Lamento informar que usar un sniffer o la captura de paquetes, es una tecnica de hacking tanto o mas valida que cualquier otra...

Respecto al resto de los puntos, estoy totalmente de acuerdo, es vergonzoso que en la facultad de informatica pasen estas cosas...

Si bien un sniffer es una herramienta que utilizan los hackers, lo que es triste es que que esas herramientas estén a disposición de cualquiera y que solo por usarlas una persona se convierta en hacker (en el termino "honorifico" de la palabra, no en el termino "legal"). Yo creo que la pregunta iba mas por ese estilo, soy hacker porque sé ejecutar un programa que me he bajado de internet?

Estoy de acuerdo con lo de que saber usar un par de programas no confiere a nadie el término de hacker. Es como cuando un adolescente se cree un hacker por bajar programas "pirata" de la mula.

Realmente si ha usado en su provecho los datos, o si ha "hecho daño" al sistema (como por ejemplo cambiar la web) se trata de un cracker, no de un hacker.

Manda huevos:

Que inviertan un poco. Si no usasen contraseñas en plano (¿SMB en plano? ¿FTP aún? ¿Cómo administraban la web, http?) no hubiese pasado nada.

Y eso suponiendo un sniffer (que gastándote un poco en electrónica de red se evita --> swithes están para algo, incluso contra arp flood y esas cosas antiguas)

Otra cosa hubiese sido un keylogger, pero más de lo mismo... ¿Por qué no había permisos bien definidos en el dominio de los usuarios?

Nada, en las universidades siempre han sido bastante "malos" en temas de seguridad, y no es porque no haya profesores que sepan algo de eso, sino porque los técnicos que hay no tienen conocimientos específicos.

Saludos

Manda huevos:

Que inviertan un poco. Si no usasen contraseñas en plano (¿SMB en plano? ¿FTP aún? ¿Cómo administraban la web, http?) no hubiese pasado nada.

Y eso suponiendo un sniffer (que gastándote un poco en electrónica de red se evita --> swithes están para algo, incluso contra arp flood y esas cosas antiguas)

Otra cosa hubiese sido un keylogger, pero más de lo mismo... ¿Por qué no había permisos bien definidos en el dominio de los usuarios?

Nada, en las universidades siempre han sido bastante "malos" en temas de seguridad, y no es porque no haya profesores que sepan algo de eso, sino porque los técnicos que hay no tienen conocimientos específicos.

Saludos

Y lo de que las contraseñas viajen no solo ya por la misma red a la que están conectados los ordenadores de laboratorio, sino que lo hagan en texto plano o bajo algún cifrado muy poco fiable (como se ha visto) es de jurado de guardia.

Soy un antiguo alumno de la ETSI Informática de "Graná" y tras leer la noticia mi primera impresión ha sido quedarme a cuadros y la segunda ha sido decir "normal", pero me gustaria hacer varias consideraciones.

1)El instalar un sniffer en un aula de practicas: bueno a veces es necesario que instalar programas que los administradores no han tenido en cuenta.
2)El que haya usado no programa bajado de internet no lo hace hacker o cracker, pero si el hecho de saber que instalándolo podría tener la información que buscaba y de conseguirla, q os recuerdo que aunque te descargues 200 megas de tráfico hay que saber que buscas.
3)Lo grave es:
3.1- ¿A quién demonios se le ocurre meter su pass en un entorno compartido (Ethernet es un entorno compartido)donde la pass va en claro y no hacedlo de manera segura q te encripte el tráfico dentro del segmento LAN, vease un https o ssh?
3.2- Con respecto a lo de entorno compartido... no me jodas que las LANs de los laboratorios son "hubeadas" (un sniffer NO captura tráfico si estamos en
dominios de colisión distintos [para q lo hiciese si hubiese un switch en vez de un hub, tendría que hacer un arp poison del switch o sobrecargar su cache ARP para que haga broadcast de todos los paquetes])

En resumen, joder con el pavo ha hecho la "tontá" y resulta que le ha salido bien porque la red de prácticas está hecha un MIERDA como un castillo... pero ¿es que nadie se sorprenda, o es q nadie recuerda cuando Drake en 1996 copió el fichero etc/password de Turing (encriptadas vale, pero el cabrón las desencriptó y sé de lo que hablo, era compañero mio de clase y para fardar me enseñó mi pass en claro, una vez desencriptada) robando todas las contraseñas que le dio la gana??

Realmente es triste que donde se supone que enseñan seguridad informática (al menos en Barcelona lo hacen) no prediquen con el ejemplo. Lo curioso es que, a falta de conocer el estado de la universidad, se podria evitar con un poco de picardia sin que representara mucho gasto económico. A lo pronto se me ocurre bloquear el acceso de administración de todos los ordenadores (que sepa es posible hacerlo desde Win Me o antes). Espabilemos señores que la falta de seguridad se paga!!

1º un sniffer, no es un programa para capturar contraseñas, es un programa para capturar trafico en la red, que si bien estas contraseñas viajan por la red sin cifrar, se pueden ver con el sniffer gracias al trafico capturado.

2º un hacker o un cracker? en uno de los comments lo aclaran.

3º es notable las deficiencias de seguridad de dichas aulas... que se puedan instalar programas pase, mal esta pero bueno, pero que la red este hecha con hubs en vez de switches.... malo malo!

