Sitios web del gobierno colombiano están siendo hackeados en este momento,

Bueno, supongo que esto en un par de horas desaparecerá pero estuve dando vueltas por un foro de seguridad pidiendo ayuda para identificar unos atacantes que me habían hackeado algunas webs, y corregir la vulnerabilidad que les permitió hacer cambios no autorizados.
Una vez identificamos a los atacantes, pregunto que si se puede hacer algo con respecto a ellos como denunciarlos, y me sorprendí cuando me responden: en un país como el tuyo donde hasta la web de la división de delitos informáticos es hackeada fácilmente, dudo que hagan algo. Y me dejaron este link antes de echarme del chat.

http://blog.sucuri.net/2010/02/colombia-government-sites-hacked-and.html

Si, fue posteado hoy y si miran justo en este momento los archivos aún existen.
 
Haz clic para expandir...
Para no hacer tantos quotes de las barbaridades que dicen aqui...

1) SI existen iniciativas de investigacion en seguridad informatica, pero aun estan poco desarrolladas, uno de ellos son el CSIRT colombiano.

2)Es una pena que tengan tan pesimas practicas de programacion :muerto::muerto:...lo cual permite inyeccion de codigo a traves de insercion remota de archivos RFI. Aunque esto no es nuevo en sitios webs publicos..no solo del estado

3) Ya se le habia avisado a los Webmasters a principios de año y no dijeron nada...tal ves si sea un Honeypot, o sean muy descuidados. Ambos sitios se encuentran en la misma IP

4) Revise solo un poco el sitio y encontre accesible el archivo robots.txt. listando directorios criticos que no deberian estar expuestos.

5) el ftp no es anonimo...ahi no se puede hacer nada a menos que se utilize algun tipo de bruter..

salu2...y cuidado con lo que le hacen a esos sitios...depronto se encuentren con algun administrador con las hormonas alborotadas y que luego les comienze a fregar la vida :bandido:
 
Mariohades dijo:
Para no hacer tantos quotes de las barbaridades que dicen aqui...

1) SI existen iniciativas de investigacion en seguridad informatica, pero aun estan poco desarrolladas, uno de ellos son el CSIRT colombiano.

2)Es una pena que tengan tan pesimas practicas de programacion :muerto::muerto:...lo cual permite inyeccion de codigo a traves de insercion remota de archivos RFI. Aunque esto no es nuevo en sitios webs publicos..no solo del estado

3) Ya se le habia avisado a los Webmasters a principios de año y no dijeron nada...tal ves si sea un Honeypot, o sean muy descuidados. Ambos sitios se encuentran en la misma IP

4) Revise solo un poco el sitio y encontre accesible el archivo robots.txt. listando directorios criticos que no deberian estar expuestos.

5) el ftp no es anonimo...ahi no se puede hacer nada a menos que se utilize algun tipo de bruter..

salu2...y cuidado con lo que le hacen a esos sitios...depronto se encuentren con algun administrador con las hormonas alborotadas y que luego les comienze a fregar la vida :bandido:
Haz clic para expandir...

Pues viejito... creo que estas un poco perdido..

1. NO se esta hablando de la falta de iniciativas de investigacion en seguridad informatica en colombia, se esta hablando de la PESIMA implementacion que hace la policia nacional en las paginas anteriormente mencionadas.

2. El problema no se deriva de las pésimas practicas en programación del sitio, el problema se deriva de la utilización de versiones sin soporte de:
* Servidor Web​
* PHP​
* CMS​
Instalados en el sitio, un buen webmaster tendria como politica actualizar periodicamente el software sobre el que corren sus webs y asegurar el sistema sobre el que corren.
Una simple busqueda te daria mucha informacion con la cual comenzar a atacar http://osvdb.org/vendor/4358-joomla/1

3. El robots.txt que se encuentra en el sitio es el estandar de Joomla, No veo nada fuera de lo normal en dicho archivo.

4. Ps.. la verdad... hay varias vulnerabilidades conocidas en FTP que se podrian utilizar para realizar el tipo de ataques que se mostraron en el blog mencionado, con lo que tenemos al menos 3 vectores de ataque
* El joomla que se uso para construir el sitio.
* El FTP
* El webserver y el php outdated​
(4 si contamos con que el servidor SSH del sitio es una version con mas de 2 anyos de haber sido liberada y que, del mismo hay por lo menos 9 actualizaciones de seguridad y nuevas releases que no se han aplicado al mismo)
 
Chiche-0_o dijo:
Pues viejito... creo que estas un poco perdido..

