| El lado oscuro de Internet también está en Facebook:click acá!

Quien se identifica con el nick secgnu realizó, en días pasados, lo que él mismo describe como «una prueba de seguridad de un rango de más o menos 1000 direcciones IP colombianas«. Lamentablemente la enorme mayoría se rajó, con notas vergonzosas.

«Para esta práctica utilicé el X-Scan, que es un scanner de puertos y vulnerabilidades que programaron unos hackers chinos, al que, además, se pueden instalar plugins de nesuss con el fin de actualizar las bases de datos del programa. La sorpresa fue que este software lo había utilizado para hacer pruebas de seguridad a direcciones IP españolas, peruanas y ecuatorianas, pero esa noche me dio por usarlo con direcciones de Colombia; la verdad, me llevé una buena sorpresa.

«Las conclusiones generales de este análisis, que realicé entre las 6 PM y la 1 AM del día siguiente, son graves y para analizar:

– «Encontré 25 hosts con el puerto 1433 abierto, perteneciente a servicios SQL.
– «Luego intenté conectarme sin hacer ningún tipo de crack, fuerza bruta o algo por el estilo; sólo indiqué a la instancia de SQL de mi equipo que para cada host instanciado, el usuario era SA (System Administrator) y passwd en blanco.
– «PELIGRO¡¡¡¡¡¡¡¡ de estos 25 hosts 12 validaron la clave del «sa» (Sytem Administrator) en blanco; entré a todas sus bases de datos, llevé a la práctica consultas sencillas (select) y, en general, tenía privilegios de administrador, por lo que podía hacer lo que quisiera.
– «Lo que me llamó la atención es que estos hosts pertenecen a sucursales, en mi cuidad, de empresas conocidas a nivel nacional; empresas en las que usted ha comido y comprado con absoluta seguridad, si está en Colombia.
– «Esto es supergrave, pues la verdad no se necesita de mayor conocimiento para entrar a estas bases de datos. Y esto implica que se puede dañar el trabajo de muchos años.
– «Por otro lado, otra vulnerabilidad menos grave que encontré fueron versiones de sendmail desactualizadas, el mismo programa da las directrices para descargar y compilar el exploit y utilizarlo para violar la seguridad del sendmail, por lo que quedaría fácil a cualquier script kiddie hacer daños en este servicio de correo.
– «También encontré servidores FTP con claves de administrador iguales a los nombres de usuarios, usuarios anónimos sin clave… Esto es grave porque en esos servidores hay información importante para las empresas».


Secgnu termina su nota proponiendo algunas conclusiones y planteando una pregunta:

«Lo primero que debo hacer es contactar al administrador de cada host de vulnerabilidad en SQL, sobre todo para que corrija el problema; sin embargo, en una ocasión anterior me tocó abandonar una cuenta de correo que usé durante toda la vida, ya que la persona a la que envié un correo advirtiéndole de un problema de seguridad que tenía, quiso meterme en problemas e incluso me amenazó DE UNA FORMA NO ÉTICA Y GROSERA, diciéndome que yo había entrado y violado la seguridad de su empresa, mientras que lo que hice fue indicarle que tenía huecos de seguridad graves para que los solucionara. Así que deberé avisar a las empresas sobre sus problemas, escribiéndoles desde un correo anónimo, creo yo, para evitarme problemas.


«Pregunta: ¿Que piensa usted acerca de enviar esas advertencias en forma anónima? Esto, teniendo en cuenta que muchas personas toman este trabajo desde otro punto de vista… ¿o simplemente no les digo nada y que ellos respondan por los huecos de seguridad que tienen? Aunque eso seria poco profesional para las personas que tenemos que ver con seguridad informática.

«Yo ya tomé una decisión: les voy a informar pero desde un correo de Hotmail, o algo que no me meta en problemas por avisar de un hueco de seguridad presente… pero me gustaria conocer su opinión».


Secgnu termina indicando la que para él es la gran conclusión de este experimento que quiso adelantar: «estas situaciones no pueden quedar ahí; hay que avisarles para poder crear la cultura de seguridad informática que hoy es tan escasa, ya que las empresas no creen que puedan ser víctimas de un ataque informático».

Para publicar esta nota, secgnu me ha pedido hacer énfasis en que estas prácticas, es decir, escanear redes ajenas, son como un cuchillo: si son mal usadas pueden cortar a otra persona, pero si se usan bien muchos otros se pueden beneficiar. Quienes las usen mal podrán encontrar huecos y burlar sistemas de seguridad. Para él, este es un llamado de atención a los responsables de la seguridad y, añado yo, de la administración de los sistemas informáticos, buscando que tomen conciencia de esta alarmante situación y protejan adecuadamente sus empresas.

Como comentario final mío, lo hecho por secgnu es hecho por miles de expertos en muchos países (criticado por unos, alabado por otros y hasta sancionable en algunas jurisdicciones, aunque para estos efectos, digo yo, debe demostrarse un daño o que se hayan escaneado redes pertenecientes a sistemas de seguridad nacional u otras por el estilo). Y vale la pena aclarar que, así como él logró encontrar las fallas de seguridad a las que se refiere, hay muchos otros, contados en decenas de miles (si no en centenas de miles) que también estén en capacidad de encontrarlas, con la diferencia de que esos otros no tendrán las buenas intenciones que tenía secgnu.

Así que, mis queridos sysadmins colombianos, o cuidan bien sus redes o se aguantan, en silencio, que cualquiera haga con ellas lo que a bien tenga. Con el agravante de que ustedes (i) seguramente no se darán cuenta de que alguien está accediendo a ellas abusivamente, a menos de que se presente un hecho notorio y grave (una caída de un servicio, pérdida de información, etc.); (ii) si se dan cuenta, no podrán recaudar adecuadamente la evidencia necesaria para judicializar el caso; (iii) si se dan cuenta, temerán ir a la Gerencia de sus compañías por temor a que los culpen por no cumplir su labor eficazmente; (iv) si se dan cuenta y logran recaudar la evidencia, dudarán en acudir a las autoridades, creyendo que todos sus equipos van a ser incautados y que perderán mucho tiempo presentando declaraciones ante la Fiscalía y/o los juzgados competentes…

En fin… si entre los mismos sysadmins no hay cultura de seguridad, qué podemos esperar!!!