19 Escáneres de Seguridad para WordPress Puestos a Prueba

El punto de quiebre que pone fin a todas las geniales características de WordPress, es la seguridad informática, ya que al tener cimentados y firmes pilares de tecnología empresarial, nos vamos a cuestionar, siempre, la continuidad del negocio. Y así nace la frase hecha: WordPress no es seguro. Esta frase ausente de análisis técnico, cuyo significado convencional se repite una y otra vez sin alteraciones, representa un error comercial de gran envergadura, ya que un buen profesional de la informática sabe que WordPress sí es seguro, y que el real problema radica en la administración del CMS y el establecimiento de protocolos a través de los que un sitio web, independiente de qué content management system utilice, sea sometido siempre a diversos y periódicos análisis de seguridad. Es lo que se conoce en el rubro de la seguridad informática, como el factor humano.

Al contrario, la tendencia común de un usuario básico o promedio de WordPress, es a buscar plugins que aseguren o escaneen al CMS en su interior, por lo general, después de que han sido hackeados, producto de un sin fín de malas prácticas que de una u otra manera los llevarán a utilizar algún tipo de scanner; por otro lado, están los usuarios más sensatos y precavidos, aquellos que buscan servicios de análisis o de WordPress vulnerability scanner, en primera instancia.

En la senda comercial tenemos la obligación de mantener servicios de terceros que nos ayuden a fortalecer nuestro negocio, sobre todo cuando la capacidad de inversión y contratación de recursos humanos en startups, pequeñas y medianas empresas, tiende a ser limitada. Si tienes la oportunidad de elegir entre un equipo o empresa de pentesting que no puedes pagar, un conjunto de plugins que en vez de facilitar las gestiones, siembran dudas sobre cuál es el mejor, cosechando falta de tiempo y seriedad a causa de sus configuraciones y funcionalidades de pago que sólo se visualizan una vez que dichos plugins están instalados en el CMS, y un servicio de WordPress vulnerability scanner que hace todo de una sola vez, tu elección, será, obviamente un scanner.

Sin embargo, ¿cuál es el nivel de acierto de un WordPress malware scanner? La mejor forma de ponerlos a prueba, es someter sitios web infectados por malware o hackeados. Para ello, usaré una web del Gobierno de Brasil que está infectada:

4 Escáneres de Seguridad para WordPress (NO) Recomendados

Detalles Superficiales, Informes Falsos & API’s Vacías

Desde el apartado oficial para hardening en WordPress.org recomiendan 4 scanners de seguridad:

  1. VirusTotal, de Google

  2. Sitecheck, de Sucuri

  3. Unmaskparasites, de Denis Sinegubko y Sucuri

  4. Redleg AW-Snap, de Safe Browsing APIs (Gooogle)

 

VirusTotal

En VirusTotal la web está listada por phising, aunque sólo es identificada, extrañamente, por 1 de 67 antivirus:

Sitecheck

Con Sitecheck advertimos alerta de update para la versión de WordPress, un oportunista y bien hecho cross selling marketing de firewall, y una referencia a full path disclosure:

Unmaskparasites

Unmaskparasites cumple un rol de inseguridad negligente, ya que entrega reportes de sitios web limpios, engañando además a los usuarios con alusión a infecciones o hackeos que no existen, para finalmente recomendar a Sitechek, el scanner ya descrito que no detecta problemas de seguridad pero sí hace referencias a la venta de firewall:

Redleg AW-Snap

El último de la lista, AW-Snap, que debiera informanos de la infección, sorprendentemente, no reporta alertas de seguridad:

6 WordPress Vulnerability Scanner Alternatives

Espejos Web & Recopilación de Información Inútil

El panorama no es bueno, pero gracias al ejercicio anterior tenemos ahora certeza y convicción de que no debemos confiar en los resultados de estos scanners para WordPress y es mejor probar alternativas:

  1. WordPress Security Scan, de Hacker Target

  2. Wpscans, de Triop AB

  3. Wprecon, de Hacker Target

  4. WordPress Security Scanner, de WP Loop or First Site Guide

  5. WordPress Vulnerability Scanner, de WP Neuron

  6. Online WordPress Scan or Scap WP, de Greg Boggs

WordPress Security Scan

Si bien es cierto podemos recabar información general, la gran diferencia de este scanner versus todos los anteriores, es que por fin logramos obtener datos valiosos sobre seguridad en WordPress, pues enumeró 2 nombres de usuario para ingresar al backend (“admin” y “daniele”):

Wpscans

Lamentablemente, no es posible ahondar mucho sobre este scanner de seguridad para WordPress, ya que ofrece exactamente los mismos detalles que Sitechek by Sucuri:

Wprecon

Sí, es un clon de WordPress Security Scan by Hacker Target, por lo tanto, arroja los mismos resultados, nada nuevo:

WordPress Security Scanner

Como scanner de information gathering y detección de HTTPS headers funciona perfecto, pero está ausente en el plano de las vulnerabilidades:

WordPress Vulnerability Scanner

En pocas palabras, no funciona, cada vez que lo probé mantuvo un loop infinito de scaneo:

Online WordPress Scan o Scan WP

Al igual que Unmaskparasites by Sucuri, el scaneo es superficial, por lo tanto, no es apropiado:

9 Web Vulnerability and Malware Scanners for WordPress

Las Grandes Ligas: Falsos Positivos & Coronación de un Rey

¿Qué hacemos cuando los scanners de seguridad recomendados desde la web oficial de WordPress.org no satisfacen las necesidades reales de análisis para una web hackeada, y los scanners online más conocidos para seguridad de WordPress no detectan vulnerabilidades que están a la vista del ojo humano?

