viernes, 3 de junio de 2016

Se moderno y pon en peligro a tus alumnos por no saber hacer lo básico

Que los colegios son unos sitios inseguros, no creo que lo dude nadie, sobre todo después de ver la serie de artículos que dediqué a algunos de ellos. Y es que estaba yo estudiando para los exámenes de Selectividad, de los cuales me examino en unos 10 días, y tenía que entrar en el Moodle que mi instituto y el profesorado del mismo se encarga de dejarnos los apuntes de las lecciones que hemos dado, y fue cuando, ya que estoy más tranquilo por terminar el bachillerato, me percaté de algo que antes, por prisas, estudios y demás no me fije, y es que mi Instituto, el Lope de Vega, no hace autenticación bajo HTTPs a la hora de entrar en el Moodle, entonces, una vez que me percaté de esto, comencé a jugar.


Ya dije lo complicado que es para mi estudiar con la tecnología, y es que esta vez, se volvió a confirmar que yo necesito estudiar con apuntes en papel, y cuanto más lejos tenga el ordenador, mejor, porque siento pasión por la seguridad y uno, no es de piedra.

Y es que en vistas a que mi instituto no se han preocupado por que mis credenciales viajen en tránsito, seguras; decidí abrir el Wireshark y ponerme a la escucha de lo que ocurría por debajo de la conexión; y lo primero que me encontré, fue algo esperado, pues tenían abierto el puerto 80, algo lógico, ya que usan HTTP.



Y como imagináis, también aparecerá el POST del login en el caso en el que me haya autenticado. Esto es algo que no es novedoso para ninguno de vosotros si habéis leído un poco mi blog.




Esto ocurre, como podéis imaginar, ya que al no estar haciendo uso de HSTS, el max-age es igual a 0, es decir, que poniéndonos en el caso de que usase HSTS-cosa que no es así-, al llegar a 0, significa que ha caducado y que no navegarás mediante HTTPs, que es lo que te garantiza, que, al menos en tránsito, tus contraseñas vayan cifradas.



Además, también puedes ver, por ejemplo, cuándo se ha realizado la conexión, cosa que si eres tú el que está espectando lo que ocurre, no puede servir para mucho, pero ahora querido lector, imagina que no eres tú el que está observando, imagina que es otra persona, pues puede saber si sigues conectado o si te conectaste hace una hora, por ejemplo.


Entre todas estas cosas, también se podría ver cuando te expiran las cookies, puedes ver todo lo que quieras, solo hay que mirar.



Hubo además otra cosa que me hizo gracia, y es que en una de las materias, no recuerdo si era Química o Francés, había una foto, la cual yo en un primer momento no vi, ya que yo del Moodle pasé, yo estaba mirando a ver que estaba ocurriendo en WireShark, y al encontrarme con el texto de Guiso de alcachofas con huevo de codorniz, me quedé un poco impresionado, porque creía que me había vuelto loco y que se me había ido y que en vez de ver lo que ocurría por debajo de la conexión con el Moodle del Lope de Vega, creía que estaba mirando la web de Karlos Arguiñano.




El lector más voraz y más avispado, se habrá dado cuenta que esa foto, de procedencia de una web de MSN -no es Messi, Suárez y Neymar, no- verá que la web va en HTTPs, entonces para reafirmar lo antes dicho, y ya que sabemos que Microsoft si usa HSTS, nos vamos a ir a comprobar el max-age.


Como se ve, mi max-age es de 83503 segundos. Así que si por ponernos en el caso de que por lo que sea, voy y me conecto desde la red wifi del Lope de Vega, porque nuestro profesor nos haya dicho que va a subir los apuntes al Moodle y que nos los tenemos que descargar y ya. Si tuviese a un compañero, un poco "bromista", y que sepa del tema, podría tener las contraseñas de toda la gente de la clase, simplemente analizando el tráfico de red, además de poder usar un Delorean para hacer que mi equipo viaje al futuro y mi max-age llegue a 0 para así poder ver mis credenciales y la de todos los alumnos que se conecten a un sitio web que esté usando HTTPs.

Pero esto si lo hace un compañero para "bromear", pero pongámonos en la situación de que esta vez, sea un ciber-criminal, pues los datos de mis compañeros y los de todos mis compañeros, han volado, y si a mayores, hubiésemos sido tan insensatos de reutilizar el mismo usuario y contraseña para, por ejemplo mi cuenta de Paypal, podrían tener acceso también a mi Paypal, y todo por culpa,de no usar HTTPs, además de la insensatez de reutilizar contraseñas claro.

Esto, me entran ganas de decírselo a la Jefa de Estudios cuando se pone modo ogro, por no justificar cuando salimos de clase[nota: yo suelo ser promiscuo a irme de determinadas clases por considerarlas, pérdidas inútiles de tiempo], sí, en una educación POST-OBLIGATORIA, aún tienes que justificar que no has asistido a clases y por qué...y si vives con tus padres, deberán justificarlo ellos, sí, aunque tengas 18 años, muy grandes para hacer exámenes globales de todo libro y si apruebas, apruebas, y si suspendes, pues suspendes, aunque en los demás exámenes tengas de media 20 sobe 10, mas muy pequeños para salir de clase. Bravo.

Después, para defenderse, usa el "imagina que os pasa algo, se nos cae el pelo a los profesores". Pues usando el mismo razonamiento, yo la próxima vez le diré: "oye, justifícame que el Moodle del Instituto es inseguro, pues no va en HTTPs y puede pasar esto y esto y esto, porque...imagina que nos pasa algo y nos roban datos, se os cae el pelo". Ya que yo siempre hago la misma comparación,  y es que si tú tienes un bar, tienes que pasar una inspección de Sanidad, y si no la pasas, pues se cierra tu negocio; pues aquí igual, si no pasas una auditoria, cierras tu web.

Comprendo que cualquiera pueda tener un fallo de seguridad, pues hasta en Apple o Microsoft los tienen, y ellos algo de seguridad sabrán y por normal general, más que un admin del Iesbi o del Lope de Vega y que yo mismo, ahora, el tema es escuchar y arreglar el fallo; y si nos ponemos exigentes para justificar las salidas, nos ponemos exigentes en todo, sobre todo en Internet, que es donde más nos podemos ver afectados.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...