Seguridad, Ciberdefensa y ciberguerra en Chile

Hace unas semanas atrás, a la hora de almuerzo, mientras estaba de visita en casa de un amigo, mostraron en el noticiario una expo o feria de ciencia y tecnología del Ejército de Chile que estaba enfocada a generar cercanía en los jóvenes (o algo así)… Advertí que después de drones y cosas por el estilo, la seguridad informática para el área de la ciberguerra no estuvo presente, y si lo hizo, estuvo bastante escondida…

Cursos, seminarios y otros

Públicamente, las fuerzas armadas no han comunicado una real postura sobre seguridad informática y/o ciberguerra frente a la ciudadanía; pinceladas de esto se dejan ver tan sólo en algunos artículos muy difíciles de encontrar, poco técnicos, a grosso modo, y dirigidos a miembros de estas instituciones.

El año 2013 el Ejército de Chile impartió tres cursos similares y en paralelo sobre seguridad informática (a través de la ESCINT -Escuela de Inteligencia-): Curso de Inteligencia Militar, con mención en seguridad informática, Seguridad Militar, “Seguridad Informática” y el Curso de Seguridad Informática. ¿Quiénes impartieron estos cursos y qué nivel de acierto tuvieron?

El año 2014, la ANEPE (Academia Nacional de Estudios Políticos y Estratégicos), impartió el seminario “Ciberseguridad y Ciberguerra”. Por las fotografías del evento podemos ver que fue bastante masivo (mucha gente de pie sin tener dónde sentarse), y por las caras jóvenes de sus asistentes (no mayores de 30 años), podemos advertir que dicho seminario estuvo dirigido a quienes día a día se dedican a administrar y asegurar las plataformas, redes, aplicaciones y sistemas del gobierno y las fuerzas armadas (sarcasmo):

ANEPE Seminario Ciberseguridad & Ciberguerra 2014
ANEPE Seminario Ciberseguridad & Ciberguerra 2014
ANEPE Seminario Ciberseguridad & Ciberguerra 2014
ANEPE Seminario Ciberseguridad & Ciberguerra 2014

¿Buenas inversiones?

Según publicaron diversos medios de comunicación, la Policía de Investigaciones de Chile (PDI) invirtió casi 3 millones de dólares en la compra de un malware espía con características de botnet, a la empresa italiana Hacking Team (Galileo, rebautizado como “Phantom”). Es de público conocimiento que esta empresa fue objeto de una filtración de emails, documentos y código fuente de su malware.

Incluso, instituciones como Carabineros de Chile y el Ejército de Chile estaban interesados en la compra del mismo malware, tal como evidencian los correos electrónicos filtrados en Wikileaks.

La pregunta es, así como se demuestra más abajo que se han perpetrado varios ataques a instituciones de las fuerzas armadas, y aún siguen siendo vulnerables, ¿tendrán la capacidad técnica de utilizar y propagar este malware o botnet de la manera más eficiente, si no son capaces de asegurar ni siquiera sus servidores y aplicaciones web? ¿Quien audita la utilización eficiente de esta botnet institucional? Ojo, esto no es una diatriba, sólo pongo en tela de juicio el hecho de que si son capaces de hacer deporte sólo una vez por semana, ¿tendrán la capacidad física de hacer deportes olímpicos todos los días?

¿Política Gubernamental o de Estado?

Desde la ignorancia, como un ciudadano más, común y corriente: ¿existe un programa o una política de Estado que se ocupa de la seguridad informática de nuestro país y de la ciberguerra, que de manera estratégica, seleccione, capacite y ponga en práctica a las personas idóneas para estos menesteres? Obviamente, tiene que ser una política de Estado, no algo pasajero y antojadizo del gobierno de turno.

En los discursos presidenciales del 21 de Mayo, sólo hay registro de menciones sobre seguridad informática y ciberguerra en los años 2014-2015. ¿Qué pasó en los gobiernos anteriores?

21 de mayo de 2014: “(…) Se integrarán los medios de vigilancia, exploración y reconocimiento institucionales, a través de un sistema militar integrado que permita determinar diferentes escenarios de alarma para protección de la fuerza como otros fines considerando las capacidades incorporadas y áreas tecnológicas: guerra electrónica, inteligencia, vigilancia y reconocimiento, ISR, vehículo aéreo no tripulado —UAV y satélite—, análisis de inteligencia y ciberguerra (…)”.

