Empresas colombianas: una vergüenza en seguridad!!
| El lado oscuro de Internet también está en Facebook:click acá!
Quien se identifica con el nick secgnu realizó, en días pasados, lo que él mismo describe como «una prueba de seguridad de un rango de más o menos 1000 direcciones IP colombianas«. Lamentablemente la enorme mayoría se rajó, con notas vergonzosas.
«Para esta práctica utilicé el X-Scan, que es un scanner de puertos y vulnerabilidades que programaron unos hackers chinos, al que, además, se pueden instalar plugins de nesuss con el fin de actualizar las bases de datos del programa. La sorpresa fue que este software lo había utilizado para hacer pruebas de seguridad a direcciones IP españolas, peruanas y ecuatorianas, pero esa noche me dio por usarlo con direcciones de Colombia; la verdad, me llevé una buena sorpresa.
«Las conclusiones generales de este análisis, que realicé entre las 6 PM y la 1 AM del día siguiente, son graves y para analizar:
– «Encontré 25 hosts con el puerto 1433 abierto, perteneciente a servicios SQL.
– «Luego intenté conectarme sin hacer ningún tipo de crack, fuerza bruta o algo por el estilo; sólo indiqué a la instancia de SQL de mi equipo que para cada host instanciado, el usuario era SA (System Administrator) y passwd en blanco.
– «PELIGRO¡¡¡¡¡¡¡¡ de estos 25 hosts 12 validaron la clave del «sa» (Sytem Administrator) en blanco; entré a todas sus bases de datos, llevé a la práctica consultas sencillas (select) y, en general, tenía privilegios de administrador, por lo que podía hacer lo que quisiera.
– «Lo que me llamó la atención es que estos hosts pertenecen a sucursales, en mi cuidad, de empresas conocidas a nivel nacional; empresas en las que usted ha comido y comprado con absoluta seguridad, si está en Colombia.
– «Esto es supergrave, pues la verdad no se necesita de mayor conocimiento para entrar a estas bases de datos. Y esto implica que se puede dañar el trabajo de muchos años.
– «Por otro lado, otra vulnerabilidad menos grave que encontré fueron versiones de sendmail desactualizadas, el mismo programa da las directrices para descargar y compilar el exploit y utilizarlo para violar la seguridad del sendmail, por lo que quedaría fácil a cualquier script kiddie hacer daños en este servicio de correo.
– «También encontré servidores FTP con claves de administrador iguales a los nombres de usuarios, usuarios anónimos sin clave… Esto es grave porque en esos servidores hay información importante para las empresas».
Secgnu termina su nota proponiendo algunas conclusiones y planteando una pregunta:
«Lo primero que debo hacer es contactar al administrador de cada host de vulnerabilidad en SQL, sobre todo para que corrija el problema; sin embargo, en una ocasión anterior me tocó abandonar una cuenta de correo que usé durante toda la vida, ya que la persona a la que envié un correo advirtiéndole de un problema de seguridad que tenía, quiso meterme en problemas e incluso me amenazó DE UNA FORMA NO ÉTICA Y GROSERA, diciéndome que yo había entrado y violado la seguridad de su empresa, mientras que lo que hice fue indicarle que tenía huecos de seguridad graves para que los solucionara. Así que deberé avisar a las empresas sobre sus problemas, escribiéndoles desde un correo anónimo, creo yo, para evitarme problemas.
«Pregunta: ¿Que piensa usted acerca de enviar esas advertencias en forma anónima? Esto, teniendo en cuenta que muchas personas toman este trabajo desde otro punto de vista… ¿o simplemente no les digo nada y que ellos respondan por los huecos de seguridad que tienen? Aunque eso seria poco profesional para las personas que tenemos que ver con seguridad informática.
«Yo ya tomé una decisión: les voy a informar pero desde un correo de Hotmail, o algo que no me meta en problemas por avisar de un hueco de seguridad presente… pero me gustaria conocer su opinión».
