El aprendiz de hacker se metió en la red de la Escuela Superior de Informática y Telecos de Granada, cambió la web, borró datos y no se sabe qué más. ¿El procedimiento? Cuando estaba en el laboratorio de prácticas instaló un sniffer (programilla que captura contraseñas). No sólo cambió la web, sino que entró al ordenador de dos profesores, consiguió sus claves y robó calificaciones y las soluciones a las prácticas que usan durante todo el curso. Un profesor de la universidad nos lo cuenta de primera mano con todo lujo de detalles...
Comentarios
#8 A mí me lo enseñaron como "En casa del herrero, patada en los cojones", pero ya sabes que esto va por barrios...
No era "En casa del herrero, cuchara de palo"???
#8 Según Mr.Google gana cuchara de palo, así que lo edito (105.000 vs. 69.800 resultado).
PD: Alego que vivo en Rusia y tengo el refranero un poco oxidado
Yo mas bien diria: "Cria cuervos y te sacaran los ojos"
Hola,
soy Jose Luis Bernier, profesor de la ETSIIT y responsable del Equipo que mantiene el servidor web que fue atacado. El artículo referenciado puede llevar a algunos malentendidos que me conciernen personalmente por lo que quiero aclarar:
1. Efectivamente hubo un ataque contra el servidor web, pero a nivel de contenidos exclusivamente, es decir de mensajes en foros y de contenidos de páginas web, jamás a nivel de Sistema Operativo.
2. La causa fue el robo de contraseñas que se usan para identificar en las aulas a los alumnos y profesores. Esas contraseñas no dependen del servidor web, aunque éste las usa para identificar a los usuarios de la web en los foros y otros servicios que se prestan.
3. El ataque contra el servidor web fue resuelto inmediatamente (en menos de media hora desde que comenzó), restauramos inmediatamente una copia de seguridad reciente y se cerraron los privilegios a los usuarios de forma preventiva mientras tratábamos de averiguar qué pasaba.
4. Descubrimos que la causa era el robo de contraseñas en el servidor contra el que autenticábamos, por lo que alertamos a profesores, alumnos y a los responsables de seguridad tanto de la ETSIIT, como de la Universidad de Granada.
5. Sabemos que igualmente han atacado vía VNC a otros profesores que usaban las mismas claves en sus ordenadores personales.
6. Resaltar una vez más, que el Equipo Web de la ETSIIT no tiene absolutamente nada que ver con la administración ni gestión de las claves robadas, hemos sido víctimas a causa de identificar a nuestros usuarios contra otro servidor que fue violado.
Un saludo.
Como estudiante de la ETSIIT y de la UGR en general tengo que decir que la seguridad es una mierda. Cualquiera que este aburrido puede entrar como CUALQUIER alumno o profesor en un plazo de...¿5 o 6 horas como mucho?. Basta un poco de ingenieria social, saber el DNI del alumno o profesor en cuestion (lo cual es tan dificil como mirar alguno de los numerosos listados de notas que pululan por las paredes) y probar las 9999 combinaciones que tiene el PIN. Ademas, partiendo de que en la UGR es cultura popular que el PIN por defecto va en funcion de la fecha de nacimiento (sabiendo tu pin sabras que el de cualquiera de tu promocion estara +-365 posibilidades arriba o abajo) y que la gente no suele cambiarlo...
Y bueno, respecto a lo de obtener el DNI de alguien no hace falta ni acercarse a los tablones, algunos profesores no se cortan a la hora de subir PDFs con DNIs y nombres de todos los alumnos libremente a internet. Para muestra http://lsi.ugr.es/~pl/ (calificaciones finales A y C, que para colmo estan indexados en google). No se supone que hay una ley de proteccion datos que prohibe estas cosas o asi?
En fin, que un script para probar las 9999 combinaciones no echaria mucho rato. Y a partir de ese momento, si quieres cambiar las notas que te ha puesto un profesor, o mirar su correo, o joder a un compañero o cien mil cosas mas... es cosa facil.
¿Solucion supersencilla para esto? Pues algo en plan bloqueo de cuenta durante x minutos si hay mas de 3 accesos fallidos consecutivos. Pero vamos, que si no se ha hecho en los 5 años que llevo aqui tampoco creo que se haga ahora.