1. NO se esta hablando de la falta de iniciativas de investigacion en seguridad informatica en colombia, se esta hablando de la PESIMA implementacion que hace la policia nacional en las paginas anteriormente mencionadas.

2. El problema no se deriva de las pésimas practicas en programación del sitio, el problema se deriva de la utilización de versiones sin soporte de:
* Servidor Web​
* PHP​
* CMS​
Instalados en el sitio, un buen webmaster tendria como politica actualizar periodicamente el software sobre el que corren sus webs y asegurar el sistema sobre el que corren.
Una simple busqueda te daria mucha informacion con la cual comenzar a atacar http://osvdb.org/vendor/4358-joomla/1

3. El robots.txt que se encuentra en el sitio es el estandar de Joomla, No veo nada fuera de lo normal en dicho archivo.

4. Ps.. la verdad... hay varias vulnerabilidades conocidas en FTP que se podrian utilizar para realizar el tipo de ataques que se mostraron en el blog mencionado, con lo que tenemos al menos 3 vectores de ataque
* El joomla que se uso para construir el sitio.
* El FTP
* El webserver y el php outdated​
(4 si contamos con que el servidor SSH del sitio es una version con mas de 2 anyos de haber sido liberada y que, del mismo hay por lo menos 9 actualizaciones de seguridad y nuevas releases que no se han aplicado al mismo)
Haz clic para expandir...

el que esta perdido es otro...

1)Las iniciativas de seguridad se DEBERIAN reflejar en cambios en las politicas de seguridad de los sitios webs mas importante siendo del gobierno

2)Yo se que joomla es un coladero en lo referente a seguridad...yo estaba hablando de RFI, mejor averigua bien de que trata eso ;)

3)Como se ve que no sabes lo que dices...en ese archivo hay fuga de informacion.

4)Ese SSH si que es un agujerote...
 
pues los que saben deberian explicar paso a paso
cual es el problema y como se soluciona el problema
y enviarselo de chevere desde laneros a TODOS LOS MEDIOS del pais. y ahi si pasa algo.

algo asi como un comunicado oficial de laneros a los medios.

no seria nada malo tambien si se averiguan quien fue el que se dejo hackear,
a quien le dieron el contrato, a quien la auditoria, y cuanto estan cobrando por esa "seguridad".
y toda esa info la hicieran muy publica, por ejemplo cambiarles el home, publicar toda la info del contrato y ponerles un link hacia este foro!!
 
lagarworks dijo:
pues los que saben deberian explicar paso a paso
cual es el problema y como se soluciona el problema
y enviarselo de chevere desde laneros a TODOS LOS MEDIOS del pais. y ahi si pasa algo.

algo asi como un comunicado oficial de laneros a los medios.

no seria nada malo tambien si se averiguan quien fue el que se dejo hackear,
a quien le dieron el contrato, a quien la auditoria, y cuanto estan cobrando por esa "seguridad".
y toda esa info la hicieran muy publica, por ejemplo cambiarles el home, publicar toda la info del contrato y ponerles un link hacia este foro!!
Haz clic para expandir...

es que la ley 1273 pues aunque con fallas y todo, aun puede fregar al que haga eso ;)
 
Pues, si vamos a volvernos un poquito tecnicos...
Los ataques de Inclusion Remota de Ficheros, son viejos conocidos en el mundo de la seguridad informatica, se aprovechan de problemas de validacion a la hora de incluir archivos mediante variables en sitios web.

El 90% de estos ataques se podrian evitar si se configura correctamente el servidor web, por ej:

* Desactivar ciertas funciones peligrosas en PHP
* Implementar un Firewall para Aplicaciones Web
* Agregar el usuario que corre apache a "cron.deny"

En el sitio web en cuestion, el gobierno colombiano no ha programado absolutamente nada, no ha agregado una sola linea de codigo, simplemente se dedico a instalar joomla y agregar una plantilla.

Dentro de mi experiencia personal, un webmaster no solo debe estar pendiente de actualizar contenido, tambien debe estar pendiente de actualizar la plataforma (CMS) y el Sistema Operativo sobre el que corre, eso sin olvidar que debe existir una politica de seguridad, tanto en el montaje, como en la administracion de la plataforma.