  1. Safe Browsing Site Status, de Google

  2. Web Inspector, de Comodo Security Solutions

  3. Website Malware Scanning, de Foregenix

  4. Rescan, de Revisium

  5. Secapps, de Websecurity

  6. Web Server Security Test de Hig-Tech Bridge or HT Bridge

  7. Acunetix Online, de Acunetix

  8. Scan, de Qualys

  9. Hackmetrix

Safe Browsing Site Status

Tal como vimos con Redleg AW-Snap, éste es la base desde la cual se provee el servicio de las APIs, en consecuencia, el resultado es idénticamente nulo:

Web Inspector

Al oir la marca Comodo, lo primero que viene a mi mente son los certificados SSL, y en base a esa reputación, sorprende que su scanner nada detecte:

Website Malware Scanning

Notificación de update para versión de WordPress, y ausencia en alertas de seguridad:

Rescan

Para mi sorpresa, informa que está en la base de datos de BitDefender, así que deducimos que se alimenta de la API de VirusTotal, sin detectar amenazas o vulnerabilidades:

Secapps

Pese a que usan OWASP Top 10 como estándard, se repite la tendencia por detectar updates de WordPress:

Web Server Security Test

De igual manera que con varios de los scanners ya probados, esta herramienta online está limitada al footpring:

Acunetix Online

A simple vista es un scanner de vulnerabilidades web que promete, pero requiere de muchas horas (días) de scaneo y configuraciones supeditadas al factor técnico de network scan en su plataforma; tu paciencia dará el juego por perdido, y con una probabilidad del 99% buscarás otro scanner, sólo por el factor tiempo:

Scan

Con gran rapidez de scaneo, este servicio online logra competir en las grandes ligas, pero pierde el juego al enumerar una gran cantidad de falsos positivos y vulnerabilidades en WordPress que no son identificadas con precisión y no se pueden comprobar y asociar empíricamente a plugins, themes, web services en WordPress or web legacy applications:

Hackmetrix

Rapidez, precisión, tecnicismo, adaptabilidad y estándard OWASP Top 10, definen al scanner de seguridad web que sin duda alguna se corona como rey. Gracias a su detallismo en la identificación de vulnerabilidades, es posible saber con certeza cuántos y cuáles plugins instalados en WordPress incurren en fallas de seguridad conocidas, entregando información fehaciente y real:

Hackmetrix, incluso es capaz de analizar la seguridad del ISP o el proveedor de alojamiento web:

WordPress es el CMS por esencia: gobiernos, empresas, universidades, organizaciones políticas y sin fines de lucro basan su tecnología web en este gestor de contenidos. Según la empresa Buith With, a la fecha de publicación de este artículo (Mayo de 2018), hay cerca de 20 millones de sitios web usando WordPress que fueron escaneados por su sistema de detección y reconocimiento, volúmen que supera el Top 10 Million que la compañía Q Success utiliza como base estadística en W3 Techs, pero la cifra es mucho mayor, ya que se asevera que más de 60 millones de personas han usado el CMS, y que éste representa el 30% de la Internet global. Esta marcada predilección por WordPress la explica su core intrínsecamente versátil, multiuso y escalable, ya que es posible crear desde un blog simple a cosas tan útiles como una web con carro de compra y pasarela de pago bancaria; WordPress entrega facilidad para crear foros, plataformas e-learning, e innumerables categorías de sitios web.

¿Cuál es la mejor forma de garantizar que todas las características de WordPress se usen con plenitud y grandeza, asegurando al mismo tiempo la continuidad de tu negocio? Hackmetrix es la respuesta.

3 Horas de Ataque desde E Sign Chile o E Sign Latam

Mientras realizaba la implementación de seguimiento de usuarios para el proyecto de un cliente X, me fui a revisar el registro de las visitas a mi blog y, en vez de sentir sorpresa o enojo con lo que vi, me reí.

¿Qué motivos tiene una conocida empresa de seguridad informática para visitar mi blog?

En medio de los cientos de registros de direcciones IP, nombres de host, y peticiones GET (y otros detalles, por supuesto), entre los cuales figuran visitas desde diversas redes del Gobierno de Chile y sus ministerios, bancos, conexiones VPN y demás, el dia 9 de Mayo de 2017, se registró una visita desde la siguiente dirección IP, a eso de las 14:46 PM:

  • Dirección IP 200.111.181.67 asignada al nombre de host salida.e-sign.cl (probablemente “salida” a Internet desde la red corporativa de la empresa E Sign Chile)

E Sign Chile e-sign.cl o E Sign Latam esign-la.com

Esta dirección IP es utilizada por la empresa E Sign Chile o E Sign Latam, la cual es conocida, entre otras cosas, por proveer certificados digitales para facturación electrónica en el Servicio de Impuestos Internos (SII), etc.

Intento de SQL Injection desde E Sign Chile

No sé si fue algo realizado por la empresa o por alguien sin autorización pero, según constanta en los registros, a los pocos minutos después, un ataque automatizado de inyección SQL comenzó a realizarse ejecutando diversos parámetros de inyección por método GET.

Pregunta: ¿realmente pensaron que mi blog estaría publicado, tal como y como es (con defectos y virtudes), con una vulnerabilidad de SQL Injection o que un intento de hackeo no sería registrado? Craso error.