21 de mayo de 2015: “(…) Dentro de las políticas sectoriales específicas, se inició la formulación de la Política de Ciberseguridad para el Ministerio de Defensa Nacional. Con este objetivo, se dio inicio a los estudios entre organismos sectoriales para concordar definiciones de los términos básicos que permitan, en una segunda etapa, debatir y proponer una política en este tema para el ministerio. Esta política tendrá como propósito, además de establecer orientaciones y guías para brindar protección y seguridad al entorno informático del ministerio, a sus equipos y a sus redes asociadas, poseer una base para insertar y coordinar la ciberseguridad sectorial con la política del Estado en esta materia (…)”

ISSA Chile*

Desde el capítulo chileno de Information Systems Security Association (ISSA), sin tapujos, lacónica y precisamente, hablan acerca de la “necesidad de una política de ciber seguridad en Chile”, acertando en 3 puntos importantes:

  1. Operatividad y logística: “(…) Existen malos antecedentes al respecto, por ejemplo, debido al terremoto del 27 de Febrero de 2010, gran parte de Chile quedó incomunicado debido a la caída de líneas telefónicas y celulares, con consecuencias inesperadas como que ni siquiera existiera un piloto de la Fuerza Aérea disponible para movilizar a la presidente a la zona de catástrofe, siendo la Policía de Investigaciones (PDI) quién se encargó de llevar a cabo tal tarea (…)”
  2. Fuerzas armadas: “(…) Otro mal ejemplo resulta el doble defacement realizado por LulzSecPeru sobre los dominios del Ejército de Chile, durante Enero de 2013. Este evento ha dejado al descubierto la falta de conocimiento de aquellos encargados de resguardar la seguridad de la sociedad chilena ante ataques, en este caso podemos hablar de ciber ataques que podrían afectar a Infraestructuras Críticas, casos de Ciber Terrorismo o la total indefensión ante una declaración de Ciber Guerra de algún país en conflicto. Este caso es llamativo debido a que se intentaron securizar los sistemas, licitando la realización de un servicio de Ethical Hacking adjudicado, por un valor de $ 2.720.700 pesos, a un proveedor local que habría realizado el servicio de forma deficiente, exponiendo la seguridad de los sistemas del Ejército de Chile, donde sin duda la mayor responsabilidad recae sobre esta institución que debería contar con personal especializado siquiera para la adquisición de los servicios que garanticen la seguridad de su infraestructura digital (…)”
  3. Seguridad nacional: “(…) Por otra parte, la actual Agencia Nacional de Inteligencia (ANI), se ha mostrado incapacitada para anticiparse a los ataques o permitir el resguardo del espacio digital ante un ataque masivo y coordinado a alguno o varios de los sectores considerados como Infraestructuras Críticas. Estamos ante un escenario en donde nadie se ha hecho cargo de mitigar las ciber amenazas que deberemos enfrentar como país durante los próximos años, lo que podría detonar condiciones críticas para la estabilidad del Estado (…)”

Comité Interministerial sobre Ciberseguridad

¿Promesa cumplida? El 27 de abril de 2015 se promulgó el Decreto 533 que crea el Comité Interministerial sobre Ciberseguridad: http://bcn.cl/1rra5

Pero, ¿cada cuánto tiempo se reúnen y en qué nivel de discusión y praxis ha avanzado el comité? De conocimiento público se sabe que la segunda y “última” reunión del comité fue el día 14 de mayo de 2015.

Historial de ataques

¿Cuánto presupuesto destinan las fuerzas armadas para cuestiones de ciberguerra? ¿Qué compañía chilena o extranjera audita sus sistemas informáticos y cada cuánto tiempo? ¿Cuál es el nivel de experiencia y de capacitación que nuestras vanagloriadas fuerzas armadas tienen respecto de otros países?

Me cuestiono esto porque aunque no les guste recordar, las fuerzas armadas y los ministerios relacionados a defensa han sido atacados y vulnerados en reiteradas ocasiones…

Carabineros de Chile, Ataque DDoS

Carabineros de Chile, sufriendo con la arma más conocida de Anonymous en el año 2011.