En definitiva, que lo ha hecho el personaje que haya hecho esto esta mal, muy mal, ademas no creo que sea muy complicado encontrarle por lo cual probablemente le caiga una gorda. Pero que eso que ha hecho el lo puede hacer cualquiera de mil maneras sin tener muchos conocimientos y eso, le pese a quien le pese, es problema de los servicios informaticos de la UGR.
Exijo que el Ilustre Colegio Oficial De Ingenerios Informáticos De Granada (todo bien con mayúsculas), tome cartas en el asunto, dirima responsabilidades, identifique a los responsables y los impida participar en ningún otro proyecto de "Ingeniería".
¿Para eso eran los Colegios no?
¿Jueins no era de por ahí cerca?
#5 Sí. ¿Pero que contienen esos paquetes? ¿Al menos los que interesaban al espabilado?
#15 Si el procedimiento ha sido utilizar un sniffer y sacar las contraseñas no es que haya hecho algo como para que le hagan un buen contrato.
Offtopic: creo que es cuchillo de palo
Google: "en casa del herrero, cuchara de palo" aproximadamente 930;
"en casa del herrero, cuchillo de palo" aproximadamente 20.400
#24 Agghhhhh... ¡re-edito!
Debate sobre la cuchara y el cuchillo a partir de la línea:
___________________________________________________________
Estoy en la etsiit de granada y por culpa de eso nos han jodido a todos los alumnos de Cálculo Numérico de 2º. Ahora nos van a cambiar la asignación de prácticas y los que ya la teníamos medio hecha a empezar de nuevo porque es precisamente esas prácticas las que toqueteó el "hacker". Me parece muy bien que el tío ese quiera juguetear, pero que piense antes en que sus acciones van a putear a más gente hay que ser solidario ¡Hombre ya!
Ah, se me olvidaba, #1 lo que yo había oido era "Cría cuervos y tendrás muchos"...
Por cierto, es de justicia decir que la noticia parte del periódico Ideal de Granada, actualmente baneado por empleo de usuarios clones: http://www.ideal.es/granada/20071108/granada/hacker-burla-seguridad-informatica-20071108.html
Pues ya saben a partir de ahora que pongan una asignatura sobre hackeo y contramedidas.
jjaaaaaaaa, jaaaaaaaaaa
En realidad, se lo merecen.
Como puede ser que en una universidad de informática se pueda colocar un sniffer en la red sin ser bloqueado por el servidor?
Si es que el modo promiscuo...
A partir de allí, es solo tener suerte y ser un poco hábil, no un hacker.
#13 Se lo merecerán los profesores, pero en consecuencia también nos jodemos los alumnos sin haber hecho nada, ¿eso te parece justo? Yo no tengo control sobre seguridad en ningún ordenador de la facultad, no me encargo de eso y no puedo protegerme, ¿cómo voy yo, como alumno, a impedir que se metan? No puedo, luego no puedo defenderme aunque el ataque me afecte indirectamente.
Eso pasa porque no se exigen unas medidas minimas de seguridad a la hora de administrar una red.
Haces un edificio y éste tiene que cumplir ciertas medidas de seguridad.
Diseñas un barco y tienes que asegurar que no se vaya a pique.
¿Las redes son menos importantes?
Tan grave es q permitan ejecutar un sniffer como que no tengan una politica eficaz de copias de seguridad
Luego llegan 4 pernonajillos, y porque un icono del programa no le gusta te suspende la practica y no puedes presentarla hasta el año siguiente, y sin embargo, cagadas de este estilo, pues no pasa nada. Quien sea de la etsiit, conocerá el fantastico portal de bases de datos que ha hecho el CCIA. Bien, para los de fuera, tu haces login con un usuario, pero realmente te conecta con otro usuario de forma aleatoria, asi q tienes q logearte varias veces hasta que por fin te sale tu usuario. Hasta aqui bueno, un fallo lo tiene cualquiera, el problema es que los responsables de esto tienen la fama de ser los mas desgraciados de toda la facultad
#21 No hace falta una red montada con hubs, spoofeando las tablas arp de la red pasas por encima de switches sin inmutarte.
Es fácil, tres comandos y todo el trafico de mi casa lo redirecciono a traves de mi pc. Luego coloco un dsniff, o tcpdump, y a correr.
¿Solución?: Tablas ARP SIEMPRE estáticas. Tanto en el router, como en los equipos.
No obstante, teniendo una red correctamente montada, con routeo entre subredes, para acortar dominios broadcast y no un simple switching. Te quitas a los lamercillos de encima.