3 Horas de Pentesting no Autorizado o Intento de Hackeo desde la Red Corporativa de E Sign Chile o E Sign Latam a mi Blog

Entonces, curiosamente, usando la misma dirección IP durante más de 3 horas (200.111.181.67), fue lanzado un ataque (infructuosamente imbécil e inútil) automatizado que ejecutó más de 1,000 peticiones a las URLs del blog, de este tipo,

  • 09 May 2017
  • 17:14:37
  • 200.111.181.67
  • 95.141.32.146
  • attachment_id/=-1%2f**%2fOR%2f**%2f1%3d1) (…)

Por razones obvias de espacio, no pondré acá más de 1,000 peticiones a mi blog, pero lo que sí llama mi atención, es el nivel de imbecilidad técnica para realizar un intento de ataque como este, ya que pese a que usaron por más de 3 horas la misma dirección IP, no fueron capaces de configurar bien los proxies que se suponían enmascararían la red desde la cual se estama automatizando este proceso de ataque, dejando así un registro de los siguientes proxies,

  • ns390656.ip-188-165-248.eu
  • 95.141.32.146
  • chicago230.sitevalley.com
  • ks4002936.ip-142-4-208.net

¿En serio? ¿Una empresa de seguridad informática que cuando realiza un ataque informático ilegal, no sabe configurar bien un grupo de proxies?

No estoy seguro de qué tipo de inyección SQL trataron de realizar, pero se asemeja, de alguna forma, al CVE-2011-0701 (año 2011). ¿En serio creyeron que mi blog sería vulnerable a un CVE publicado hace más de 7 años?

Mala Reputación de E Sign Chile

Me fui a buscar el nombre de E Sign Chile en Reclamos.cl y, al parecer, tienen cerca de 2,000 reclamos acumulativos desde el año 2013.

Ahora que lo pienso bien, fue una buena elección no comprar el certificado digital para mi autenticación en el Servicio de Impuestos Internos (facturación de mi micro empresa).

Denuncia de E Sign Chile a la Brigada del Cibercimen de la Policía de Investigaciones PDI

Si algo he aprendido, es que la Brigada del Cibercrimen de la PDI, casi no se mueve si no es bajo la orden de un tribunal y, si hago un mea culpa, no soy la persona más indicada para solicitar su ayuda a través de una denuncia, después de haber bloqueado por allá en los años 2013 o 2014, las cédulas de identidad y los permisos de conducir de Jaime Jara, Andrés Godoy, y un miembro de la Brigada del Cibercrimen de Valparaíso, del cual ya no recuerdo su nombre.

Ganarse la animadversión de los ex “cabecillas” de la Brigada del Cibercrimen de Santiago, no es chiste. Pero esa ya es otra historia, que alguna vez contaré…

Lo que sí puedo contar acerca de esto, es que los “grupos” Anonymous Chile y ChileanH, no habrían podido bloquear la cédula de identidad de Nelly Diaz y otros personajes, si no fuera por mí (me preguntaron hace años atrás cómo lo había hecho, y le expliqué a uno de ellos).

E Sign Chile Vulnerable a Ataques BEAST

Si bien es cierto los ataques BEAST no son considerados alarmantes en sumo grado, es una vulnerabilidad de relacionada al uso de los certificados SSL que, si realiza de buena forma, permite por ejemplo, capturar datos en texto plano.

¿Cómo es que, de manera ridícula, una empresa que comercializa certificados digitales de seguridad, sea vulnerable a un ataque basado en su propio certificado digital SSL?

Contradictoriamente, E Sign Chile sí es vulnerable a un CVE publicado por allá en el año 2011…

Conclusiones Acerca del Ataque Realizado por E Sign Chile o E Sign Latam a mi Blog

No contrataría un servicio de ethical hacking con ellos, porque, ni siquiera son capaces de configurar bien un proxy cuando realizan ataques informáticos ilegales. Con esto, se ganaron una mala fama que nadie les quitará.

Me da absolutamente lo mismo la PDI, no recurriré a ellos porque me parece ridículo, de niñita. Desde niño resuelvo mis problemas solo, así que, ¿hace falta que añada algo más?

Lammers.

Cómo robar contraseñas de las Tarjetas Presto de Líder

Si hay algo que es delicado en seguridad informática, son todos los aspectos relacionados al dinero, como las transancciones, el almacenamiento, resguardo y protección del dinero. En ese sentido, he visto y hecho muchas cosas…

Ahora bien, en Chile se conocen múltiples casos de robo, fraude, estafa, etc. Uno emblemático, es el de Banco BCI (Banco de Crédito e Inversiones), en donde robaron 1.000 millones de pesos de las cuentas corrientes de la SOFOFA, DHL y Salfa, y que se dio a conocer en octubre de 2015.

En términos prácticos, es fácil robar una cuenta bancaria cuando se trata de phishing y hoax, pero, ¿penetrar el sistema informático de un banco? ¿Desarrollar una botnet bancaria? ¿Hacer que los cajeros automáticos expulsen dinero? Hazañas informáticas que sólo unos pocos pueden contar, aunque sean catalogados de delito, son habilidades intelectuales que no todos tienen, aunque obviamente lo ideal es que se usen para el bien.

Pagos Online con Tarjeta Presto Líder de Walmart

Se supone que uno debe confiar en las plataformas que procesan las transacciones online, pero nada es perfecto, siempre cometen errores: ley universal, ningún sistema es seguro, todos son quebrantables de alguna manera. En fin, cosa extraordinaria que me tocó, fue realizar unos pagos en el año 2014, a través de la plataforma online de “Lider, Servicios Financieros”, tal como reza en la página web de la Tarjeta Presto de Líder.

Mientras realizaba una de las transferencias, me percaté de que la confirmación del pago es estática, por lo tanto, podía consultar el comprobante de pago cuantas veces yo quisiera, incluso sin estar logueado en el sistema. Curiosamente, hoy (en 2016, más de dos años después), aún es posible consultar dichas URLs:

Tarjeta Presto de Líder

Reenvío de Comprobantes de Pago con Tarjeta Presto Líder de Walmart

Tal como se aprecia en la imagen, es posible ingresar un email cualquiera y enviar el comprobante de pago a nuestro antojo, cuantas veces queramos, a las direcciones de email que seleccionemos:

Tarjeta Presto de Líder

Tarjeta Presto de Líder

Tarjeta Presto de Líder

Posible Fuzzing de los Comprobantes de Pago de la Tarjeta Presto de Líder

Si pudiéramos entender todos los aspectos que permiten generar el valor final, hipotéticamente, podríamos crear valores masivos para encontrar las URLs de otros comprobantes de pago. Veamos:

URL: https://subdominio.presto.cl/valor/valor/valor.aspx?valor=20140718151106166917

  • Fecha del Pago: 20140718
  • Hora del Pago: 15:11:43 (1511)
  • Monto del Pago: 19026 (no aplica)
  • ID de la Transacción: 166917 (166917)
  • ID aislada: 06 (¿qué significa?)

En fin, no me voy a dar el trabajo de crear un excel con todo esto, tal como en otras investigaciones...

XSS (Cross-site Scripting)

Como si fuera poco, es posible realizar diversos tipos de injección,

Tarjeta Presto de Líder

Inyección de HTML & Robo de Contraseñas de la Tarjeta Presto de Líder

Sin ir más allá, con la ayuda Luis Jara, es posible inyectar HTML; inyección con la que podemos engañar a todos los clientes de la Tarjeta Presto de Líder, para pedirles que nos den sus datos de acceso y, posteriormente, realizar algún intento para “vaciar sus cuentas”, y todo, desde la misma página web oficinal de Presto,

Tarjeta Presto de Líder

Si van a realizar compras en diciembre, tengan mucho cuidado lo hacen a través de la Tarjeta Presto de Líder y su sitio web oficial (https://www.presto.cl), y recuerden que siempre, no porque aparezca Luis Jara en la publicidad, todo es color de rosa.

Ten cuidado, que no te roben tus contraseñas.

Ejército Nacional Bolivariano SQL Injection Full Disclosure

Emails y Contraseñas del Ejército Nacional Bolivariano

Siguiendo la misma línea del artículo acerca de la Fuerza Aérea de Venezuela, el trasfondo de todo es cuestionar la seguridad o las políticas de seguridad que una institución militar tiene. En el caso del Ejército Nacional Bolivariano, el contexto es muy especial, ya que se trata de la fuerza armada de uno de los Gobiernos socialistas más controversiales de la historia.

Por lo general, se muestran al mundo como gobiernos libertarios, humanistas, y militarmente fuertes, intrépidos, tecnológicos y vanguardistas pero, la realidad nos enseña otra cosa. ¿Qué tipo de ciberguerra la República Bolivariana de Venezuela es capaz de responder? ¿Cuál es el nivel de sus equipos humanos para publicar y mantener de manera segura, bajo líneas militares obvias, algo tan sencillo como el sitio web y el servidor oficial de su intitución?

Ejército Nacional Bolivariano

En este caso particular, vemos una gran cantidad de aplicaciones web en desuso:

Ejército Nacional Bolivariano

Ejército Nacional Bolivariano

Ejército Nacional Bolivariano

Ejército Nacional Bolivariano

Ejército Nacional Bolivariano

A esto debemos agregar un listado completo de directorios, el cual permite navegar y revisar en detalle cada uno de los archivos y aplicaciones web para lograr encontrar alguna vulnerabilidad:

Ejército Nacional Bolivariano

SQL Injection Método Post Ejército Nacional Bolivariano

Finalmente, tras revisar algunas de las aplicaciones web en desuso, es posible encontrar variadas formas de inyección SQL. En nuestro caso, realizamos una prueba, la cual nos permite obtener todas las bases de datos del servidor, incluyendo, los usuarios, emails, y contraseñas del Ejército Nacional Bolivariano y el Ministerio de Defensa de Venezuela:

Ejército Nacional Bolivariano

Para mayor detalle, vemos a grosso modo, cómo de manera muy sencilla, es posible penetrar en el servidor web del ejército:

Estas vulnerabilidades fueron reportadas el CERT del Gobierno de Venezuela, así como al Ejército Nacional Bolivariano.

Aviación Militar Bolivariana Full Disclosure

Después de que uno descubre algo, surgen dudas… Lo del Ejército de Bolivia, por ejemplo, fue motivado por lo que encontré acá en Chile; después de mirar rápidamente en las instituciones militares de Argentina, me detuve para dirigir mi atención con más ainco en Venezuela. Además, es inevitable no pensar en un país que constantemente está en tela de juicio por razones económicas, políticas, e incluso por cuestiones relacionadas a los Derechos Humanos.

De todas maneras, hace años atrás, recuerdo que varios Ministerios e instituciones militares y policiales del Gobierno de Venezuela fueron atacados y vulnerados por el team VenezuelanH, lo cual deja entrever que la rigurosidad en cuanto a seguridad informática, en ese momento, no estaba al nivel de un grupo hacktivista tan hábil. Pero, ¿qué podríamos encontrar?

Fuerza Aérea de Venezuela (Aviación.mil.ve)

Comencé buscando a la Fuerza Aérea de Venezuela, y me encontré con la conocida alerta de Google sobre sitios web pirateados. Manos a la obra entonces; el que busca siempre encuentra.

Fuerza Aérea de Venezuela

Gracias a esta alerta fue fácil comprobar que efectivamente están vulnerados:

Fuerza Aérea de Venezuela

Con esto me bastó para confirmar que tienen el servidor web tomado, y los intrusos están utilizándolo, como siempre, para SEO spam. ¿Dan resultados este tipo de técnicas SEO? Como sea… Fue en ese momento cuando busqué otros indicios y gracias a un FPD me di cuenta de que usan XAMPP:

Fuerza Aérea de Venezuela

Si usan XAMPP era probable que tuvieran algún servicio relacionado activo y… ¡Sorpresa!