"¿no están para eso los becarios?" Un comentario poco afortunado ciertamente.

Con respecto al tema es cierto que hay poca seguridad. He visto casos en los que una persona era prácticamente acusada de delincuente por avisar de que había un fallo de seguridad del tipo del fallo del ftp que comentabas. Creo que todo funciona así por negligencia.

Solo comentar, que por el simple hecho de dejar huellas, ya no es merecedor de ser llamado "hacker"
Un "hacker" con escrupulos, descubre las vulnerabilidades, e informa al centro de una manera anonima.
Un "hacker" sin escrupulos, se copia los resultados de los examenes, se queda con las contraseñas, pos si tiene que usarlas otro dia, pero no deja señales de que ha estado alli.
¿De que sirve saber las contraseñas, y tener los resultados de los examenes, si luego todos lo saben, modifican las contrasenyas y cambian los examenes?

Y un "cracker" es quien rompe las protecciones de los programas.

Los que rompen los sistemas informaticos, son hackers wannabe XD

Tal vez no ha usado los mejores metodos, pero ha cumplido el paper de hacker al a perfeccion al sacar a la luz un fallo de seguridad que con toda probabilidad llevaba años.

pues vamos que, siempre la misma historia esta claro que una herramienta no hace al informatico, como el reflan ese del monje, pero que si te pones una sotana y enpiezas a curiosiar por el mundillo sabes hasta rezar. Pero es que esa no era la cuestión y ni la cuestion que que plantea Arturo Quirantes. Es que sinceramente estoy cansado de siempre las mismas tonterias. Todo en la vida es evolución y suerte punto. A mi que narices me importa si es un hacker o va a ser un hacker, o es un cracker o es el del mantenimiento.

pues vamos que, siempre la misma historia esta claro que una herramienta no hace al informatico, como el reflan ese del monje, pero que si te pones una sotana y enpiezas a curiosiar por el mundillo sabes hasta rezar. Pero es que esa no era la cuestión que plantea Arturo Quirantes. Es que sinceramente estoy cansado de siempre las mismas tonterias. Todo en la vida es evolución y suerte punto. A mi que narices me importa si es un hacker o va a ser un hacker, o es un cracker o es el del mantenimiento que puede a lo mejor sabe mas de informatica que ninguno de nosotros. El tema es que hay que predecir menos y mas aplicar.

Gracias por el apunte Arnau... estoy al tanto de la ética Hacker, pero como la frontera es lago difusa para mucha gente, por eso prefiero no entrar en esas discusiones metafísicas, pero de todas maneras gracias por el apunte

aunque limites la ejecución de programas por parte de usuarios existen cosas tan sencillas como renombrar el programa que instala tu sniffer como por ejemplo word.exe y arreando te deja instalarlo otra cosa es q te permitan meter cualquier dato de afuera pero buala el email y descargartelo y ejecutarlo tan sencillo y sin mas q pinchar y ala capturado desde otro pc asi de facil..... sin comentarios fallos cometemos todos....

Con este hecho, los responsables de redes de la Universidad de Granada se preocuparán por aprender técnicas para atajar estos problemas, que son meramente configuraciones básicas de un sistema que cualquier terminal público debería tener.

Quizás el que hizo ese desastre, aunque éticamente es bajísimo, lo hizo para reirse de la seguridad.

Explotar fallos localmente, incluso fallos de configuración, es tan valido como "hacking" que el que aprovecha un bug mega-secreto para obtener acceso remoto a un sistema.

Bien es cierto, que lo que es correcto o no eticamente hablando, es otro tema bien distinto.

1) Dudo mucho que el sniffer necesitase mucho ser instalado .Probablemente arrancando con livecd de linux (en el caso de que permita dicho arranque) o usando una imagen de windows 98 permitiria

2) El que la red este en hub puede ser por dos motivos creo yo, o por negligencia a la hora de ponerla o precisamente porque esa aula sea una de las pocas en modo hub. Si no me equivoco al menos el aula de práctica de redes 1 y 2 estaban en hub, y precisamente para estos temas (practica usando sniffer, etc..).

3) "¿cómo es posible que, desde el laboratorio de prácticas, se acceda a las contraseñas de los profesores?" pues si se esnifa el trafico, y los profesores en ese aula acceden por ejemplo al correo no cifrado, es bastante fácil.

Realmente las dos negligencias que veo es:
a)tener la red en hub (2)
b)como dice >Ivan< el usar el usuario/contraseña sin cifrar (acceder al correo,telnet ...).

Y obviamente por mucho que esnifen si el trafico está encriptado no van a pillar nada. Por lo que la culpa es de los dos profesores y del alumno.