#11: sí, sin duda son menos importantes. Si falla el edificio o el barco muere gente.
Nada de sniffer, el programica sería un keylogger de esos...
Por cierto, doy mi apoyo a #24, es como eso de "A Dios rogando que ciento volando".
Lo que tienen que hacer los alumnos es denunciar a la Universidad por su incapacidad para la protección de datos.
Ya hay excusa para no entregar las prácticas ¡hoyga me las vorro un juaker que hustedes dejaron pasar!
Estaba probando un modulo y me envicié... todavia me suspederan por no entregar la practica a tiempo. Comentó un tal Juaker.
La gran pregunta es pq iba la contraseña en plain text i no encriptada como deberia ser (via conexion segura).
Y la otra gran pregunta, como cño tienen montada la red para que se pueda hacer sniffing? una red local con un hub todos ahi interconectados? falta de presupuesto? incompetencia del servicio informatico?
Joder.. si es como tener el coche con las dos puertas abiertas con un cartel bien grande diciendo: ROBAME!
Esa ley no cumple con la Ley Orgánica de Protección de Datos ni de coña. Los alumnos podrían denunciar.
Joder soy alumno de la ETSIIT y me tengo que enterar por Internet.
Como lo encuentren va a tener un buen contrato asegurado eso seguro. Menos mal que no se llevaron las torres como en mi antiguo insti.
Relacionada: 20 años de cárcel por entrar en el ordenador de la universidad y cambiar sus notas
20 años de cárcel por entrar en el ordenador de la...
theinquirer.esNo creo que a estos les caigan 20 años de cárcel.
#54 De poco sirve pelotear a un profesor que no he tenido ni tendre. Por otra parte, a mi entender lo que mas abunda en la escuela son profesores que pasan bastante de estar al dia, de contestar o participar en foros. Si aparece uno que se procupa por la web, por dar explicaciones, por responder a los alumnos y por participar en comunidades virtuales pues que quieres que te diga, me alegra, ya podria haber mas profesores asi. Y si premiar esto con karma es peloteo pues bienvenido sea todo el peloteo del mundo.
Hacker por instalar un sniffer?
Haybadios.
#15 Yo también soy alumno de la ETSII y no sabía nada, pero no me extraña demasiado. Cualquier juanker podría armar un buen pitoste allí si dispone de tiempo suficiente e instinto dañino
Sin ir más lejos, el otro día accedí al catálogo electrónico de la biblioteca y cuando ya estaba "logueado" me di cuenta de que la persona que aparecía en la sesión tenía distinto apellido... (me había equivocado en una cifra de mi ID, luego quizá el nº guarda relación con el nombre de usuario)
En general, la seguridad en todas las universidades, por lo que yo se no es ninguna maravilla... y en una facultad de informaticos, si no se atacan mas los servidores creo yo, es porque los alumnos no quieren
Por otro lado no me extraña, teniendo en cuenta que el servidor trabaja con SUN OS 2.7, de 1998, el cual ya no tiene soporte ni nada. A saber cuantos miles de exploits tiene ya eso
Es por todos sabido lo fácil que es capturar información privada en una red local, cosa distinta es que te pongas a vulnerar los derechos de los demás cogiendo las contraseñas que vayan en claro. Es cierto que debería haber una mayor cultura de seguridad informática pero no sirve como justificación.
No ha demostrado afán de conocimiento sino más bien falta de escrupulos.
Importante: segunda parte de ese artículo, aclarando algún malentendido (dando la razón a jbernier): http://www.filmica.com/arturo_quirantes/archivos/006684.html
#36, BIBA EL AULABD. En realidad sirve para conocer mejor al resto de tus compañeros .
Hace ya casi una semana que se viene rumoreando esto por la facultad, no hay más que ver los foros (se puede entrar desde la web principal).
De todas formas, no va a ser difícil que lo cojan, porque, según creo, se iba a libre acceso y se dedicaba a mandar mensajitos y a apagar los ordenadores de la gente, y más de uno sabe quién es.
Al que sea: la has cagado pero bien. Pero los responsables de mantenimiento y los que tienen montado el sistema en la facultad, aún más. Sigo sin explicarme que las contraseñas no fueran cifradas.
#48 GOTO #42
#8 #10 #14 a mí mi padre siempre me dijo "en casa del herrero, se escupe primero", y a buen entendedor...