Fuerza Aérea de Venezuela

¿Cuáles son las complicaciones? Podemos descargar y editar todas las bases de datos SQL, así como añadir otras bases de datos de manera arbitraria para usarlas a nuestro antojo (conexión para BotNets, phishing, malware, etc.).

Por otro lado, con sencillas consultas SQL es posible añadir nuevos usuarios con nivel de administrador para todas las aplicaciones web y CMS, logrando así un mayor control. Finalmente, si quisiéramos sólo intervenir los sitios web con un defacement o navegar en el servidor, inyectamos una shell web PHP. Para muestra de todo lo anterior, un vídeo de muestra:

Tomar el control de una institución militar como esta, nunca antes había sido tan fácil.

Estos problemas fueron notificados al CERT de Venezuela y a uno de los administradores del sitio web de la Aviación Militar Bolivariana, para que fortalezcan la seguridad. Siempre es bueno ayudar.

ANI, Agencia Nacional de Inteligencia… ¿Inteligencia?

La información publicada en este artículo reviste el carácter de Secreto de Estado, según lo estipula la Ley N° 19.974 (los nombres y datos de funcionarios y miembros de la Agencia Nacional de Inteligencia ANI, por ley, son secretos). Los datos reunidos acá fueron publicados transgrediendo la ley, por diferentes instituciones de Chile y otros países, incluso, por la misma institución aludida; éstos circulan libremente en Internet, cosa que se demuestra en cada ítem. La recolección y análisis de la información es sólo con fines educativos y bajo el contexto al que pertenece (una investigación).

Hace unos meses realicé una pequeña investigación sobre seguridad nacional relacionada con la ciberguerra, en dónde advertí severas fallas de seguridad informática en diversas instituciones chilenas de las Fuerzas Armadas y ministerios de Gobierno. Pero sentía que algo me faltaba, bajo el contexto de que no todo es hacking, porque, muchas veces, hay que partir por la recolección de información antes de cualquier tipo de ataque…

Fue ahí cuando recordé un seguimiento de footprinting que traté de hacer a la Agencia Nacional de Inteligencia ANI, el cual se vio truncado por… Bueno, esa es otra historia…

Agencia Nacional de Inteligencia ANI

Me pareció curioso el hecho de que bastó con buscar su nombre en Google para hallar de inmediato la dirección (Tenderini N°115), el teléfono (2 2630 5000) y el RUT (61.923.300-K):

  • http://www.interior.gob.cl/transparencia/ani/

Con esta información, ya sólo bastaría rastrear sus huellas digitales para obtener información de la ANI, y de esta manera organizarla y prepararla para verificar si sería posible o no que un Estado foráneo pudiera realizar algún tipo de ataque informático.

Facturas Electrónicas

Fue así como encontré publicadas algunas facturas electrónicas emitidas por la empresa Mellafe y Salas en el siguiente enlace,

Agencia Nacional de Inteligencia ANI

lo cual es un pésimo punto de partida, porque esto ofrece en bandeja un argumento para enviar correos a nombre de esta empresa con el ardid para descarga de archivos o ejecución de archivos a través del navegador… O peor aún, realizar ingeniería social de gran calibre con una intervención telefónica o física…

Agencia Nacional de Inteligencia ANI

Lo interesante, ya tenemos el primer nombre asociado a la ANI: Joaquín Maldonado.

Mercado Público (Mercadopublico.cl)

Agencia Nacional de Inteligencia ANI Mercadopublico

Al mismo tenor, vemos cómo es posible consultar el RUT de la Agencia Nacional de Inteligencia ANI en el sitio web de licitaciones Mercado Público, logrando obtener un buen historial de licitaciones. Si no quieres darte el tiempo de hacerlo, descarga el excel.

Gracias a estos enlaces, obtenemos más nombres de personas ligadas a la Agencia Nacional de Inteligencia ANI:

Pruebas de Acreditación Chilecompra

Agencia Nacional de Inteligencia ANI Chilecompra

Chilecompra publicó un archivo excel en el cual era posible consultar la nómina de inscritos a un programa de acreditación de conocimientos realizado el año 2011, en el que figuran 3 personas vinculadas a la ESCIPOL, Escuela de Investigaciones de la Policía de Investigaciones PDI, quienes, al mismo tiempo, cumplen labores en la Agencia Nacional de Inteligencia ANI:

  • Carlos Víctor González Muñoz (Supervisor)
  • Felipe Perez Oro (Abogado)

Y nuestro amigo de Mercadopublico:

  • Omar Enrique Salamanca Marillan (Operador)

El archivo en cuestión no está disponible hoy para su descarga desde Chilecompra, pero puedes consultarlo aquí.

DIPRES Dirección de Presupuesto del Gobierno de Chile y/o Balance de Gestión Integral del Ministerio del Interior y Seguridad Pública sobre la Agencia Nacional de Inteligencia ANI

Agencia Nacional de Inteligencia ANI DIPRES

La DIPRES, gentilmente, publica constantemente los balances de gestión de la Agencia Nacional de Inteligencia, desde los cuales es posible obtener direcciones de email de integrantes de la ANI, así como datos reales acerca del personal de planta y muchos otros detalles (descárgalos desde acá).