Ahi es donde yo encuentro ineficiente o inexistente la gestion que ha hecho la policia nacional de estos sitios, y me parece un agravante el hecho que sea este precisamente el organismo insignia en la lucha contra los delitos informaticos en nuestro pais.
 
les coy a contar una historia de cuando yo era hackersillo

yo ayudaba a la red contra tafico de animales silvestres por cuestiones de mi carrera y fui a dar a las oficinas de delitos informaticos del DAS, y estuve dando vueltas por ahi acompañado de un teniente, les estoy hablando de hace 5 años, el problema de esa parte del DAS es que nunca tienen continuidad con la gente, es decir, los que estan ahi los pueden localizar en otro puesto muy rapido, y estuve hablando con los que estaban en ese grupo en ese tiempo, cuando supieron que era yo, osea perro manson, les di una pequeña charla, todos sacaron cuaderno.. jeje, y les dije que internet explorer era un browser con muchos huecos, que era mejor usar firefox, y no sabian que existia firefox.. ahi me di cuenta de muchas cosas.. luego estuve colaborandoles con otras cosas (reserva del sumario), pero a los 15 dias habian cambiado al teniente encargado y a 3 de los 6 oficiales que estaban a cargo, (que por cierto eran policias recien graduados).

total, la ignorancia es la que mata, no puedo decir que en este momento sean asi de mal preparados, pero ahi tienen la muestra, no lo están.

SUeter

Perro Manson
 
JuanK_solocodigo dijo:
Estoe s el colmo!!!!
ese sitio de delitos informaticos tiene hasta abierto el puerto ftp estandard!!!

jajajaja

con eso ya se los comen todas las veces que quieran.
...
Tras de todo sistema operativo Linux...
Haz clic para expandir...
Sr. solocodigo... podria ser tan amable de ampliar sus comentarios referente a lo sgte...

¿Que pasa que tengan abierto el puerto ftp estandard?...
a que se refiere ud (ataque o vulnerabilidad) cuando dice que con eso se lo comen todas las veces que quieran?...
¿a que se refiere ud cuando dice q tras de todo sistema operativo linux?.. (sono fanboy ese comentario).

Perro_Manson dijo:
les coy a contar una historia de cuando yo era hackersillo
...
cuando supieron que era yo, osea perro manson
...
Haz clic para expandir...
Que pena no conocer el jetset.... ¿Pero quien es perro manson?... googleando un poco no encuentro referencias... ¿algun paper publicado?... ¿desarrollos?... ¿vulnerabilidades encontradas?

Saludos.
 
the0 dijo:
Sr. solocodigo... podria ser tan amable de ampliar sus comentarios referente a lo sgte...

¿Que pasa que tengan abierto el puerto ftp estandard?...
Haz clic para expandir...

A ver don 0:

http://www.suite101.com/article.cfm/internet_security/40054
http://www.vulnerabilityscanning.com/FTP-Security.htm
http://publib.boulder.ibm.com/infoc...sp?topic=/rzaj4/rzaj4rzaj45zpftpsolutions.htm

en fin:
http://tinyurl.com/ylkwdzc
http://tinyurl.com/yg35r5s

:cansado:
the0 dijo:
a que se refiere ud (ataque o vulnerabilidad) cuando dice que con eso se lo comen todas las veces que quieran?...
Haz clic para expandir...

se refiere a que no hace falta ser un hacker experto para tirarseles lo que tengan en el web server y siguiendo el patron de pesimas practicas no me extrañaría que ese servidor tuviera acceso a muchas otras cosas de esa red incluyendo informacion confidencial, lo que presupone una falta de seguridad mayor.
the0 dijo:
¿a que se refiere ud cuando dice q tras de todo sistema operativo linux?.. (sono fanboy ese comentario).
Haz clic para expandir...
a lo obvio, las personas que vendieron o montaron o mantienen esa aplicacion hacen parte del club de newbies que creen que linux es más seguro... cuando la realidad es que ningun sistema es seguro o inseguro por si mismo, para que sea seguro se requiere un buen administrador de la IT que sepa lo que hace, para que sea inseguro solo hace falta ser ingenuo... lol suficientemente ingenuo como para creer que linux es por si solo seguro o más seguro que windows... ese es el porblema de la desinformación circundante en la red.
 
Wtf!!

the0 dijo:
Sr. solocodigo... podria ser tan amable de ampliar sus comentarios referente a lo sgte...

¿Que pasa que tengan abierto el puerto ftp estandard?...
a que se refiere ud (ataque o vulnerabilidad) cuando dice que con eso se lo comen todas las veces que quieran?...
¿a que se refiere ud cuando dice q tras de todo sistema operativo linux?.. (sono fanboy ese comentario).
.
Haz clic para expandir...