Respecto a los otros temas que trata:
- "para eso estan los becarios",precisamente siendo becario es más probable que aún sea estudiante.
- "Dios sabe cuánta gente habrá tenido acceso a ese código" . Si usted le deja el código a otras personas es responsabilidad suya como lo usan, no del servicio de informatica que tenga el mismo para dos cosas. En cualquier caso se puede cambiar a través de "acceso identificado/csirc/Cambio de Password Acceso Identificado"
-"Algunos compañeros tienen claves de acceso a correo electrónico que rozan lo patético" .Actualmente para crear la contraseña de correo electronica en https://www.ugr.es/informatica/sec-virtual/formulario.php verá el tipo de contraseña que exige.
-", !y acabé en el directorio raíz! " el directorio raiz es accesible incluso desde acceso anonimo. Pero solo una vez identificado (dentro de la uni o con vpn) podría haceder a los "homes". Y estos tienen los permisos que hayan puesto los dueños. Si pudo acceder al de su compañero es porque negligentemente dio permisos de lectura a todos los usuarios. Y le recuerdo que el modificar los permisos es necesario para muchos usarios ya que por ejemplo la página web personal(como la que usted tiene) deben tener permisos de lectura. Otra cosa es que el que los modifica (el dueño) lo haga mal.

Desde mi desconocimiento de los detalles concretos del ataque (me he enterado esta mañana por la prensa y hace tiempo que no estoy vinculado con la ETSII) y sin fiarme mucho de los datos técnicos que da Ideal, creo que lo que ha pasado ha podido ser:

* Las cuentas de alumnos no tienen privilegios para instalar programas a nivel del sistema (/usr, /opt, etc). Pero muchas de las prácticas de informática son de programación, así que hay disponibles compiladores de C y C++ y cada alumno puede crear programas en su propia cuenta o en el /tmp. Por tanto, la tarea de compilar un exploit local es trivial. Y de ahí a poner un sniffer, pan comido.

* Tanto los profesores como los alumnos esta(ba)n en el fichero de passwords centralizado. Luego es cuestion de echar un ratico con John the Ripper a ver qué se saca ;-) Aunque el fichero de passwords no esté accesible se puede regenerar usando el api de unix haciendo un chorra script en perl o un programilla en C. Habitualmente un 15-25% de cuentas tienen como contraseña el nombre de la novia XD y salen en pocos minutos.

* Pienso que realmente no consiguió la contraseña de nadie del equipo web esnifando. Estoy casi seguro de que todo son switches en la ETSIIT. Más bien sacaría una contraseña de un alumno del servidor de prácticas y la utilizó para entrar en el servidor web (sin usar la suya propia, claro :) ). Una vez allí lanzó otro exploit local y lio el follón. De cualquier forma, es muy habitual que los becarios del equipo web trabajen desde cualquier PC de prácticas (acceso libre, proyectos) o desde casa. El problema no es ese, el problema es, evidentemente, no usar ssh.

* Parte de problema estará en la complejidad de generar una imagen nueva de arranque para todos los sistemas operativos de la Escuela y probarla en todos los equipos. Imagino que eso impide que kernels, librerias, etc estén suficientemente actualizados.

* Como bien dices, usar un sniffer en sí no es hacking. Igual que comprar un cuchillo en Carranza no es asesinato por arma blanca ;)

Todo lo anterior son especulaciones. Si alguien acaba conociendo de verdad lo que pasó sería interesante saberlo, solo por razones didácticas, claro ;)

Que no te extrañe, lo mismo pasa en la Escuela Universitaria de Ingeniería Técnica Informática de Oviedo:

"En más de una ocasión, accediendo por ftp a mi cuenta, le di al botón que no era por equivocación, !y acabé en el directorio raíz! Podía haber accedido a las cuentas de los demás." Incluido en el de los profesores, donde más de uno guarda sus contraseñas en archivos de texto, según me han dicho...

Dudo mucho que tengan redes montadas con hubs por lo que dudo más todabía que lo que puso esta persona fuera un sniffer, más bien sería un simple keylog que captura teclas.
Si no lo hiciera un becario desde un pc "publico" no hubiera pasado nada.

Menuda seguridad!! Hay que ser mas previsor a la hora de hacer estas cosas.

A mi también me extraña que tenga hubs en la red. me inclino por la teoria del keylogger. De todas formas hay programas que capturan las contraseñas aunque se use https. Sin mas creo que algunos tan conocidos y difundidos como el cain lo hace.

Mientras sigan usando un sistema operativo inseguro...

es sencillo, habrá utilizado un sniffer que actua también a nivel remoto y habrá exo ARP Poisoning, engañando a los switches y recibiendo los paquetes de otros equipos.Facil y sencillo.. con un programita llamado 'Cain' puedes hacer todo eso que ha exo el 'jaker' sin muxo esfuerzo :P un saludo!

No hace falta irse a sniffers o demas, simplemente con ver el sistema operativo que usa el servidor basta. Es un SUN 2.7 de 1998. Dios sabrá cuantos agujeros de seguridad tenga ya eso, teniendo en cuenta que ya no tiene soporte

se me olvidaba.. el utilizar un sniffer no es ilegal.. al fin y al cabo su proposito es de mero análisis y diagnostico. Lo que sucede que el individuo ha suplantado identidad y modificado archivos en beneficio propio.. latrocinio..

si le pillan seguramente vaia a la carcel jeje hace poco pillaron a uno en USA y le han caio 20 años x'DD

Para Arturo Quirantes:

Me parto tio.. como consejo.. y visto tu escaso nivel de conocimientos.. limitate a relatar los ex0s y no a dar tu opinion.. XDD
lo de 'un dia me conecte por ftp y no se ke apreté y vi los directorios de todos los usuarios'.. si.. suele pasar.. jeje pero por algo existen los 'propietarios' y los 'permisos' que puedas listar por ejemplo el /home/ (contenedor de homedir de usuarios) no significa que puedas acceder a ellos

Alguien escribió:

"es sencillo, habrá utilizado un sniffer que actua también a nivel remoto y habrá exo ARP Poisoning, engañando a los switches y recibiendo los paquetes de otros equipos.Facil y sencillo.. con un programita llamado 'Cain' puedes hacer todo eso que ha exo el 'jaker' sin muxo esfuerzo :P un saludo!"