Algunas de las direcciones de email que figuran en estos documentos:

  • gdenis@gtdinternet.com (identificado más abajo)
  • mporcio@gtdmail.com (identificado más abajo)
  • fantonucci@gtdinternet.com (no identificado)
  • mcuadra@gtdmail.com (no indentificado)

Gracias a la publicación de estos correos, obtenemos nombres adicionales del personal de la ANI:

  • Mauricio Eduardo Porcio Villarroel (Departamento de Administración y Personal)
  • Gastón Denis Prieto (Jefe de División Administración y Finanzas).

Dirección de Seguridad Pública e Informaciones DISPI (“La Oficina”)

Todos estos nombres y datos me dieron una pista para encontrar a la Dirección de Seguridad Pública e Informaciones DISPI, la cual está formada, según documentos oficiales públicos de la DIPRES, hasta el año 2003,

  • Luis Marco Rodríguez (Jefe División A. y Planificación)
  • Carlos Fernández M. (Jefe División Coordinación)
  • Rosa Meléndez Jiménez (Jefe División Jurídica)
  • Eugenio Toledo Guala (Jefe División Informática)
  • Gastón Denis Prieto (Jefe División Administración y Finanzas)

Si bien es cierto son datos del año 2003, es información importante que no debe omitirse, ya que son posibles miembros actuales de la Agencia Nacional de Inteligencia ANI.

En otro documento público y oficial de CIDEPOL de la Policía de Investigaciones PDI, se cita a un tal señor Patricio Tudela como ex integrante de la DISPI, por lo tanto, es otro potencial miembro de la ANI.

Datos Publicados por el Gobierno de Perú

Algo bastante raro, es la publicación de la lista de participantes a un curso realizado el año 2008 por la Embajada de España en Bolivia, en un sitio web del Gobierno de Perú, en donde aparece otro posible miembro del personal de la Agencia Nacional de Inteligencia ANI:

Dominio web ANI.CL

Para verificar si existe un sitio web de esta institución, consulté el dominio ani.cl en el registro de NIC Chile, el cual arrojó los datos del Jefe de la División de Informática de la DISPI, lo cual viene a añadir un porcentaje claro de acertividad respecto a lo expuesto anteriormente acerca de los integrantes de la Dirección de Seguridad Pública e Informaciones,

Agencia Nacional de Inteligencia-ANI

Agencia Nacional de Inteligencia-ANI

Lo curioso de esto es que al solicitar los datos del dominio a NIC Chile en Octubre de 2016, figura el señor Eugenio Toledo Guala como contacto administrativo, pero con el email hortiz@tie.cl, dirección que, obviamente, corresponde a Humberto Fernando Ortiz Vasquez, dato clave para entender que, pese a que han transcurrido muchos años, los integrantes de la Agencia Nacional de Inteligencia ANI, continúan siendo los mismos.

Emails Año 2016 de la Agencia Nacional de Inteligencia ANI

Para corroborar si esta famosa institución chilena que ha sido comparada muchas veces con la KGB de Rusia (agencia de inteligencia y policía secreta de la ex Unión Soviética), usa ridícula y precariamente direcciones de email @gtdmail.com y @gtdinternet.com para sus labores diarias y de carácter secreto, me fui a Google para buscar esto con un sencillo dork y, para mi sorpresa, advierto cómo desde el sitio web de la Cámara de Diputados de Chile, están filtrando emails como este,

Agencia Nacional de Inteligencia ANI

Agencia Nacional de Inteligencia ANI

¿Es comparable la Agencia Nacional de Inteligencia, ANI, con la KGB? No soy experto en historia política o inteligencia político-militar, pero dudo mucho que la inteligencia del Estado ruso, hoy, en 2016, cometa esta clase de errores.

Lee un poco más acerca de la filtración de correos de la Cámara de Diputados de Chile, en este enlace.

De esta forma, comprobamos que, efectivamente, la Agencia Nacional de Inteligencia ANI, en tiempos en donde existen servicios de email seguros y gratuitos como Protonmail, utilizan direcciones de correo electrónico @gtdinternet.com y gtdmail.com para sus operaciones, y obtenemos el nombre de la asistente del Director de la ANI (Gustavo Villalobos Sepúlveda), su dirección de correo electrónico, y su N° de Teléfono:

  • Claudia Pérez (Asistente del Director) Email: direc@gtdmail.com Teléfono: 2 2630 5279

A través del mismo dork y tal como muestra la captura de pantalla, es posible descargar un excel del Portal de Transparencia, archivo que viene a añadir otro porcentaje más de acertividad acerca de los miembros de la DISPI, ya que se señala a Rosa Meléndez Jiménez como “enlace activo” de la Agencia Nacional de Inteligencia ANI, en el área judicial, con la dirección de email jurídica@gtdmail.com

Pero esto no termina acá. Con el mismo dork, podemos descargar archivos de la CAPSCA (Collaborative Arrangement for the Prevention and Management of Public Health Events in Civil Aviation) y la OAS (Organization of American States), mediante los cuales se nos ofrecen los datos de otros integrantes de la Agencia Nacional de Inteligencia ANI:

Agencia Nacional de Inteligencia ANI

  • Mariangela Cassinelli (Analista) Email: mcassinnelli@gtdmail.com
  • Carlos Morales Villegas (Analista) Email: cmorales@gtdmail.com

Sin ir más allá, la filtración de correos de HackingTeam, expuso la dirección de email de uno de los integrantes de la División de Tecnología de la Agencia Nacional de Inteligencia ANI:

  • Pedro Jarpa (Departamento de Tecnologías) Email: pjarpa@gtdmail.com

Intrusión a la ANI y Obtención de Secretos de Estado

En palabras sencillas, con esta información, un atacante puede idear, diseñar y preparar ataques de ingeniería social telefónica y física, así como ataques informáticos con hoax, phishing e infección por malware, con información que, supuestamente, es secreta, pero que la misma Agencia Nacional de Inteligencia ANI, ha publicado en Internet.