Definitivamente la ignorancia es atrevida, puede ser que el Webmaster al creer que por ser el Dios Pingüino es intocable... que barbaridad, a quien contrato la Ponal para hacer ese estupido site con Joomla o a caso fueron los mismos Tombos que hicieron ese "Chiste" de site >D:p:p:p.

Que vergüenza para Colombia que la pagina de delitos informáticos de la ponal haya recibido una intrusión de este tipo, lo bueno es q no paso a mayores terminos solo la inclusion de un archivo con la firma del intruso. Pero quien sabe... se puede robar informacion muy importante...
Quien sigue el DAS, el ministerio de defensa, investigare.....:muerto:.}] .

the0 dijo:
Que pena no conocer el jetset.... ¿Pero quien es perro manson?... googleando un poco no encuentro referencias... ¿algun paper publicado?... ¿desarrollos?... ¿vulnerabilidades encontradas?

Saludos.
Haz clic para expandir...

:pQuien es perro manson?... Mijo tampoco encontre referencias suyas que sustente lo que afirma!!!! }]
 
nada... yo era bueno.. ahora soy mejor jejej

no mentiras... yo me dedicaba a "testear" las sites del gobierno por alla en los 98-99s pero ya no me dedico a esos menesteres.. mucho voltaje

sueter

Perro Manson
 
JuanK_solocodigo dijo:
A ver don 0:

http://www.suite101.com/article.cfm/internet_security/40054
http://www.vulnerabilityscanning.com/FTP-Security.htm
http://publib.boulder.ibm.com/infoc...sp?topic=/rzaj4/rzaj4rzaj45zpftpsolutions.htm

en fin:
http://tinyurl.com/ylkwdzc
http://tinyurl.com/yg35r5s

:cansado:
Haz clic para expandir...

Don solomeseuncodigo... gracias por los links.. aunque parte de lo que dice ahi ya lo sabia... pense que me iba a salir con algo nuevo. Tener el servicio de FTP abierto no significa que es un agujeroooo de seguridad!... ud puede mantener actualizado el servicio y usar TLS/SSL para contrarrestar el tema del envio de password y data en texto claro o sin cifrar.... y algunas otras maniobras mas para asegurar un poco mas el ambiente... asi que no veo porq el escándalo... no voy a meter las manos al fuego por nadie... pero es posible (puede q sea muy optimista) que el servicio este mas seguro de lo q parece.

Perro_Manson dijo:
la gente ya no respeta la edad... :S
Haz clic para expandir...
jajajaja... que pena abuelo. :p

xcodered dijo:
Definitivamente la ignorancia es atrevida....
Haz clic para expandir...
A quien va dirigido su mensaje?... no se porq hay tanto windozero q se siente atacado sin q nadie les diga nada!... escuchan hablar de Linux y se sienten tocados... q pena :cansado:

Cualquiera pudo haber instalado ese server... pudo haber pensado q iba a estar lo mas seguro como también q no... eso si, seguramente lo instalo alguien q no tiene mucha idea del tema

xcodered dijo:
:pQuien es perro manson?... Mijo tampoco encontre referencias suyas que sustente lo que afirma!!!! }]
Haz clic para expandir...
Bueno... y yo que estoy afirmando?... delirios de persecución o que?... jajaja tranquilo mijo vaya a la camita.
 
the0 dijo:
Don solomeseuncodigo... gracias por los links.. aunque parte de lo que dice ahi ya lo sabia... pense que me iba a salir con algo nuevo. Tener el servicio de FTP abierto no significa que es un agujeroooo de seguridad!... ud puede mantener actualizado el servicio y usar TLS/SSL para contrarrestar el tema del envio de password y data en texto claro o sin cifrar.... y algunas otras maniobras mas para asegurar un poco mas el ambiente... asi que no veo porq el escándalo... no voy a meter las manos al fuego por nadie... pero es posible (puede q sea muy optimista) que el servicio este mas seguro de lo q parece.
Haz clic para expandir...
Primero que nada respete un poco, si la unica forma de defenderse de la rabia que le dan mis argumentos es insultarme... pues ya queda muy claro quien hace de tonto y quien no.
--
Interesante, siquiera tubo como 1 semana para documentarse y ahora venir a decir aca que ya lo sabia... cuando era evidente que no tenia ni p! idea..

usted es muy chistoso.