No. NADIE puede descifrar tráfico SSL. Sólo se puede interceptar con keyloogger o similar en el cliente o desde el servidor (o bien con la clave privada)

Saludos,

Perdón, quise decir:

A quién dijo:

"A mi también me extraña que tenga hubs en la red. me inclino por la teoria del keylogger. De todas formas hay programas que capturan las contraseñas aunque se use https. Sin mas creo que algunos tan conocidos y difundidos como el cain lo hace."

No. NADIE puede descifrar tráfico SSL. Sólo se puede interceptar con keyloogger o similar en el cliente o desde el servidor (o bien con la clave privada)

Saludos,

Yo vi fotos de la mitad de los profesores borrachos en una cena de departamento.

Los tipos tenían una web con los programas de curso colgados en una web propia, pero no funcionaban bien los enlaces. Así que borré la parte de "programas.html" y para mi sorpresa, en lugar del "index.html" me saltó el directorio raiz de todo el servidor, por el que pude navegar en plan ftp, y ver como utilizaban el servidor web para compartir archivos en el departamento.

Claro, como había Windows, Macs y Unixes en el departamento, configurar un servidor de archivos debió parecerles complejísimo, y crearon unos directorios para uso "personal". Incluso podían verse desde dominios externos a la Universidad.

1) Ningún sistema es 100% seguro
2) Un laboratorio no es un banco, es un sitio para aprender, entre otras cosas sobre seguridad. Seguro que multitud de prácticas requieren instalar aplicaciones.
3) Por mi experiencia, en el 99% de los casos, el punto más débil de un sistema es el usuario final. O quien no ha visto las contraseñas escritas en un despacho bajo el monitor. El problema es que a la gente (profesores incluidos) no les parece importante la seguridad, y probablemente en muchos casos no lo sea. Por otro lado, a quién se le ocurre utilizar su usuario y contraseña SIN CIFRAR en una comunicación en la red de alumnos. Aparte que son máquinas poco fiables donde puede haber keylogers, etc.

Saludos

Solo quiero comentar un par de cosas:
1.- Habria que verse como se ha hecho todo, pero en un principio, si, parece que estaba mal montado todo.

2.- Al comentario de ivan:
"3.2- Con respecto a lo de entorno compartido... no me jodas que las LANs de los laboratorios son "hubeadas" (un sniffer NO captura tráfico si estamos en
dominios de colisión distintos [para q lo hiciese si hubiese un switch en vez de un hub, tendría que hacer un arp poison del switch o sobrecargar su cache ARP para que haga broadcast de todos los paquetes])"

Sniffear paquetes, en una red switcheada por el "arp poisoning" o "arp spoofing" es tan sencillo como hacerlo sin el... y muchos switches (por suerte) estan "arreglados" para la sobrecarga de ARP-s

Salu2.

" "¿no están para eso los becarios?" Un comentario poco afortunado ciertamente."

Los becarios tienen una vinculación oficial con los departamentos en los que trabajan, cosa que no pasa con los alumnos. En cualquier caso, pretendía ser un comentario irónico.

"lo de 'un dia me conecte por ftp y no se ke apreté y vi los directorios de todos los usuarios'.. si.. suele pasar.. jeje pero por algo existen los 'propietarios' y los 'permisos'"

Como habrás podido leer, pude acceder a las cuentas de otras personas, listar sus archivos, COPIARLOS Y LEERLOS EN MI PROPIO ORDENADOR. Y digo "pude acceder" en lugar de "accedí", para que no me acusen de cracking a mí tambien. Salu2.

Y digo "pude acceder" en lugar de "accedí"

Si no tienes permisos aunque los listes no vas a poder acceder. Otra cosa es que algun usuario tenga mal los permisoss

soy el responsable del Equipo Web de la ETSIIT. Un par de aclaraciones:

1. El servidor web no fue violado a nivel de administración del SO jamás, sino a nivel de usuarios de los foros y de administrador del gestor de contenidos que usamos.

2. El problema del ataque al servidor web se resolvió inmediatamente nada más detectarlo, restaurando una copia de seguridad reciente y eliminando los privilegios del gestor de contenidos a los usuarios de turing (turing es el servidor que se usa en las aulas de prácticas, independiente del servidor web).

3. Por comodidad hacia los usuarios (profesores y estudiantes), permitíamos el acceso identificado a la web del centro autenticando contra el servidor turing.ugr.es. Las claves violadas ni se almacenaban en nuestro servidor, ni nosotros las conocemos, ni tenemos control alguno sobre las mismas.

4. El estudiante al que se le pilló la contraseña es un becario del Equipo Web, no un estudiante cualquiera. Al ser uno de los responsables de la web, su nivel de privilegio en el gestor de contenidos era el de administrador. Por descontado, que a nivel de SO en nuestro servidor sólo se entra por ssh.