#52 Mi positivo para ti Jose Luis, no solo explicas y posteas en los foros de la facultad sino que tambien te preocupas por dar explicaciones aquí en Meneame. Mas profesores así harían falta por la escuela.
#11 Si alguien quiere entrar en un edificio de una universidad lo podrá hacer, si alguien se esfuerza por robar los expedientes en papel lo podrá hacer.
No es que las redes sean mas importantes o menos, es que son mas nuevas y este blog da eco de los temas tecnológicos.
Ves a una comisaría y pregunta cuantas denuncias por robo y allanamiento de morada hay durante un periodo de tiempo. Después preguntáles cuantas intromisiones en redes.
madre mia... tenia que ser en mi antigua escuela...
pues realmente no se como lo ha hecho pq se supone que los ordenadores de allí cargan una imagen del sistema operativo cada vez que arranca el ordenador, es decir, que no tienen nada instalado. ASí que cualquier cosa qeu instales en esos ordenadores, a menos que estén en tu cuenta personal, cuando reinicias ya no aparecen, por lo tanto, si instaló cualquier cosa no podría haber estado operativa al volver a arrancar el ordenador. Hablo sin saber si hay algún programita qu se quedara ahí perenne, puede que existan, yo no tengo ni idea.
Vaya, que lo que pudo hacer es instalarlo al principio de una sesión de prácticas y monitorizar todo lo que había por la red ese ratillo qeu duraran las prácticas. Pillaría datos del profesor de turno y en su clase habría algún becario que ayuda con el desarrollo de la web...
#45 Pues lo que consiguio con esa "pijada" no es poco
#17 Sí había una política eficaz de copias de seguridad. De hecho, apenas se ha perdido trabajo. Los del Ideal han sido demasiado catastrofistas con la noticia.
Vamos a ver, sin ánimo de ofender, pero ¿ no creeis que es Escuela y no Facultad ? Concretamente Escuela Técnica Superior.
Por otra parte, esa era mi Escuela. Tan solo una vez me dediqué una vez a "trastear" la red. Por lo que vi en el laboratorio había un switch y que yo sepa no se puede colocar un sniffer en una red con un switch, que me corrijan si estoy equivocado. Los sistemas operativos que utilizaban eran GNU/Linux, Solaris ( creo recordar que el 8 ) y Windows 95 ( si si Win 95 ). No se si lo habrán cambiado. A la hora de instalar se podía hacer, en GNU/Linux podías bajarte el paquete y compilarlo en tu directorio personal, a partir de ahí podías ejecutarlo mediante ./ . En Solaris no podías compilar nada porque el compilador no estaba instalado. Por último quedaba Windows 95, aquí si podías instalar lo que te diera la real gana.
Pues bien, si fue en Cálculo, en el laboratorio estaría Windows 95 para el Mathematica. Aquí si se pueden instalar programas y entonces supongo que el laboratorio en vez de haber un switch habría un hub, entonces si que podríamos espiar la red pero claro solo es una suposición porque jamás me dediqué a "trastear" la red.
Lo que si recuerdo es arrancar el ordenador con Solaris, meterme en el directorio de las cuentas personales /export/home ( creo recordar ) y empezar a comprobar permisos en los directorios. Entré en mas de un directorio personal lo exploré pero jamás robé nada ni destrocé nada. El problema aquí es de los usuario claramente.
Conocí a unos compañeros de clase que aumentaron su cuota de disco, me explicaron como lo hicieron pero ahora no me acuerdo muy bien. El caso es que se enfrentaban a una sanción por parte de la Universidad que los quería expulsar. A última hora no lo hicieron con el acuerdo de que explicaran como lo habían hecho, eso hay que agradecerselo a la de Sistemas Operativos.
¡¡ Saludos a mis viejos compañeros !!
#33 http://es.wikipedia.org/wiki/Wikipedia:Wikipedia_no_es_una_fuente_primaria
#32 Seguramente aunque en los ordenadores estubieran instalados esas imágenes que reinicias y ya no hay nada, pues lo instalaría y a esperar. Igualmente para conseguir ser administrador en XP pues te buscas un buen programa que pille contraseñas y arreando, luego con esa cuenta ya puedes modificar la imagen para que se borre todo igual pero que no borre las herramientas que vayas a usar.