a parte de todo cree que con lo que acaba de decir sustenta su falsa hipótesis de que tener un un ftp abierto no es una falla de seguridad...

mire a ver si coje mas experiencia o si lee mas antes de opinar

Claro que tener el FTP abierto es una falla de seguridad y de hecho el tema de transferencia de información sin cifrar es critico pero no es ni la punta del iceberg de los problemas derivados de exponer un servicio FTP:



Pero depende del contexto, no es lo mismo tener el ftp abierto en su casa que tenerlo en este escenario donde claramente hay multiples falencias:

  1. El servicio FTP abierto y publicado en el propio web server
  2. Abierto en el puerto 21 standard y a la orden
  3. abierto en una máquina donde no hay actualizaciones hace tiempo
  4. abierto en un servidor que se supone es la fachada de una entidad dedicada a la seguridad informática


Tampoco quiere decir que no se peudan montar servidores FTP, claro que si pero dependiendo del contexto se deben contar con diferentes niveles de seguridad minimos, lo cual como se ha demostrado ampliamente en este hilo , en el caso de las instituciones gubernamentales dedicadas a la seguridad informatica...
estan pesimamente mal montados y por varios lados diferentes, incluyendo el FTP se los comen vivitos.
 
JuanK_solocodigo dijo:
Primero que nada respete un poco, si la unica forma de defenderse de la rabia que le dan mis argumentos es insultarme... pues ya queda muy claro quien hace de tonto y quien no.
--
Interesante, siquiera tubo como 1 semana para documentarse y ahora venir a decir aca que ya lo sabia... cuando era evidente que no tenia ni p! idea..

usted es muy chistoso.

a parte de todo cree que con lo que acaba de decir sustenta su falsa hipótesis de que tener un un ftp abierto no es una falla de seguridad...

mire a ver si coje mas experiencia o si lee mas antes de opinar

Claro que tener el FTP abierto es una falla de seguridad y de hecho el tema de transferencia de información sin cifrar es critico pero no es ni la punta del iceberg de los problemas derivados de exponer un servicio FTP:



Pero depende del contexto, no es lo mismo tener el ftp abierto en su casa que tenerlo en este escenario donde claramente hay multiples falencias:

  1. El servicio FTP abierto y publicado en el propio web server
  2. Abierto en el puerto 21 standard y a la orden
  3. abierto en una máquina donde no hay actualizaciones hace tiempo
  4. abierto en un servidor que se supone es la fachada de una entidad dedicada a la seguridad informática


Tampoco quiere decir que no se peudan montar servidores FTP, claro que si pero dependiendo del contexto se deben contar con diferentes niveles de seguridad minimos, lo cual como se ha demostrado ampliamente en este hilo , en el caso de las instituciones gubernamentales dedicadas a la seguridad informatica...
estan pesimamente mal montados y por varios lados diferentes, incluyendo el FTP se los comen vivitos.
Haz clic para expandir...
Oiga sea serio... si pide respeto empiece ud por eso!... el tonto es ud... o no sabe quien empezó insultándome de la nada... porque mi pregunta inicial fue muy cordial... no sea pendejo.

Salio con el cuento de Don 0 y ahora vuelve y me agrede diciendo q no tengo ni pu!ta idea de lo q hablo... y q no tengo experiencia... cuando ni me conoce ni sabe donde trabajo y a que me dedico.

Sinceramente ud parece un niño.. oiga sea maduro en sus comentarios... le falta mucho don de gente... conecte primero su cabeza con las manos antes de escribir.

Termino mi participación en esta charla para no darle de comer mas al troll.
 
the0 dijo:
Termino mi participación en esta charla para no darle de comer mas al troll.
Haz clic para expandir...

Favor que nos hace:

the0 dijo:
Sr. solocodigo...
Haz clic para expandir...
JuanK_solocodigo dijo:
A ver don 0:
Haz clic para expandir...
the0 dijo:
Don solomeseuncodigo...
Haz clic para expandir...
JuanK_solocodigo dijo:
Primero que nada respete un poco, si la unica forma de defenderse de la rabia que le dan mis argumentos es insultarme... pues ya queda muy claro quien hace de tonto y quien no.
Haz clic para expandir...
the0 dijo:
... el tonto es ud... o no sabe quien empezó insultándome de la nada... porque mi pregunta inicial fue muy cordial... no sea pendejo. ...
diciendo q no tengo ni pu!ta idea de lo q hablo...
Haz clic para expandir...


whistling.gif


sleep.gif
 

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás