9 de Noviembre de 2007
Más sobre el hackeo de Granada
Como continuación de mi post Hackeando en la Escuela de Informática de Granada, creo que ya tenemos información adicional para ir aclarando algunos aspectos del problema. Tanto en dicho post como en el de barrapunto y en la propia noticia+foro de Ideal han aparecido muchos comentarios, junto con aclaraciones de los responsables.
Me ha llamado la atención la cantidad de mensajes del tipo "¿y esto es para tanto?" Parece que mucha gente coincide conmigo en que instalar un sniffer y captuar contraseñas no es precisamente hacking avanzado. Si hubiéramos hablado de un ataque más habilidoso o el aprovechamiento de una sofisticada vulnerabilidad del sistema para obtener privilegios de root o cazar el archivo de contraseñas, todavía sí. Pero en este caso parece que el "hackeo" (vale, crackeo) es tan sofisticado como encontrarse las llaves del coche en la calle, usarlas para llevárnoslo y creernos unos ladrones de guante blanco.
Capítulo aparte es el ataque en sí, su causa y sus consecuencias.
Al responsable del equipo webero de la Escuela, José Luis Bernier, le ha caído lo más grande en estos días. Como me considero en parte responsable de la paliza, creo mi deber dejar algunas cosas claras. Él mismo lo ha hecho en este foro, pero voy a recordarlo de todos modos.
Lo primero que nos dice José Luis es que ni él ni su equipo son responsables de la seguridad del sistema, sino que se dedican a la página web. Bien, eso es cierto. Aunque sean de la Escuela de Informática (ETSII), los temas de seguridad informática los lleva un servicio aparte y común para toda la Universidad, el Centro de Servicios de Informática y Redes de Comunicaciones (CSIRC). Según sus propias palabras, "han robado las claves que se usan para identificar a los alumnos y profesores en las aulas, claves que se almacenan y gestionan en otro servidor que no tiene nada que ver con mi equipo ni mi persona". Cierto también. Cuando yo tengo que autenticarme para entrar por Acceso Identificado uso mi propio ordenador, no el de la web del Departamento ni nada por el estilo. El problema es que algún profesor se identificó en el ordenador que tenía un sniffer, éste capturó las contraseñas y eso le permitió el acceso al atacante. Lo mismo podía haberme pasado a mí con un sniffer en el ordenador de mi despacho, o en cualquier otro que yo hubiera usado para acceder.
Con esa contraseña, el atacante puede haber accedido a datos de los profesores como información personal, datos de gestión económica. Incluso podía haber rellenado el acta de una convocatoria abierta y darle un alegrón a sus compañeros poniendo sobresalientes a todos (aunque no podía haberse subido la nota de una convocatoria, pues el acta ya estaría cerrada y haría falta hacer una diligencia en secretaría).
Así que repitámoslo para que quede bien claro: el señor Bernier no es responsable de seguridad de nada y no debería reprochársele nada. De hecho, hizo lo que tenía que hacer: reponer la página seb (!vivan las copias de seguridad!), dar el aviso. Si quieren culpas busquen al que permite que se instale un sniffer en un ordenador accesible a los alumnos. Y aun eso creo que se habría hecho de ser factible. Porque, como algiuen dijo, en los círculos académicos se suele partir del principio de la confianza. Es algo ingenuo, pero en una fuente de conocimientos compartidos es lo habitual. Los ambientes compartimentalizados y la "necesidad de saber" son reglas más típicas de entornos militares que académicos.
Por su parte, todo lo que el atacante pudo hacer es a) borrar la web de la Escuela (cosa que hizo) y b) borrar información de los profesores cuyas claves capturó (lo que puede haber hecho o no, que no se sabe).
La única culpa de Bernier ha sido la de creer que los periodistas darían cumplida cuenta de lo que les contó. La información de ideal dijo "Borró información, eliminó el contacto y la ubicación de la escuela de la web, destruyó páginas importantes... Aún no sabemos si modificó los temarios". Bernier afirma nunca le dijo eso al periodista, no al menos con esas palabras; por el contrario, afirma que "yo simplemente le indiqué [al periodista] que quizás había borrado o modificado los temarios u otras páginas" (la negrilla es mía). Y en efecto, alguien en posesión de la clave de Acceso Identificado de un profesor puede acceder a su espacio web y borrar los archivos contenidos en él. Por supuesto, también puede haber quien piense mal, estilo "sí, claro, la ha cagado y ahora está echando balones fuera con el rollo ese del fuera de contexto". Yo no soy de esos, entre otras cosas, porque diversos compañeros mios han tenido experiencias similares con periodistas.
Y debe de andar en lo cierto, porque el diario Ideal ha publicado otro artículo en el que pone a Bernier por las nubes. De repente, han pasado de un extremo del péndulo al otro, del "qué barbaridad, hay que ver qué cosas pasan, dónde vamos a parar" del primer artículo a un panegírico según el cual la Universidad de Granada es lo más de lo más, su personal es fuera de serie y los granadinos pueden dormir tranquilos. Y por supuesto, nada de pedir disculpas por el jaleo.
Yo, por mi parte, sí las pido. Actué sin malicia en base a la información que tenía, pero acepto mi parte de responsabilidad en todo ese pollo y cada palo debe aguantar su vela. Lo siento, José Luis y te debo una cerveza (con tapa). El "sacador de contexto" de Ideal te debe al menos un jamón con Chivas Regal, pero eso es cosa suya. Salu2.
Arturo Quirantes a las 11:41 PM | Referencias 0Muchas gracias Arturo por tu contestación.
De todas formas, yo no estaba enfadado con tus declaraciones en el otro post ya que sabía que la lectura de la noticia tal como se publicó era fácil de malinterpretar, más bien me fui enfadando a raíz de algunos comentarios y valoraciones gratuitas de otros comentaristas.
Mi preocupación tampoco era tanto por mi nombre, ya que en mi entorno (en la ETSIIT, e incluso por parte de los responsables del CSIRC con los que a menudo he conversado sobre temas de web y saben a lo que yo me dedico) todo el mundo sabe la verdad, sino por mi equipo, un grupo de chavales estupendos que se habían visto metidos en todo este follón, sobretodo por el pobre al que captaron su contraseña por encontrarse en un aula haciendo prácticas en el momento inadecuado.
Como bien dices, en el segundo artículo de ideal poco menos que nos ponen como superhombres. Les dejé un mensaje para indicar que les agradecía la rectificación pero que me parecía que ahora exageraban, pero lo han borrado.
Lo cierto es que los primeros en alertarnos fueron varios alumnos, que nos remitieron correos e incluso me llamaron por teléfono para avisar de las anomalías que habían comenzado a suceder que ellos creían que se debía a algún despiste sin importancia. Gracias a esos avisos nuestra reacción fuera inmediata, y si no hubiese sido por nuestros mensajes en la web avisando de lo que habíamos descubierto sobre la vulnerabilidad de las contraseñas y mis emailes para alertar a los profesores (que suelen ser los que menos caso hacen cuando se lanzan este tipo de avisos) del peligro, el ataque a la web hubiese pasado totalmente inadvertido para todo el mundo.
Por otra parte, no niego que si hubiese tenido un plan malvado, el atacante podría haber hecho algo de daño cambiando información de forma menos llamativa, pero parece que su intención era llamar la atención o bien que se topó por casualidad con el área de administración del gestor de contenidos y empezó a curiosear probando opciones en el mismo, explorando nuestra plataforma (yo me decanto por esta segunda opción a raíz de las acciones registradas en nuestros logs).
Un saludo y gracias de nuevo,
Jose Luis
Jose L. Bernier | 10 de Noviembre de 2007 - 02:12 AMBuenos días, está claro que no puedo dormir tranquilo.
Esta mañana me despierto con una referencia en los periódicos, ya sin venir a cuento, pero que nos ha hecho comprender qué está sucediendo: "alguien" nos está usando como cortina de humo para desviar la atención de un tema mucho más grave y del que nosotros simplemente fuimos quienes dimos la voz de alarma.
La periodista afirma que se ha recibido un email del supuesto "hacker" donde explica que hizo lo que hizo como un toque de atención porque anteriores avisos sobre huecos de seguridad a los responsables, fueron desoidos ....
Efectivamente, ayer se recibió ese email anónimo del supuesto "hacker", pero la cita no es exacta, en ella dice que avisó sobre esos huecos de seguridad, pero no refiriéndose al servidor web en particular, sino a la red de la UGR. También se refiere a que avisó a diversos profesores y responsables en temas de seguridad, pero no a la gente responsable de la web ... la periodista mezcla 2 mundos distintos como si fuesen el mismo: el de la web y el de la seguridad.
Es más, el propio "hacker" indica explícitamente en su email que aunque efectivamente entró en la web, sólo pudo hacerlo "a nivel de formularios" usando las contraseñas de otros a quienes se las robó aprovechando fallos de seguridad en la red del centro (y no a fallos en la web).
No voy a hablar más, me reservo mis derechos y los de mi equipo de colaboradores para llegar incluso a denunciar por difamación donde corresponda, sólo quiero hacer hincapié de nuevo en que el servidor web no ha sido ni hackeado ni crackeado en ningún momento, la seguridad que fue vulnerada fue la de la red del centro y el servidor web fue simplemente una de las máquinas o servicios atacados (sin llegar a hacer daño alguno y siendo controlado de inmediato) usando las contraseñas robadas a nivel del centro (que ni dependen, ni se conocen, ni se almacenan en la web).
Pero piensen una cosa, con esas claves robadas se pueden hacer muchas otras cosas y no precisamente en el servidor web ...
Un saludo.
Jose L. Bernier | 10 de Noviembre de 2007 - 11:02 AM