#25 si falla la red tambien pueden surgir graves complicaciones:
relacionada: Un virus bloquea la red informática del principal hospital de Burgos
Un virus bloquea la red informática del principal ...
cadenaser.com#c-52" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/246827/order/52">#52,
precisamente en un ataque de esos lo valioso son los contenidos y el SO importa un pito. Yo me preocuparía y mucho.
Además un ataque no se "resuelve" restaurando un backup, si acaso se resolverá (de verdad) aplicando las políticas de seguridad adecuadas.
Por lo que veo en esa red cualquiera se puede pasear tranquilamente y usar los VNC que seguramente tienen
instalados todos los ordenadores de los profesores...
Es posible que tú no tengas responsabilidad en este asunto pero no queda muy claro que hace el "Equipo ¿"Equipo Web" significa responsables de contenidos, desarrollo de páginas o implica la gestión integral del servidor -parches de seguridad, instalación de software...-?
(si gestionais el servidor enteramente dudo mucho que os podais lavar las manos tranquilamente)
Sea como sea sería interesante saber quien es el último responsable de esa red y de si se hará responsable de tener una política de seguridad tan nefasta.
Por una vez no valdrá la excusa del "fallo informático". Algo es algo.
53# Ese peloteo se nota mucho.
Vamos a ver, no desvariemos, la noticia no es un ataque contra el servidor web que almacena las páginas del centro (asunto que casi podría considerarse como una pura anécdota que sucede en miles de páginas web de todo el mundo cada día y que a nosotros es la primera vez en 12 años), sino el que este hecho nos hizo descubrir que había habido varias suplantaciones de identidad y por tanto un robo de las contraseñas que se usan para identificar a los alumnos y profesores en los laboratorios. Esas contraseñas se validan con un servidor que no tiene nada que ver con el servidor web, al igual que otros servicios que tampoco tienen que ver con el servidor web y también eran vulnerables por tanto a ataques.
A mí el periodista me preguntó sobre el ataque que recibimos en el servidor web, pero nosotros sólo somos los responsables en temas de web (y todo hay que decirlo, sin cobrar un euro por ello ni tener ningún tipo de cargo oficial), y no tenemos potestad alguna ni sobre las políticas de seguridad ni el servidor de contraseñas del que se robaron las claves de acceso (para eso sí que hay un conjunto de técnicos que se encargan de estos temas y cobran por ello).
El único error que se nos podría achacar es el pensar que el servidor que usa el centro para identificar a los usuarios (ojo, distinto del servidor web) era seguro y autenticar contra él para acceder a los foros de discusión de nuestra web o, incluso, a la administración del gestor de contenidos, para comodidad de los usuarios del centro.
Pero en ningun caso han entrado en el servidor web por telnet o similares, ya que eso, que sí que es nuestra responsabilidad y no depende de otros servidores de identidad, sí que está bien blindado.
La redacción del artículo puede llevar a la confusión de que yo tengo que ver con la seguridad o el ataque, pero no es así, y no es que escurra el bulto. Simplemente fui (mejor dicho, fuimos, ya que lo detectó mi equipo de colaboradores) quien denunció estos ataques para prevenir a los profesores y estudiantes, así como a los responsables del mantenimiento de la red y contraseñas para que tomaran las medidas oportunas.
Otra cosa, efectivamente lo importante son los contenidos, pero los contenidos de una web son públicos, no podían robar nada que no pueda visualizarse en la propia web, ya que nuestro servidor web no almacena calificaciones, ni datos personales de ningún tipo, ni otros datos confidenciales a los que se acceda con un gestor de contenidos. El daño nos lo podrían haberlo hecho en todo caso a nivel de SO, por ejemplo, dejándonos fuera o jodiéndonos el sistema.
El problema lo han tenido los profesores a los que han robado documentos en sus ordenadores, no nosotros, que enseguida deshicimos los 4 cambios que tuvo tiempo de hacer antes de que lo detectásemos, restaurando con una copia de seguridad reciente.
A ese le aprobarán ciertas asignaturas ¿no?
Extraído de Wikipedia.
Hacker: utilizado para referirse a un experto (véase Gurú) en varias o alguna rama técnica relacionada con las tecnologías de la información y las telecomunicaciones: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc.
Cracker: Un cracker es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño.
¿Cuchillo de palo? ¿Y eso para que sirve? Poco pasas por la cocina tigre_siberiano...
#8 Evidentemente
Saludos a la Brujilla, a la Mayte y al Rodrigo... si es que siguen por la facul
Pero un sniffer no era para capturar paquetes?