Secgnu termina indicando la que para él es la gran conclusión de este experimento que quiso adelantar: «estas situaciones no pueden quedar ahí; hay que avisarles para poder crear la cultura de seguridad informática que hoy es tan escasa, ya que las empresas no creen que puedan ser víctimas de un ataque informático».
Para publicar esta nota, secgnu me ha pedido hacer énfasis en que estas prácticas, es decir, escanear redes ajenas, son como un cuchillo: si son mal usadas pueden cortar a otra persona, pero si se usan bien muchos otros se pueden beneficiar. Quienes las usen mal podrán encontrar huecos y burlar sistemas de seguridad. Para él, este es un llamado de atención a los responsables de la seguridad y, añado yo, de la administración de los sistemas informáticos, buscando que tomen conciencia de esta alarmante situación y protejan adecuadamente sus empresas.
Como comentario final mío, lo hecho por secgnu es hecho por miles de expertos en muchos países (criticado por unos, alabado por otros y hasta sancionable en algunas jurisdicciones, aunque para estos efectos, digo yo, debe demostrarse un daño o que se hayan escaneado redes pertenecientes a sistemas de seguridad nacional u otras por el estilo). Y vale la pena aclarar que, así como él logró encontrar las fallas de seguridad a las que se refiere, hay muchos otros, contados en decenas de miles (si no en centenas de miles) que también estén en capacidad de encontrarlas, con la diferencia de que esos otros no tendrán las buenas intenciones que tenía secgnu.
Así que, mis queridos sysadmins colombianos, o cuidan bien sus redes o se aguantan, en silencio, que cualquiera haga con ellas lo que a bien tenga. Con el agravante de que ustedes (i) seguramente no se darán cuenta de que alguien está accediendo a ellas abusivamente, a menos de que se presente un hecho notorio y grave (una caída de un servicio, pérdida de información, etc.); (ii) si se dan cuenta, no podrán recaudar adecuadamente la evidencia necesaria para judicializar el caso; (iii) si se dan cuenta, temerán ir a la Gerencia de sus compañías por temor a que los culpen por no cumplir su labor eficazmente; (iv) si se dan cuenta y logran recaudar la evidencia, dudarán en acudir a las autoridades, creyendo que todos sus equipos van a ser incautados y que perderán mucho tiempo presentando declaraciones ante la Fiscalía y/o los juzgados competentes…
En fin… si entre los mismos sysadmins no hay cultura de seguridad, qué podemos esperar!!!
La verdad es muy triste que cosas como estas sucedan y además aún existan agujeros de seguridad enormes. Personalmente me he encontrado con cosas absurdas navegando por diferentes páginas que no quiero vulnerar, pero la curiosidad llama…. Ahora este chico hizo un super scan y lo publicó, pero eso no es ninguna hazaña especial porque estos scans los realizan diferentes personas a diario solo por diversión. Un conocido de la red lo hacía porque se divertía explotando vulnerabilidades como el vnc bypass (incluso para morbo de algunos consiguió acceso a los pcs de unas chicas de cali que hacen shows privados por cámara). Hablando de base de datos, 1433 es el puerto de mssql… para eso no hay necesidad de poner el nessus o xscan, solo un nmap a ese puerto y con hydra, re sencillo. Lo malo del mssql es la instancia xp_cmdshell que podría permitir crear un usuario administrador y eso si que es grave (y divertido).
——–
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarPues hombre, si ud envía un correo a un sysadmin informandole de una falla de seguridad y este le responde de manera grosera y ud aun desea ayudar a esa compañia a correjir su problema de seguridad, haga ingenieria social y busque instancias superiores, rescuerde lo que dijo el gran maestro Qui Gon Jin: Siempre hay un pez mas grande.
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarDefinitivamente el problema es cultural.
La mayoría de los profesionales que conozco trabajan sin saber como es que lo deben de hacer correctamente.
La falta de profesionalismo sumado a la falta de preparación y las necesidades de sobresalir$$$ vs el común; causan que la profesión se degenere al tal punto que no les interesa como lo hagan. Se especializan en responzabilizar a los demás «sus equipos de trabajo».
Si exitieran métodos reales (métricas) para saber quien es quien en su papel como trabajador en el área de informática se minimizarían todos estos problemas.
Por esto la consigna debería ser nadie debería ser administrador de infraestructura ó especialista en seguridad hasta que demuestre lo contrario.
Apoyemos las comunidades que sólo buscan profesionalizar a los itpros y mejorarles su nivel de vida y trabajo.
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarLes haces el drop table y ni siquiera sabran que paso… tendran backup??? tendran auditoria??? No creo que ni borrandoles las tablas se den cuenta que tienen problemas de seguridad…. lo mas grave es que si estan en un dominio hasta se podria elevear los permisos de una cuenta y llegar a ser administrador de dominio….
Califica:
-
Me
gusta
0
- No me
gusta
0
Reportarhttp://www.acis.org.co sucks sucks realy sucks!!! solo hay que mirar el primer articulo en la seccion de publicaciones:
Titulo: Inseguridad informática: Un concepto dual en seguridad informática.
Autor: Jeimy J. Cano, Ph.D
en serio, no me gusta hablar asi, pero que asco, y se supone que el senior jeimy cano es el hombre de la seguridad en Colombia… y vean lo que escribe…
http://www.acis.org.co/index.php?id=83
no entiendo como piden seguridad si los «expertos» ni siquera saben de eso, tienen titulos y titulos que no sirven sino para adornar paredes y tramar al ingenuo. son como cissp(s), disque certificados y no dicen sino burradas, o quien a visto un paper REALMENTE interesante escrito por un cissp? la seguridad es un tema realmente interesante, pero lo intrinseco de ella no es para los ingenieros, es para gente con mente creativa cueston casi inexistente en los academicos de la informatica, claro esta, descontando unas cuantas excepciones.
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarRodolfo, gracias por la aclaracion, de todos modos yo lo habia entendido asi, lo que quiero hacer notar, es que los profecionales de la informatica en colombia, especificamente quienes se dedican a la seguridad, tienen muchos baches en cuanto a la interpretacion de esta, y que teorizar al respecto sin siquiera tener unas bases medianamente solidadas, lo unico que hace es enganiar a los inexpertos y al publico en general, pj, en acis hacen congresos de seguridad donde todavia debaten temas como que es un hacker, un cracker, etc, o con titulos como «ingeniera social…»… no vale la pena, hay temas de mucho mas interes y 1000% mas interesantes, pero que los ingenieros por aca nisiquiera saben que existen, por mas phd que sean.
El ruido es bueno para el negocio 🙂
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarJuan, no le estaba diciendo que en acis esta la mejor informacion de seguridad de colombia, simplemente que es una lista de usuarios, muchas veces enfocado mas a la teoria que la practica. Pero lo bueno de este blog, es que se esta generando el ruido para que muchas empresas despierten de suletargo, y comiencen a ver la seguridad desde otro punto de vista… esperemos que los gerentes despierten antes de que se les venga el mundo encima…
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarSi, desafortunadamente muchas empresas se estan cansando de contratar consultores de seguridad solo teoricos, los cuales barren los puertos y entregan un resultado el cual ni siquiera es documentado por el mismo consultor, si no que es hecho por el programa /retina, xscan, nessus, etc/ pero les dejan los huecos, no les dicen como solucionarlos sino que inveztiguen y que ellos ya con ese reporte, solucionaron todo, y por ahi no es la idea, a las empresas toca solucionarles y educarlos en porque deben cerrar ciertas cosas,,,la verdad conozco muchas certificaciones que para mi concepto son muy teoricas, pero como ellos mueven ese mercado, las personas creen que personas con esas certificaciones teoricas, van a solucionar todo…
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarEhhh, pero envianos unas direccioncitas puess pa entrar y hacer
un
DUMP database
O UN DROP DATABASE
haber si se duelen y le invierten a la seguridad y a los sistemas lo que se merecen
Califica:
-
Me
gusta
0
- No me
gusta
0
Reportarno es tan excelente
Califica:
-
Me
gusta
0
- No me
gusta
0
Reportarexcelente el artículo!!!
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarAdicionalmente muchos de los sysadmins y/o oficiales de seguridad (que en muchas empresas ni existen) no tienen unas bases claras de esto, y son contratados a dedo…
en esto estoy de acuerdo con un post dejado en el otro blog de software indoloro por un amigo (Manuel) en el cual dice…copio y pego…Y que opinan de las empresas que siguen contratando personas para dirigir los proyectos de Desarrollo o de TI, que no saben ni donde estan parados. Por que siguen contratando personas que nunca han sabido del medio y solo son personas que atravez de magister de administracion o gerencia de proyectos dictados por personas que ni siquiera han estado en un proyecto real, continuan dirigiendo los departamentos de sistemas, y que cuando ellos se equivocan los que terminan pagando son los pobres desarrolladores y administradores, continua
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarPrimero, como dice Edgar M. Toro, 25 servidores con sql, pues normal y que 12 tengan claves por defecto mas normal aun, eso no es aterrador, pues para alguien que medio se mueva en el medio, el blogger de aca pues a demostrado qeu no mucho, pero bueno, segundo, 1000 direcciones colombianas, si fueron puestas al azar como se entiende, pues tampoco dice nada pq de esas 1000 pongale que cuando mucho 100 sean corporativas, el resto pueden ser perfectamente de usuarios comunes y corrientes, y pues no le pida a un usuario de estos que tenga el sendmail bien configurado o qeu le cambie las claves por defecto al sql que tenga, etc… tercero, escanear vulnerabilidades da mas falsos positivos que verdaderos positivos y con todo y eso lo quiero ver explotando la vulnerabilidad con un explt publico… ni pa que sigo, el post es esteril!
Califica:
-
Me
gusta
0
- No me
gusta
0
Reportarotra cosita, si va a poner datos, qeu tengan respaldo, eso que dice el post perfectamente se lo pudo haber inventado ud, porque su fuente es un tal secgnu… alguien lo conoce?? tiene alguna credibilidad?? EXISTE??
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarEsto no se lo invento el dueño del blog, esto fue publicado en una lista libre de segurinfo de la Asociacion Colombiana De Ingenieros De Sistemas, ACIS http://www.acis.org.co, al cual se puede suscribir cualquiera interesado en la seguridad como profesional.
Lo que si estoy de acuerdo es que se debe usar un nombre verdadero, ya que los nicks no se ven muy claros para algunas personas y generan desconfianza. continua
Califica:
-
Me
gusta
0
- No me
gusta
0
Reportarel problema muchas veces no es solo la mala configuracion de seguridad de muchas empresas, es tambien la no capacitacion de sus sysadmins, y mucho menos de politicas escritas que los usuarios deberian de conocer con normas basicas de seguridad, para muchos gerentes de sistemas lo que les interesa es que funcionen las cosas, no el como, y si deben olvidarse de la seguridad, no es algo importante (segun ellos), ya que la empresa no vive de seguridad informatica ni de redes. Y por esto algunos estan equivocados en algunos post anteriores, deben ver mas alla y no creer como muchos que no existen en Colombia personas generando ataques, cualquiera conoce el rango de direcciones de la mayoria de proveedores de internet, y hacer un barrido en internet hay miles de herramientas. Adiconalmente cuando se encuentra una brecha de seguridad (en especial configuraciones erradas), es muy facil darse cuenta en la base de datos si es una empresa o un usuario casero.
continua
Califica:
-
Me
gusta
0
- No me
gusta
0
Reportaren especial cuando los que dirigen son Administradores de Empresas o Ingenieros Industriales que no tienen el menor conocimiento de como son las cosas, y solo presionando tratan de sacar los proyectos adelante…termino el copy paste…A futuro, solo las empresas que se protegieron y que invirtieron en seguridad y capcitacion sobreviviran debido a el retorno de inversion (ROI) y el costo total de propietad (TCO), el resto continuaran con la perla «SISTEMAS es el departamento mas costoso dela empresa.»
Y que decir de el no auditaje de los cambios en los valores de las bases de datos?
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/profile=ea9074bd-2810-4d32-868a-e09d07ff1244
Bogotá – Colombia
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarBueno, algunos puntos…La verdad la mayoria de empresas no se preocupan por la seguridad, trabajo en esto y es lo que veo en mi dia a dia de consultoria. Es dificil informarle a algunos que tienen huecos de seguridad con un nombre propio cuando uno no ha sido contratado para esto, porque se podrian molestar inmediatamente y tratar de buscar la forma de demandar en vez de gastar el dinero en corregir sus malas practicas de seguridad. Uno no le puede decir a alguien asi de buenas a primera que hizo algunos test de seguridad contra ellos, porque como decian anteriormente en el pasado blog, el Ego de muchos no les deja ver mas alla, y tapan el sol con las manos… continua
Califica:
-
Me
gusta
0
- No me
gusta
0
Reportarcontinuacion… porque creen que ellos nunca van a ser atacados o que todo lo que tienen configurado esta correctamente, ademas de que creen que van a quedar mal con sus jefes inmediatos, fallando en conceptos basicos de seguridad y muchas veces desconociendo como funcionan algunos productos, (hardware, software, sistemas operacionales),continua
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarIgual, si el escanéo fue sobre 1000 direcciones IP (que debe ser una minima fracción del dominio .co), son solo 25 direcciones (2.5%) las que reportan un puerto abierto, que no necesariamente implica un error en seguridad, es posible que alguna aplicación lo utilice, igual, de esas 25, solo 12 (1.25%) reportan el puerto abierto, con el usuario SA habilitado, y con el password en blanco, que si es una vulnerabilidad grave. Pero afirmar que las empresas colombianas son una verquenza en seguridad informática (que empresas son? sucursal en que cuidad?) me parece francamente exagerado. Por que no nombrar las empresas? Hasta ahora, todo puede ser un cuento chino, igual que el hacker de los jeans, walkman y que le gustan las papitas pringles. Al final, otro blog exagerado, y francamente amarillista, y sin ningun tipo de respaldo.
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarSimplemente le recomiendo lo haga atravez de una cuenta de hotmail creada en alguna red abierta, nosea que estos genios sean tan bru*** que decidan iniciar alguna accion legal.
Ya era de esperarze algo asi, aparte de que afortunadamente en Colombia no se maneja un sistema similar al de Social Numbers en USA u otros paises.
Califica:
-
Me
gusta
0
- No me
gusta
0
ReportarCreo que parte del problema de que no tomen a SECGNU en serio (Secure GNU o algo por el estilo?) es que precisamente se esconde detras de un nick …. Por que lo hace? Por que tiene que reportar una falla (potencialmente grave?) de seguridad a través de un anonimo hotmail?. Si SECGNU es tan sapiente, estudiante o profesional de sistemas, deberia escribir una carta (no e-mail) a la empresa, dirigida al SA o al departamento de sistemas, diciendo quien es, presentandose a si mismo como consultor de seguridad, detallando las vulnerabilidades que descubrió y además ofreciendo sus servicios, si lo hizo Kevin Mitnick, por que no él? Es precisamente por postings como este, que la seguridad informatica no se toma en serio … todo esta tras una cortina de anonimato.
Califica:
-
Me
gusta
0
- No me
gusta
0
Reportar