domingo, 22 de enero de 2017

UCO, habéis sacado un 0 en el examen de Seguridad

Si sois lectores habituales del blog, ya sabréis que mi relación con la Universidad de Córdoba, no es muy buena y por esto, quiero demostrar, una vez más, cómo de equivocados están. Usando la ironía, estableceré la nota que la Universidad de Córdoba se lleva en el examen que les "He hecho" sobre su seguridad, nota que es un 0; con lo que van a tener que repetir curso.


Puede que comience con la serie de artículos llamada "Universidades Owneadas", pero si empiezo con esta sección tendría que traeros una Universidades con fallos de seguridad distintos a los que tengan as Universidades con fallos de seguridad que ya haya publicado. Volviendo al 0 de la UCO, lo primero que podemos hacer es recolectar toda la información posible, en nuestro caso, nos va a interesar tratar de obtener direcciones de correo electrónico.


Se  han obtenido más de 50 direcciones de correo de trabajadores de la Universidad de Córdoba. No obstante, he tomado solamente 50 de esas direcciones para tratar de ver cuántos de estos trabajadores están preocupados por su seguridad o el equipo de Informática de la Universidades les ha aconsejado sobre qué hacer y qué no hacer.


Dada la captura anterior, o este trabajador no se preocupa por su seguridad, o el equipo de Informática no le ha dado consejo alguno o las 2 opciones a la vez.


Registrarte en un determinado servicio web con el correo de empresa, no es una buena práctica. Como se ve en la captura anterior, la dirección de correo electrónico anterior ha sido encontrada en las bases de datos hackeadas de Adobe, DropBox y Linkedin. Visto que este trabajador se ha registrado con su cuenta de correo corporativa en sitios cuyas bases de datos han sido hackeadas, decidí comprobar si ocurría lo mismo con 50 de los correos que he obtenido de trabajadores de la Universidad de Córdoba.


De los 50 analizados, 25 aparecían como Pwned y los otros 25 como no Pwned, lo que es exactamente el 50% de hackeados y 50% no hackeados. Que haya 25 direcciones que no hayan sido marcadas como hackeadas, no implica que no hayan sido hackeadas, ya que han podido sufrir un robo de su contraseña por un Phishing, un Keylogger,etc.


De los 25 que sí aparecían como hackeados, decidí ver en qué servicos web se habían registrado con su correo corporativo, y sorprendentemente, la mayoría lo hacía en Dropbox, Linkedin, Adobre, Dropbox y Linkedin o en los 3. Para ilustrar esto mejor, se representarán estos datos en un gráfico.


Como podemos observar, existe una cierta tendencia de registrarse en DropBox y Linkedin, una información que a cualquier atacante le podría ser útil para saber a quiénes enviarle un correo spoofeado con un web de Phishing simulando ser Dropbox, Linkedin o Adobe y así poder robar sus contraseñas.



También podemos comprobrar sus registros DNS  y como vemos, todas las direcciones IP son de clase B, es decir, que la máscara es 255.255.0.0. Y, aunque no lo veáis, solamente las direcciones cuyo comienzo es 130, cumplen con que el segundo octeto es el mismo, lo que implica que pertenecen a la misma red y por tanto, se van a poder conectar entre ellos.


Además, analizando uno de los Juicy Files de la UCO, en el navegador apaecia el siguiente mensaje, con lo que la confianza en ellos, al igual que la nota del examen, sigue descendiendo.


En la cima, ya está con que existen varios documentos ofimáticos públicos, los cuales no se les han limpiado los metadatos, con lo que nos permite ver que, a pesar de que Windows XP se quedó sin soporte hace ya casi 3 años, es el sistema operativo que más usan en la Universidad. Además de mostrar otras direcciones de Correo, el software que usan, las rutas, los usuarios-muchos son su nombre y apellidos, algo bastante útil- y las impresoras.

Si la Universidad no se preocupa de que sus trabajadores cumplan con unas medidas de seguridad básicas ¿Cómo pueden tratar de hacerme creer que se preocupan porque sus alumnos aprendan y sean lo mejores del mundo? Sigo demostrando que las Universidades no tienen por qué ser fuente de conocimiento, es más, ya habéis visto como ni los mismos profesores-en este caso de la Universidad de Córdoba- no saben ni qué hacer en Internet, no se enteran y difícilmente sepan explicar los temarios.

¿Hackeamos el Mundo?

P.D: Estos son los árboles he he ayudado a plantar hasta ahora.


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...