sábado, 2 de febrero de 2019

La Universidad de Valladolid y el hacking

Ayer ya comenté las noticias del mes de enero, y entre esas noticias comenté que la Universidad de Valladolid fue "hackeada" por una persona (ahora catalogaré de hacker o de cibercriminal) y que accedió a datos de alumnos Erasmus. Hubo un poco de polémica, como siempre, y eso es lo que vengo a comentar además de una reflexión.


Voy a definir ya a la persona que realizó el ataque. Un hacker (no cibercriminal) accedió a datos académicos de alumnos Erasmus de la Universidad de Valladolid, por lo que datos como sus nombres, direcciones de correo, números de cuenta bancaria, edad,etc fueron expuestos. Pero analicemos esto un poco más.



Esto lo contaba el diario "El Confidencial" y capturas como la anterior sale en el artículo de prensa demostrando que el hackeo fue real. El hackeo consistió en acceder a estos datos y publicarlo en un servicio de Bug Bounty para demostrar que el hacker es capaz de obtener esos datos y que es capaz de hackear sitios. El hacker vería que la Universidad no actuaba para solucionar esto y actuó de nuevo él.

El hacker decidió reportar este fallo a la prensa, para que así con la publicación de la noticia, la Universidad actuase. El lío empieza aquí, cuando la Universidad de Valladolid publicó un comunicado  con lo sucedido. Vamos a analizarlo poco a poco.


Entre el comunicado, elaboraron una serie de puntos en las que decían cómo estaban actuando, y sinceramente, me parece que es la típica excusa para aparentar que se está haciendo algo. Queda muy bien hacer referencia al Esquema Nacional de Seguridad para resolver el problema, cuando el mismo Esquema Nacional de Seguridad te dice qué hacer antes de tener un problema como este, por ejemplo controlar los accesos de tus sistemas.



Ojo, que todos podemos vernos afectados por fallos de seguridad en algún momento, eso se entiende, pero al menos hacer lo básico. Yo para testear he mirado algo tan sencillo como probar dorks y he encontrado cosas interesantes.


Yo he probado con Exámenes, y los he encontrado.

Esto me hace pensar que si tan fácil puede llegar a ser obtener exámenes de la Universidad de Valladolid, obtener información de usuarios que se encuentre en pdfs no debería ser mucho más complicado, por lo que posiblemente no haga falta ni romper medidas de seguridad.

Con esto también reflexiono en si realmente se está realizando control de acceso, ya que considero básico que, no sé, para acceder a este recurso, al menos te pares a configurar los permisos de esta carpeta para que solamente accedan los alumnos de esa clase dentro de la red wifi de la Universidad o de la VPN de la misma. No sé, algo así para que si eres una persona externa, no puedas verlo. Permisos como estos.

rwxrwx---

Así de simple. Este sería para mí el nivel más bajo y simple para preocuparse de la seguridad de los usuarios, pero si ni siquiera se ha hecho esto, entonces ¿Qué preocupación por los usuarios y qué cultura de la seguridad hay en la UVA?

Después se tendrían que hacer más cosas por supuesto, pero con esto ya limitarías mucho a los atacantes y harías que no fuese tan fácil. 

Imaginemos que lo que ha hecho el atacante es, simplemente, encontrar la dork que permitiese llegar a esa información y ha publicado dicha dork en Google Hacking Database.


Hay muchos usuarios que comparten las dorks, cosa que es bien distinta a dar acceso a los datos. Compartir un enlace o una palabras clave para buscar en Internet no es ser un delincuente. Compartir no es ilegal.

Esto es lo que me hace llamar a esa persona "hacker" en lugar de "cibercriminal". Además, el propio periódico dice que después esta persona reportó el fallo para que se solucionase y quedase constancia. Pero ya no solamente eso, sino que la propia UVA afirmó que no sufrieron daños.


La misma Universidad dice que no han sufrido daños, pero aún así lo denuncian, y eso me parece un atentado grave.

No me vale el "aparece en los logs el acceso", no, porque también les aparecerá mi acceso y yo simplemente he accedido mediante una dork y no mediante beneficiarme de una vulnerabilidad ni de romper ninguna medida de seguridad.

¿Es delito que visitéis este blog? Pues el hacker hizo lo mismo, visitó una web pública y que los mismos administradores no configuraron los permisos para que no tuviese acceso a ver esa información. 

Otra cosa bien distinta es que esos permisos si estuviesen configurados y se haya aprovechado una vulnerabilidad para, por ejemplo, escalar privilegios y así tener acceso a una información que en principio no podía.

En el comunicado dijeron que no podían mostrar información sobre el ataque porque podría perjudicar la investigación, pero el mostrar cómo estaban los permisos antes, no perjudicaría nada...bueno, si los permisos fuesen 777 a lo mejor sí, pero porque la investigación se tendría que anular porque, sorpresa ¡era legal acceder a esa información!

No sé si me estoy explicando, pero si mediante una dork una persona puede acceder, eso es porque tiene permiso y que se denuncie a alguien por hacer algo que tiene permiso a hacer es una de las mayores locuras. A lo mejor se quería otra configuración, pero el problema no es eso, ya quelo que cuenta es cómo estaban los permisos, y un usuario no tiene culpa de la mala configuración en este aspecto que haga una empresa.

No obstante aún quedan más reflexiones sobre esto, reflexiones que iré contando en los siguientes posts.

¿Hackeamos el Mundo?


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...