Un saludo

Manda huevos:

Que inviertan un poco. Si no usasen contraseñas en plano (¿SMB en plano? ¿FTP aún? ¿Cómo administraban la web, http?) no hubiese pasado nada.

Y eso suponiendo un sniffer (que gastándote un poco en electrónica de red se evita --> swithes están para algo, incluso contra arp flood y esas cosas antiguas)

Otra cosa hubiese sido un keylogger, pero más de lo mismo... ¿Por qué no había permisos bien definidos en el dominio de los usuarios?

Nada, en las universidades siempre han sido bastante "malos" en temas de seguridad, y no es porque no haya profesores que sepan algo de eso, sino porque los técnicos que hay no tienen conocimientos específicos.

Saludos
jandel | 8 de Noviembre de 2007 - 12:52 PM

Debería usted saber, Sr MandaHuevos; que los técnicos obedecen a las arquitecturas de red diseñadas por los administradores de red (ingenieros, vamos... que no técnicos)

Ese tio ni es hacker ni cracker ni juaker, lo que es es un cabron. Con lo bien que estaba para copiar sin que se enterara nadie y chafardear en los trabajos de otros y va y lo saca a la luz.

Espero que lo pillen y le pisen los huevos con una botella del butano :D

P.D. es coña-

[quote]Ese tio ni es hacker ni cracker ni juaker, lo que es es un cabron. Con lo bien que estaba para copiar sin que se enterara nadie y chafardear en los trabajos de otros y va y lo saca a la luz.

Espero que lo pillen y le pisen los huevos con una botella del butano :D

P.D. es coña-[/quote]

jajajaja.

No pude/quise leer TODOS los comentarios, pero aqui, los arriba escribientes, (algunos, ojo con los que se puedan ofender) tienen un poco confundido el termino HACKER.

Pues no es verdad que tengan que ser seguros los sistemas porque son de Telecos o informáticos. Algo parecido pasó en Teleco de Vigo y los profes dieron una explicación muy razonable: se pretende enseñar, no ser policías y poner menos trabas posibles para entrar en los laboratorios y tener capacidad para realizar prácticas etc. De hecho los laboratorios permanecían abiertos (hasta que un capullo robó 2 TFTs) para que a cualquier hora pudieras entrar para hacer las prácticas. Es lo lógico, y se espera confianza hacia el alumnado.

A ver, yo soy informatico estudié en Málaga, qué cojones se pude esperar de profesores y catedráticos que son químicos, físicos y matemáticos y que cuando se sacaron el titulo programaban con tarjetas perforadas y la "seguridad" en esa epoca consistía en cerrar la puerta al salir? XDDDD

Que se reciclen????

Salu2

Estimado Manu, no es por nada, pero los temas de seguridad y redes son llevados por ingenieros informáticos y telecos exclusivamente, no sólo en la ETSIIT, sino a nivel de toda la UGR, y no solo los técnicos, también sus jefes.

No hay que extrapolar lo que pase en otros sitios ni estereotipar.

Tampoco hace falta ser un experto para tener dos dedos de frente, Manu. Yo creé el Taller de Criptografía hace casi una década, sé un huevo de protocolos y cifras, he dado conferencias ... !y soy físico!

Lo que pasa es que en este caso queda muy irónico por eso de casa del herrero, cuchillo de palo. Es como si a Emilio Botín le mangaran la Visa y la usaran para comprarse, qué sé yo, Repsol.

Aunque esto también podría verse como un éxito de la titulación. ¿Qué se enseña en una Escuela de Informática? Pues a usar ordenadores, dominarlos, conocerlos y llevarlos al límite. En cierto modo, objetivo conseguido.

"Debería usted saber, Sr MandaHuevos; que los técnicos obedecen a las arquitecturas de red diseñadas por los administradores de red (ingenieros, vamos... que no técnicos)
PETERPUNK "

Bueno, con técnico me refería a ingenieros tb. Yo por ejemplo soy ingeniero en informática, y en la mayoría de trabajos que he estado muchos nos autodenominamos técnicos de algún edpartamento (para diferenciarnos de los consultores no técnicos).

En todo caso dos apuntes:

- Que la red esté diseñada por telecos y/o informáticos no garantiza su seguridad. Lo mejor (que obviamente no se puede permitir normalmente la universidad) es contratar una consultoria de seguridad informática, que aporta lo que la gente de redes normalmente no piensa (ej: en las arquitecturas de red suelen pensar más en disponibilidad que en seguridad).

- Respecto a lo de defender que no llegaron al SSOO... la verdad, un servidor web al que modificar la web de poco sirve.

En todo caso si llego a nivel de administración del gestor si hubiese sido medianamente listo habría conseguido el control de la máquina (o eso supongo) ya que dudo que el sistema estuviese completamente actualizado (por ej con los parches de kernel).

Una técnica que suelo ver por mi trabajo es que en cuanto obtienen permisos de ejecución como www se bajan un mogollón de exploits para los distintos kernels y empiezan a ejecutarlos.

De ahí a limpiar la intrusión queda poco. (Me imagino que se haría un análisis forense o al menos se comprobaría que no modificaron los logs del sistema).

En todo caso es cierto que la debilidad es del usuario, y ante esto el servidor quedó vendido. Si, se podrían haber implementado mil medidas más de seguridad como dirán algunos, pero no son realistas.

Saludos,

(y más curro para seguridad informática :D)

Yo estoy relacionado con la ETSIIT desde hace mucho y no creo que la seguridad sea tan baja y como ya han dicho los demás que ningún becario del equipo web estuviese usando un pc de prácticas. Las claves están en un servidor que te identifica contra muchos otros servidores y contra todos los ordenadores de la ETSIIT.

Que si ha sido un sniffer, un keylogger o lo que sea no es lo importante.

Así como que ni ha sido el primero ni el último. Y desde luego no debería ser expulsado. Conozco dos casos de gente que hizo eso en su tiempo y ahora son profesores de esa escuela.

Ingenieros de primera, ahí los tienes jajajaja

Soy miembro del Equipo Web de la ETSIIT, y agradecería que al menos algunas de estas aclaraciones (las que no son opiniones personales) formasen parte del post principal, ya que las considero fundamentales para aclarar la posible responsabilidad y las acusaciones que se extraen de el texto anterior:

1.- La web la administramos por HTTPS, y cualquier alumno que se registre en la web lo hace normalmente por https (y de hecho tiene que, de modo voluntario y con un plugin para el navegador que le permita hacerlo, cambiar el action del formulario para poder registrarse sin el protocolo seguro).

2.- Los administradores de la web no "hacemos la web de la Escuela desde aulas de prácticas", pero también somos alumnos (a los que parece que en vez de agradecérsenos la colaboración, se nos responsabiliza de cosas que no hemos hecho) y tenemos que usar los ordenadores de prácticas para poder cursar las asignaturas. Así que con estos ataques nos pueden robar las contraseñas.

3.- El Equipo Web tiene un escaso presupuesto (creo que menos para todo el año que el existente para los gastos de redacción de la Guía de la Escuela, que se edita una sola vez al año y que extrae la mayor parte de la información de lo publicado en la Web). Solo se cuenta con un becario que cobra menos de 150 euros al mes. El resto de miembros tocan a unos 8 euros al mes (algo simbólico, sin duda), y eso si no hay que emplear ese dinero en otras cuestiones.

4.- Dado que no contamos con una infraestructura de gestión suficiente para mantener las cuentas de usuarios de modo manual, usamos el servidor turing.ugr.es como servidor de autentificación, del que obtenemos, mediante una conexión SSH encriptada, los datos de los alumnos contra el que validamos su password. Este servidor comparte las contraseñas con otros servicios de la UGR, como el correo electrónico de los alumnos y las cuentas de los alumnos para acceder a los ordenadores de prácticas. Por tanto si a un miembro del Equipo Web le roban su contraseña cuando está haciendo las prácticas, pueden usarla para acceder a la web como administradores. Hemos tomado medidas para evitar esto de aquí en adelante.

5.- No es culpa del Equipo Web que el sistema de autentificación de los ordenadores de prácticas de la Escuela no utilice ningún sistema de encriptado. De hecho, según me han comentado los encargados de dicho sistema, tampoco es culpa suya: En la Escuela necesitamos poder arrancar los ordenadores con múltiples sistemas operativos diferentes, incluido windows. Al parecer las características de éste sistema operativo impiden que la contraseña se pueda enviar encriptada antes de cargar la imagen de arranque. Desconozco las cuestiones técnicas al respecto, ni el sistema de arranque remoto de múltiples imágenes que se utiliza.

6.- Teniendo en cuenta el presupuesto que hay disponible para este tipo de cosas (la UGR, según tengo entendido, no es demasiado generosa con la Escuela de Informática y Telecomunicación), tampoco se puede exigir mucho más: hay pocos administradores, poco presupuesto para comprar licencias de algunos sistemas, y demasiados ordenadores y usuarios a los que atender.

Muchas gracias por la comprensión mostrada,

Antonio Morales

Por cierto, te contesto a un par de preguntas más, aunque no tienen nada que ver con el Equipo Web, y si quieres incluyes las respuestas a tus preguntas:

-¿Cómo limitas la instalación de programas en Windows 98 o, incluso, en XP? ¿Quizás es mejor dejar que los alumnos no conozcan este Sistema Operativo hasta que salgan de la Escuela? En cualquier caso es evidentemente necesario compilar y ejecutar programas en éstos ordenadores (¿se te ocurre para qué?), y dudo que haga falta más que eso para ejecutar un sniffer.

-¿Tan descabellado te parece que mientras los profesores imparten las clases de prácticas, accedan a su cuenta desde las aulas para trabajar en los ordenadores a la par que los alumnos? Éste es solo un posible escenario que se me ocurre. Otro que se me ocurre es que el sniffer haya podido capturar el tráfico no solo del aula en que estaba instalado sino de toda la red de la Escuela.

-¿Por qué pasa ésto precisamente en Informática? Básicamente la complejidad del sistema necesario en Informática (con quizás 15 o 20 imágenes distintas de arranque, y con unos cuantos cientos de PCs) crece más rápido que el presupuesto de personal para gestionar ese sistema. Es mucho más fácil gestionar el sistema de Bellas Artes que el de Informática, y además en Informática hay decenas de personas con muchos conocimientos en informática y telecomunicaciones que suponen una amenaza mayor.

-Pues sí, estoy de acuerdo con lo de que ésto no tiene por que considerarse obra de un hacker. Y ni idea de cuanto ha tenido que llegar a trabajar, o si se ha limitado a instalar un programa o ejecutar un par de exploits.

Ale, lo dicho...

Antonio Morales.

Te respondo yo mismo Antonio Morales:

"-¿Cómo limitas la instalación de programas en Windows 98 o, incluso, en XP? ¿Quizás es mejor dejar que los alumnos no conozcan este Sistema Operativo hasta que salgan de la Escuela? En cualquier caso es evidentemente necesario compilar y ejecutar programas en éstos ordenadores (¿se te ocurre para qué?), y dudo que haga falta más que eso para ejecutar un sniffer."

Yo no limitaría la ejecución de aplicaciones, pero sí que se pueden hacer varias cosas, como impedir que el usuario pueda poner la tarjeta en modo promiscuo mediante reglas o bien detectar desde el servidor de dominio cuando un windows pone la tarjeta en modo promiscuo (en microsoft.com tienes una aplicación gratis para ver esto). Para otros SSOO no hay solución eficaz desde luego.

"-¿Tan descabellado te parece que mientras los profesores imparten las clases de prácticas, accedan a su cuenta desde las aulas para trabajar en los ordenadores a la par que los alumnos? Éste es solo un posible escenario que se me ocurre. Otro que se me ocurre es que el sniffer haya podido capturar el tráfico no solo del aula en que estaba instalado sino de toda la red de la Escuela."

No. En realidad me parece bien que sean equipos compartidos. Lo que está mal es la electróncica de red si son hubs (no sólo por seguridad, sino por rendimiento).

Cambiando por concentradores nos evitamos el sniffing (lo de arp poisoning y arp flood se resolvió hace unos pocos años. Puedes usar electrónica de cisco para esto. No es muy caro y funciona)

En todo caso siempre te pueden poner un keylogger hardware entre el teclado y la cpu, pero el objetivo es minimizar riesgos, no acabar con ellos.

En realidad los problemas han sido dos básicamente:

1- Captura de contraseña
2- Gestión de la incidencia

Estamos discutiendo mucho del punto 1, pero apenas se ha hablado del punto 2 salvo para decir que no llegó a nivel de ssoo. La verdad, conociendo bastante bien la AAPP dudo que se haya hecho un mínimos de estudio de ese servidor para verificar si ha metido algo.

En todo caso seguro que podéis acudir al Centro de Seguridad Informática de vuestra Comunidad Autónoma (creo que casi todas tienen) o bien incluso al CERT de RedIris y pedir que os echen una mano con el caso. Son gente maja.

Saludos

parece que a jandel se le ha olvidado el inglés. Un concentrador es exactamente un "hub". Si lo que quieres es traducir "switch" debes decir conmutador.

Además de conocer bien el sistema operativo ventanas y desconocer algún otro ¿te suena openBSD?

Un saludo

Estimado Luki:

Sí, me equivoque. OpenBSD? ¿Qué tiene que ver openBSD con lo que digo? ¿Qué el servidor es openBSD? ¿Cambia algo?

¿O sugieres cambiar todo a openBSD? Pero vuelvo a lo mismo --> No cambia nada

No hago más que leer posts donde la gente habla sin tener conocimiento de causa. Por lo que mi intención es quitarle un poco de leña al asunto y aclarar algunos detalles:

1) Desde hace varios años la red de acceso de la Universidad de Granada es conmutada. No obstante, como ha comentado alguna gente existen diferentes técnicas para poder capturar tráfico.

2) En general, en entornos académicos, debe haber una polítca de seguridad basada en la buena voluntad. Lo que no impide que existan unos buenos hábitos en temas de seguridad (utilizar diferentes password según la sensibilidad de la información, ...)

3) Por tanto, como no se trata de un entorno empresarial sensible al espionaje industrial (véase Ferrari,... )sino que se tratan de ordenadores de prácticas en las que muchas veces el alumno debe poder compilar e instalar programas limitar el acceso 'estrangula' las posibilidades de trabajo de los alumnos

4) El alcance de la información sustraida es bastante limitado. Aunque obligue a los señores profesores a elaborar un nuevo temario y prácticas. Lo que se podría solucionar con mejores hábitos y una política de contraseñas más cuidada

Esto es flipante, parece que aquí nadie lee los mensajes. Vamos a ver:

1. El ataque a la web es puramente anecdótico y no causó ningún daño en absoluto, ni la causa fue un fallo de vulnerabilidad en el servidor que la aloja.

2. Como responsables de la web, no solo resondimos al ataque de inmediato sino que descubrimos la causa: un robo de contraseñas, no del servidor web, ni de ningún servicio de la red, sino del servidor de autenticación que usa el centro, que ni es competencia nuestra ni sobre el que tenemos potestad alguna.

3. Viendo el peligro que ello significaba, no para la web, sino para otros ordenadores o servicios que se basan en esas mismas contraseñas, alertamos por medio de la web de la incidencia (no del ataque a la web, sino de los riesgos de ataques a otros ordenadores), además avisamos al CSIRC y al personal responsable de seguridad.

4. Parece ser que, a pesar de nuestro aviso, se atacaron otros ordenadores, tal como vaticinamos, y esa es la noticia, y no el ataque al servidor web de informática de Granada que ni almacena datos confidenciales ni personales de ningún tipo y que no fue hackeado ni crackeado en ningún momento, sino que simplemente alguien se hizo pasar por otro para dejar mensajes en los foros en su nombre o alterar algunos contenidos que se restituyeron a la media hora de comenzado el ataque, lo que debierais valorar en vez de hacernos sentir responsables de algo o incompetentes. Ya me gustaría saber a mí si alguien lo hubiese hecho mejor que el equipo de personas que coordino, que actuó con rapidez, diligencia y alertó del hueco de seguridad descubierto, a pesar de que ni tenía que ver con nuestras competencias ni era nuestro problema.

Ya no voy a contestar más, me parece inaudito que en vez de darnos las gracias y felicitarnos encima nos vapuleen desde esta desafortunada entrada basada en las palabras sacadas de contexto de un artículo sensacionalista escrito en base a una conversación informal por teléfono donde no hice más que explicar cómo detectamos el ataque al servidor web y cómo lo solucionamos de inmediato, indicando además que el fallo no había sido del servidor web sino de otro servidor del que dependíamos para identificar a los usuarios y que no era de nuestra responsabilidad.

perdón, con lo de frases sacadas de contexto me refería a las que usó el periodista para redactar la noticia de forma sensacionalista.

Por cierto, que la rectificación de hoy en www.ideal.es (http://www.ideal.es/granada/20071109/granada/trabaja-ultimo-seguridad-porque-20071109.html) sí que es realista con lo que pasó, y no el artículo sensacionalista referido en esta entrada.

A ver, vayamos por partes...

En cuanto a Arturo Quirantes, me gustaría comentarle que no entiendo si lo que ha escrito lo ha hecho por mala saña o por un grave desconocimiento del funcionamiento de la mayoría de los servicios de la Universidad de Granada.

Le indico brevemente algunas de las cosas que mas gracia me han provocado:

-FTP: Accedio al directorio raiz del FTP, correcto. Pero de ahí a poder acceder hay una diferencia abismal. Haber probado a entrar hombre, a ver si era capaz... Por favor sea un poco serio y no juzgue la seguridad de un sistema por algo que usted, que no es ni de informática como ha comentado, con sus conocimientos intuye que podría haber hecho.

-Passwords en general: Los passwords se pueden cambiar y de hecho se recomienda que se haga con cierta periodicidad. Si sus compañeros usan passwords triviales capaces de intuirse es cosa suya. No es un problema del Servicio de Informática ni de la Universidad que alguien se ponga de password "a1b2c3". ¿O si lo es?

En cuanto a lo de instalación de programas, y los comentarios sobre los becarios creo que los anteriores usuarios se lo han han explicado con claridad meridiana.

Por otro lado, no entiendo como se ha armado tanto revuelo por el ataque a la facultad de informática. Un tío cogió el password (sea mediante sniffer, keylogger o como fuese) de un becario que se encargaba de la web de la escuela y con ese password accedió a otros y trasteó un poco por donde pudo. Estas cosas ocurren todos los días, la mayoría se evitan, algunas se pillan y no sabemos si algunas se nos escapan.

J.L. Bernier y su equipo lo único que hicieron fue dar parte de lo que había sucedido para que se investigara. Puede ser que los palos sean por darse demasiada importancia con comentarios como "vaticinamos que iba a ver mas ataques"... no hace falta ser Dr en Informática para intuir que podría ocurrir si os roban los passwords.

Ahora solo queda esperar a que se investigue quien ha sido el culpable y se le haga pagar por su delito. Si está en manos de la policía y con la colaboración de la facultad de informática y el servicio de informática, que cuenta con algunos de los mayores especialistas en informática forense.

En fin, solo quería dar mi visión de los hechos.

Rippman.

"-FTP: Accedio al directorio raiz del FTP, correcto. Pero de ahí a poder acceder hay una diferencia abismal. Haber probado a entrar hombre, a ver si era capaz.."

Por si no has leído mi comentario del 8 de noviembre, ahí va otra vez:

pude acceder a las cuentas de otras personas, listar sus archivos, COPIARLOS Y LEERLOS EN MI PROPIO ORDENADOR.

Puedo decirlo más claro, !pero no más alto!

"-FTP: Accedio al directorio raiz del FTP, correcto. Pero de ahí a poder acceder hay una diferencia abismal. Haber probado a entrar hombre, a ver si era capaz.."

Por si no has leído mi comentario del 8 de noviembre, ahí va otra vez:

"pude acceder a las cuentas de otras personas, listar sus archivos, COPIARLOS Y LEERLOS EN MI PROPIO ORDENADOR."

Puedo decirlo más claro, !pero no más alto!

Apologia al Hacking

La facultad de informática me ha decepcionado, pero no sólo por las instalaciones, sino también por los profesores. No entiendo que en una facultad de informática pongan limitaciones en las versiones de los lenguajes de programación. No me han evaluado una práctica porque he usado .Net 2.0 (la actual) y me obligan a pasarlo a una versión de hace 7 años, sinceramente nose qué hacer.

ES FACIL ROBAR CLAVES DE CORREOS CONTRASEÑAS DE INTERNET SOLO NECESITAS 5 MINUTOS EN CUALQUIER PC QUE LA USE OTRA PERSONA Y YA ESTA