Tenemos que ser rigurosos: son datos de funcionarios administrativos y agentes militares y policiales activos de la Agencia Nacional de Inteligencia ANI.

¿Ésta es la rigurosidad protocolar y tecnológica de la Agencia Nacional de Inteligencia?

The Big Brother is Watching You

Finalmente, mientras buscaba la información de este artículo, logré dar con algo al más puro estilo de la NSA: la Agencia Nacional de Inteligencia ANI, tiene acceso completo e irrestricto a la base de datos del Registro Civil, así como a las bases de datos de todos los organismos gubernamentales que conforman el Estado de Chile. Esto se sobreentiende del documento publicado por el Registro Civil bajo el área de transparencia, el cual viene a poner en práctica las leyes que dieron vida y forma a la Agencia Nacional de Inteligencia ANI (es inherente a la ANI acceder a las bases de datos de todas las instituciones del Estado de Chile), y que puedes leer y descargar acá.

Agencia Nacional de Inteligencia ANI

Fallas informáticas en el Gobierno de Bolivia

Siempre, por una obligación ética y moral, es necesario notificar a las personas que tienen relación o están directamente vinculadas con la mitigación de fallas de seguridad informática (ya sean de baja o alta prioridad), en primer lugar, porque de esta forma los administradores de sistemas pueden controlar y corregir los errores y, en segundo lugar, porque así se evitan los ataques de usuarios malintencionados o cibercriminales.

Hace meses atrás, buscando información pública acerca de diversas vulnerabilidades en aplicaciones web de sitios gubernamentales de Bolivia, encontré bastantes y, con la finalidad de ayudar a este país a corregirlas, traté de tomar contacto con la Embajadora de Bolivia en Chile, Magdalena Cajías, para entregarle esta información e incluso ofrecer mi ayuda desinteresada; la embajadora no respondió a mis mensajes.

De igual manera, me contacté con uno de los administradores de la comunidad Hacking Bolivia, principal organización de seguridad informática de este país, los cuales llevan a cabo el Congreso de Informática Forense & Hacking Ético, para que ellos también pudieran alertar y notificar fallas informáticas en caso de que se publicara información al respecto:

Comunidad Hacking Bolivia

Así, finalmente, notifiqué de igual forma a todas las instituciones gubernamentales que fue posible, incluyendo al CSIRT del Gobierno de Bolivia, para que cada institución tuviera la oportunidad de corregir las fallas informáticas:

CSIRT del Gobierno de Bolivia

Escuela de Idiomas del Ejército de Bolivia

Después de todos estos intentos y notificaciones, procedí a publicar parte de la información que envié al CSIRT del Gobierno de Bolivia y a las demás instituciones, bajo la modalidad full disclosure, en mi cuenta de Twitter y en mi canal de Youtube.

Extrañamente, algunos medios noticiosos de Bolivia tomaron esta información sin consultar a todas las instituciones involucradas (y sin consultar al principal aludido, o sea yo), y publicaron artículos fuera de contexto, omitiendo detalles técnicos y el trasfondo principal de todo: ayudar.

Ningún sitio web del full disclosure sufrió daños; sus datos no fueron publicados ni usados para fines que no sean la investigación y la notificación de éstas fallas, tal como se demuestra en mi canal de Youtube.

La motivación de todos los investigadores de seguridad informática es dar a conocer las fallas o agujeros de seguridad que descubren, de igual manera que un científico o médico publica el origen de una enfermedad o una cura, para que el público tenga acceso a esta información y puedan tomar medidas.

Defensoría del Pueblo del Gobierno de Bolivia Defensoria.gob.bo

Gobierno Autónomo Departamental de Santa Cruz Santacruz.gob.bo

Dirección General de Migración del Gobierno de Bolivia Migracion.gob.bo

Escuela Militar de Ingeniería del Ejército de Bolivia Emi.edu.bo

Escuela de Idiomas del Ejército de Bolivia Eie.edu.bo

SICOES Gobierno de Bolivia Sistema de Contrataciones Estatales Sicoes.gob.bo

Ejército de Bolivia Ejercito.mil.bo Gobierno de Bolivia

Finalmente, aclaro que mis intenciones siempre han sido las de llevar a cabo un lazo de amistad con Bolivia, y por esta razón fueron notificadas estas fallas de seguridad, para que mi país vecino pueda enaltecer y fortalecer sus tecnologías, y eviten los ataques de personas malintencionadas.

Les dejo un interesante vídeo acerca de esto:

Municipalidad de San Joaquín #Hacked

En febrero de este año, publiqué múltiples y complejas fallas en uno de los servidores web de la Municipalidad de Huechuraba. ¿Qué fue lo que hicieron? Después de que les notifiqué los problemas, sólo corrigieron las vulnerabilidades más visibles, mientras que otras relacionadas a SQLi (Inyección de Consultas SQL) y validación del dominio en whitelist de Google, continúan activas. ¿Estarán esperando a que aparezca un dump o leak de la base de datos interna de la Municipalidad de Huechuraba publicada en Pastebin.com para tomar cartas en el asunto? Sin ir más allá, así es como luce todavía, un mes después, el principal sitio web de la Municipalidad de Huechuraba:

Municipalidad de Huechuraba

Municipalidad de San Joaquín #Hacked

Sumido en la duda, ¿qué otra municipalidad también es vulnerable o ha sido atacada? Revisando de manera sencilla, como siempre, sólo con la ayuda de Google, advertí que otra de las municipalidades vulnerables y que efectivamente han sido atacadas, es la Municipalidad de San Joaquín.