Ataque DDoS Carabineros de Chile
Ataque DDoS Carabineros de Chile

Ejército de Chile, XSS

Mirror en Zone H de una inyección de Javascript.

http://zone-h.org/mirror/id/17975790

Carabineros de Chile, inyección de HTML

 

Carabineros de Chile hackeados por Anonymous Chile (XSS)
Carabineros de Chile hackeados por Anonymous Chile (XSS)

Ejército de Chile, defacement

Ataque realizado por el grupo Lulz Security Perú.

 

Carabineros de Chile, SQLi dump

Leak de base de datos SQL del servidor web de Carabineros de Chile.

Carabineros de Chile hackeados (SQL dump)
Carabineros de Chile hackeados (SQL dump)

Policía de Investigaciones PDI, SQLi dump

 Leak de base de datos SQL del servidor web de la Policía de Investigaciones PDI.

Policia de investigaciones de Chile PDI hackeados (SQL dump)
Policia de investigaciones de Chile PDI hackeados (SQL dump)

Escuela de Suboficiales del Ejército, defacement

Mirror en Zone H de ataque realizado por el grupo LUlz Security Perú.

http://www.zone-h.org/mirror/id/18998687

Corrida Glorias del Ejército, defacement

Vídeo de ataque realizado por Anonymous Chile.

Leak e-mails de la Fuerza Aérea de Chile

Hackeo y filtración de correos electrónicos de la Fuerza Aérea de Chile, realizado por el grupo Lulz Security Perú.

Ministerio de Defensa, defacement

Vídeo y captura de pantalla de ataque realizado por un grupo simpatizante a ISIS.

Ministerio de Defensa de Chile hackeado
Ministerio de Defensa de Chile hackeado

¿Qué tan vulnerables somos?

Hoy en día, a punto de terminar el 2015, ¿qué nivel de resguardo o de seguridad ya han implementado las fuerzas armadas respecto de todos los ataques que han sufrido? ¿Han realizado auditorías de seguridad o simulaciones de ataque que les permitan advertir sus fallas, corregirlas, fortalecer los aspectos débiles, y mantener o mejorar las áreas en que ya han obtenido un nivel de acierto?

Motivado por todo el historial de ataques informáticos y por las temas de más arriba, decidí buscar información pública y al azar, basado en los servidores y las aplicaciones web de estas entidades. Todo lo que encontré es alarmante desde el punto de vista de la seguridad nacional, ya que no es posible que existan aún fallas de seguridad informática que permitan a un país extranjero o a un grupo de atacantes cualquiera, preparar y llevar a cabo un ataque de gran envergadura…

Academia de Guerra del Ejército

Los atacantes tuvieron acceso completo al CMS de la Academia de Guerra del Ejército, por lo que es altamente probable que dicho servidor y aplicación web continúen siendo vulneradas (backdoor, etc), al punto de que controlar todo el servidor (exploit a nivel de servidor).

ACAGUE Academia de Guerra del Ejército de Chile hackeado
ACAGUE Academia de Guerra del Ejército de Chile hackeado
ACAGUE Academia de Guerra del Ejército de Chile hackeado
ACAGUE Academia de Guerra del Ejército de Chile hackeado

Comando de Bienestar del Ejército

En el caso del Comando de Bienestar del Ejército, vemos cómo expusieron un upload arbitrario de archivos que permitía subir al servidor en los path’s /UserFiles/file/, /UserFiles/file/shop/ y /UserFiles/, archivos HTML que redireccionan a páginas web de spammers y scammers para la venta de productos de diveras marcas.

Lo que me parece notable, es el hecho de que cuando un atacante logra realizar un bypass de upload, las cosas cambian notablemente, por lo que es posible subir web shells o instalar exploits en el servidor que posteriormente permitan acceder nuevamente aunque hayan cambiado toda la aplicación web por una nueva.

Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado

SAF Servicio Aerofotogramétrico de la Fuerza Aérea de Chile

La gente tiende a pensar que en “cosas de seguridad informática” se trata del CMS, si es Joomla! o WordPress o un custom CMS; lo saco a colación porque el CMS da absolutamente lo mismo, todo depende de quién lo administra y de qué manera. La aplicación del SAF (servicio Aerofotogramétrico de la Fuerza Aérea) es Joomla!, pero las que vimos más arriba, una es WordPress, mientras que la otra, al parecer, era Drupal.

