Mayo 18, 2017

3 Horas de Ataque desde E Sign Chile o E Sign Latam

Mientras realizaba la implementación de seguimiento de usuarios para el proyecto de un cliente X, me fui a revisar el registro de las visitas a mi blog y, en vez de sentir sorpresa o enojo con lo que vi, me reí.

¿Qué motivos tiene una conocida empresa de seguridad informática para visitar mi blog?

En medio de los cientos de registros de direcciones IP, nombres de host, y peticiones GET (y otros detalles, por supuesto), entre los cuales figuran visitas desde diversas redes del Gobierno de Chile y sus ministerios, bancos, conexiones VPN y demás, el dia 9 de Mayo de 2017, se registró una visita desde la siguiente dirección IP, a eso de las 14:46 PM:

  • Dirección IP 200.111.181.67 asignada al nombre de host salida.e-sign.cl (probablemente “salida” a Internet desde la red corporativa de la empresa E Sign Chile)

E Sign Chile e-sign.cl o E Sign Latam esign-la.com

Esta dirección IP es utilizada por la empresa E Sign Chile o E Sign Latam, la cual es conocida, entre otras cosas, por proveer certificados digitales para facturación electrónica en el Servicio de Impuestos Internos (SII), etc.

Intento de SQL Injection desde E Sign Chile

No sé si fue algo realizado por la empresa o por alguien sin autorización pero, según constanta en los registros, a los pocos minutos después, un ataque automatizado de inyección SQL comenzó a realizarse ejecutando diversos parámetros de inyección por método GET.

Pregunta: ¿realmente pensaron que mi blog estaría publicado, tal como y como es (con defectos y virtudes), con una vulnerabilidad de SQL Injection o que un intento de hackeo no sería registrado? Craso error.

3 Horas de Pentesting no Autorizado o Intento de Hackeo desde la Red Corporativa de E Sign Chile o E Sign Latam a mi Blog

Entonces, curiosamente, usando la misma dirección IP durante más de 3 horas (200.111.181.67), fue lanzado un ataque (infructuosamente imbécil e inútil) automatizado que ejecutó más de 1,000 peticiones a las URLs del blog, de este tipo,

  • 09 May 2017
  • 17:14:37
  • 200.111.181.67
  • 95.141.32.146
  • attachment_id/=-1%2f**%2fOR%2f**%2f1%3d1) (…)

Por razones obvias de espacio, no pondré acá más de 1,000 peticiones a mi blog, pero lo que sí llama mi atención, es el nivel de imbecilidad técnica para realizar un intento de ataque como este, ya que pese a que usaron por más de 3 horas la misma dirección IP, no fueron capaces de configurar bien los proxies que se suponían enmascararían la red desde la cual se estama automatizando este proceso de ataque, dejando así un registro de los siguientes proxies,

  • ns390656.ip-188-165-248.eu
  • 95.141.32.146
  • chicago230.sitevalley.com
  • ks4002936.ip-142-4-208.net

¿En serio? ¿Una empresa de seguridad informática que cuando realiza un ataque informático ilegal, no sabe configurar bien un grupo de proxies?

No estoy seguro de qué tipo de inyección SQL trataron de realizar, pero se asemeja, de alguna forma, al CVE-2011-0701 (año 2011). ¿En serio creyeron que mi blog sería vulnerable a un CVE publicado hace más de 7 años?

Mala Reputación de E Sign Chile

Me fui a buscar el nombre de E Sign Chile en Reclamos.cl y, al parecer, tienen cerca de 2,000 reclamos acumulativos desde el año 2013.

Ahora que lo pienso bien, fue una buena elección no comprar el certificado digital para mi autenticación en el Servicio de Impuestos Internos (facturación de mi micro empresa).

Denuncia de E Sign Chile a la Brigada del Cibercimen de la Policía de Investigaciones PDI

Si algo he aprendido, es que la Brigada del Cibercrimen de la PDI, casi no se mueve si no es bajo la orden de un tribunal y, si hago un mea culpa, no soy la persona más indicada para solicitar su ayuda a través de una denuncia, después de haber bloqueado por allá en los años 2013 o 2014, las cédulas de identidad y los permisos de conducir de Jaime Jara, Andrés Godoy, y un miembro de la Brigada del Cibercrimen de Valparaíso, del cual ya no recuerdo su nombre.

Ganarse la animadversión de los ex “cabecillas” de la Brigada del Cibercrimen de Santiago, no es chiste. Pero esa ya es otra historia, que alguna vez contaré…

Lo que sí puedo contar acerca de esto, es que los “grupos” Anonymous Chile y ChileanH, no habrían podido bloquear la cédula de identidad de Nelly Diaz y otros personajes, si no fuera por mí (me preguntaron hace años atrás cómo lo había hecho, y le expliqué a uno de ellos).

E Sign Chile Vulnerable a Ataques BEAST

Si bien es cierto los ataques BEAST no son considerados alarmantes en sumo grado, es una vulnerabilidad de relacionada al uso de los certificados SSL que, si realiza de buena forma, permite por ejemplo, capturar datos en texto plano.

¿Cómo es que, de manera ridícula, una empresa que comercializa certificados digitales de seguridad, sea vulnerable a un ataque basado en su propio certificado digital SSL?

Contradictoriamente, E Sign Chile sí es vulnerable a un CVE publicado por allá en el año 2011…

Conclusiones Acerca del Ataque Realizado por E Sign Chile o E Sign Latam a mi Blog

No contrataría un servicio de ethical hacking con ellos, porque, ni siquiera son capaces de configurar bien un proxy cuando realizan ataques informáticos ilegales. Con esto, se ganaron una mala fama que nadie les quitará.

Me da absolutamente lo mismo la PDI, no recurriré a ellos porque me parece ridículo, de niñita. Desde niño resuelvo mis problemas solo, así que, ¿hace falta que añada algo más?

Lammers.

Skin Color
Layout Options
Layout patterns
Boxed layout images
header topbar
header color
header position
CONTACTO
×
Hola, soy Joshua. ¿Cómo estás? Haz click en el botón verde de abajo si deseas hablar conmigo directamente en WhatsApp Web... :)