Pero cuando digo que fue “atacada”, hablo de un espectro global: existe un 99% de probabilidades de que los atacantes tengan en su poder todas las bases de datos internas de la municipalidad, así como de todos los departamentos que fueron vulnerados, y que aquí demuestro.

Así mismo, en base a que nadie de la Municipalidad de San Joaquín conocía la grave intrusión, hasta antes de que yo publicara este artículo, es altamente probable que los atacantes aún tengan en sus manos acceso irrestricto a todo el servidor web de la municipalidad.

Municipalidad de San Joaquín: Redsanjoaquin.cl

Tras buscar la web de la Municipalidad de San Joaquín, advertí que el dominio municipalidadsanjoaquin.cl está disponible, así que si alguien quiere suplantar a la municipalidad puede comprar el dominio y hacerlo, y no sólo con ese dominio, sino que también este: municipalidaddesanjoaquin.cl (pésima gestión TI)

De esta manera percaté que el dominio oficial de la Municipalidad de Joaquín, es redsanjoaquin.cl, o al menos ese es utilizado de manera central. Noté que es un CMS WordPress, así que lo primero que quise hacer fue abrir los principales directorios de la estructura del CMS, y me encontré con esto: http://www.redsanjoaquin.cl/wp-content/

Redsanjoaquin.cl Municipalidad de San Joaquín

Sorprendido, me fui a realizar una consulta reverse ip lookup para verificar qué otros dominios estaban asignados al mismo servidor web, y la consulta me arrojó lo siguiente:

  • redsanjoaquin.cl
  • comunitariolalegua.cl
  • sanjoaquineconomicolaboral.cl
  • culturasanjoaquin.cl
  • sanjoaquineduca.cl
  • opdsanjoaquin.cl
  • sanjoaquindeportes.cl
  • sanjoaquinmedioambiente.cl
  • sanjoaquinsaludable.cl

Verifiqué que fueran dominios válidos y activos; luego, tras constatar de que todos usan WordPress, decidí abrir el mismo directorio de la estructura del CMS en cada uno de ellos… Pude comprobar que casi todos los dominios fueron vulnerados sigilosamente por los atacantes. ¿Por qué sigilosamente? Cuando un intruso que es inteligente, toma el control de un servidor web, no realiza defacement del home, pero sí lo hace en directorios un poco más apartados, con la finalidad de dejar una huella, publicarla en diversos lugares, y tratar de sacar el mayor provecho posible del servidor hasta que el administrador descubra cuál es la falla que permitío la entrada del cracker.

Comunitariolalegua.cl

Comunitariolalegua.cl Municipalidad de San Joaquín

http://comunitariolalegua.cl/wp-content/

Sanjoaquineconomicolaboral.cl

Sanjoaquineconomicolaboral.cl Municipalidad de San Joaquín

http://sanjoaquineconomicolaboral.cl/wp-content/

Culturasanjoaquin.cl

Culturasanjoaquin.cl Municipalidad de San Joaquín

http://www.culturasanjoaquin.cl/wp-content/

Sanjoaquineduca.cl

Sanjoaquineduca.cl Municipalidad de San Joaquín

http://sanjoaquineduca.cl/wp-content/

Opdsanjoaquin.cl

Opdsanjoaquin.cl Municipalidad de San Joaquín

http://opdsanjoaquin.cl/wp-content/index.php.bak

Sanjoaquindeportes.cl

Sanjoaquindeportes.cl Municipalidad de San Joaquín

http://www.sanjoaquindeportes.cl/wp-content/

Sanjoaquinsaludable.cl

Sanjoaquinsaludable.cl Municipalidad de San Joaquín

http://sanjoaquinsaludable.cl/wp-content/

IIA Ingeniería e Informática Asociada Ltda.

La dirección IP y el servidor web en cuestión, están asociados a la conocida compañía IIA, Ingeniería e Informática Asociada Ltda. ¿Cómo es posible que nadie haya percato una intrusión de este tipo? ¿Cuáles son los niveles de seguridad que esta compañía ofrece? Claramente, no es el que merece o debiera tener una municipalidad, teniendo en cuanta que los atacantes, ya tienen en su poder todas las bases de datos del servidor en cuestión.

LACNIC

Al momento de esta revisión, los DNS de la IP 200.6.114.194 apuntan a configuraciones de LACNIC. ¿Qué intervención y nivel de responsabilidad tiene LACNIC respecto de esta intrusión? ¿Algún tipo de relación con la empresa IIA (Ingeniería e Informática Asociada Ltda.)?

Finalmente…

Tenemos que subir los niveles de seguridad informática en Chile, no es posible que los datos de una municipalidad lleguen a manos de atacantes que además, son extranjeros, pudiendo sacar provecho de cualquier tipo a las bases de datos del servidor (dinero, ciberguerra, estafas, etc).

Si la seguridad en Chile está por suelo, no es culpa del proveedor, es responsabilidad de la empresa o institución que contrata el servicio. ¡Por favor, exijan seguridad, establezcan contratos y acuerdos de responsabilidad económica, operativa y logística, para que el proveedor siempre se responsabilice por no tener sistemas de seguridad y mitigación de primer nivel! La culpa no es del chancho, sino de quién le da el afrecho.

Por último, ¿cuál es la finalidad de alojar tantos sitios web dentro de una sola cuenta? ¿Acaso no tiene la Municipalidad de San Joaquín, los recursos para contratar servicios dedicados para cada departamento? Lo barato cuesta caro en la vida, siempre ha sido así.

Esto ha sido notificado a la Municipalidad de San Joaquín. Espero que sean un poco más rigurosos que la Municipalidad de Huechuraba…