De esta manera, vemos acá cómo, independiente del CMS que se utilce, los atacantes tuvieron acceso irrestricto al CMS publicando contenido spam, por lo que existe una alta probabilidad de que hayan subido una consola PHP a través de un template o plugin, y ya cuenten con el control total del servidor web.

SAF Servicio Aerofotogramétrico de la Fuerza Aérea de Chile hackeados
SAF Servicio Aerofotogramétrico de la Fuerza Aérea de Chile hackeados

Academia Politécnica Naval

La conocida APOLINAV de la Armada de Chile, a través de sus aplicaciones web para e-learning, permiten la vista de los cursos que imparten y por este medio están filtrando los nombres completos de sus alumnos y profesores.

Esta fuga de información interna es miel para data minning, ya que a través de ella se pueden tramar diversos tipos de ataques de ingeniería social. “Profesor, adjunto el archivo que solicitó”…

APOLINAV Academia Politécnica Naval permisos de vista y fuga de información
APOLINAV Academia Politécnica Naval permisos de vista y fuga de información
APOLINAV Academia Politécnica Naval permisos de vista y fuga de información
APOLINAV Academia Politécnica Naval permisos de vista y fuga de información

Mutualidad del Ejército y la Aviación

La página web de la Mutualidad del Ejército y la Aviación, como pocos (a diferencia de la mayoría de los sitios web de las fuerzas armadas), usa certificado SSL. Lamentablemente, su ambiente de uso es objeto de ataque a través de estos 4 aspectos:

  1. BEAST
  2. SSLv3
  3. TLS1.0
  4. Poodle

Sí, es vulnerable a ataques Poodle, y no sólo eso, sino que además es posible forzar el uso de TLS1.0 a través de un ataque BEAST, por lo que en este caso particular, un atacante tendría 100% de éxito al realizar un ataque MITM.

SSL vulnerable de la Mutualidad del Ejército y la Aviación de Chile
SSL vulnerable de la Mutualidad del Ejército y la Aviación de Chile

También es altamente probable que, a causa de BEAST, tanto Mozilla FireFox como Google Chrome bloqueen el acceso a esta web por no cumplir con las actualizaciones de las librerías NSS de cada navegador.

Por otro lado, la página web solicita una contraseña de acceso, lo cual me parece bastante extraño…

Mutualidad del Ejército y la Aviación de Chile con SSL vulnerable
Mutualidad del Ejército y la Aviación de Chile con SSL vulnerable

Instituto Geográfico Militar

Al igual que la mutualidad, el Instituto Geográfico Militar usa certificado SSL pero, es vulnerable a ataques BEAST* que podrían forzar el uso de TLS1.0

SSL vulnerable del Instituto Geográfico Militar de Chile a ataque BEAST
SSL vulnerable del Instituto Geográfico Militar de Chile a ataque BEAST

Fuerza Aérea de Chile

Fuerza Aérea de Chile FACH vulnerable a inyección de HTML & Javascript
Fuerza Aérea de Chile FACH vulnerable a inyección de HTML & Javascript

Hospital de Carabineros de Chile

Hospital DIPRECA Carabineros de Chile vulnerable a inyección de HTML & Javascript
Hospital DIPRECA Carabineros de Chile vulnerable a inyección de HTML & Javascript

Dirección de Previsión de Carabineros de Chile

DIPRECA previsión de Carabineros de Chile vulnerable a inyección de HTML & Javascript
DIPRECA previsión de Carabineros de Chile vulnerable a inyección de HTML & Javascript

¡Sorpresa!

En este punto ya estaba un poco cansado y además sorprendido por el hecho de encontrar bastantes vulnerabilidades públicas y registros de ataques a las instituciones de las fuerzas armadas, hasta que… ¡Diantres! Detecté vulnerabilidades críticas del mismo tipo en varios departamentos distintos de estas instituciones, que eventualmente estarían exponiendo el control total de cada uno de estos servidores web. Lamentablemente, son vulnerabilidades críticas que no se pueden comprobar por falta de autorización; y para no infringir ninguna ley, por supuesto. Así que hasta aquí llegamos.

¿Querrán tener esta información o esperarán a que aparezca alguien con malas intensiones para actuar sobre la marcha de los errores, tal como se acostumbra en Chile? Estoy dispuesto a entregar todo, pero de manera seria. ¿Esa es la idea no?, ayudar de alguna manera y no criticar tanto…