firefox, Explorer, Chrome u otro) le ofrece “volver a recordar clave”, no lo acepte nunca.
  • No permita que otros vean su clave secreta.
  • No ocupe la misma clave del SII para otros sitios en Internet.

Seguir leyendo

Una mirada profunda de la seguridad en los sitios del ejército

Este corresponde al segundo documento relacionado al concurso de investigación en seguridad informática, el documento fue escrito por @D4NB4R y analiza sitios web que corresponden al ejército de chile y de colombia.

El documento comienza con un tipo de crítica a los eventos de tecnología que existen hoy en día

Esta es la investigación de casi 1 año con esfuerzos y mucha lectura, esta era la conferencia
planeada para mostrar en el Campus Party pero desafortunadamente no soy de la White hat
farandulera que van a exponer sus camisetas estampadas, sus portátiles o sus libros para quitarle el
dinerito a los niños que los alaban, así que será para una próxima oportunidad, pasado esto creo que
es hora de publicar el paper, de antemano pido excusas,primero por si encuentran errores de
ortografía o redundancia en párrafos espero entiendan que está escrito tal cual pensaba. También a
las personas que se sientan atacadas o vulneradas tanto de manera verbal como de manera
tecnológica soy consciente que el texto es un poco fuerte y que puede herir susceptibilidades, solo
busco mostrar una realidad y evitar un posible ataque de estos a gran escala.

Los objetivos seleccionados por D4NB4R son

El análisis lo hace sabiendo que no se trata de un pentest o ataque a una panadería o a un sitio de algun cantante,  se trata del ejército.

Seguir leyendo