Todo empezó con una conexión a la red Sara que es controlada por la Dirección General de la Policía Nacional y cuyas credenciales son muy escasas. A través de este acceso no perseguía acceder a las sentencias o a los procedimientos judiciales activos, sino que le interesaba la pasarela que existe entre juzgados y Agencia Tributaria para consultar datos de contribuyentes como información fiscal o los saldos de las cuentas bancarias.
|
etiquetas: alcasec , hacker , internet
El 25% de los funcionarios cayeron y añado yo (cosecha propia no tengo pruebas) que no serían más porque pasaron de leer el email más funcionarios
Y empiezan a explicar que solo tuvo que acceder a la Red Sara de la Policía (como si fuera algo obvio) y a partir de ahí a la pasarela de los Juzgados con Hacienda usando la IP de la policía. Claro claro todo muy obvio
El motivo que achaco es no leer detenidamente.
Está uno saturado de mensajes a veces, y no siendo ni mi trabajo ser administrativo, te llegan de gente que ni conoces, y a veces vas en plan automático.
Mal por mi parte, pero no por dejadez
A cualquier cosa le llaman hacker.
La otra simplemente son los funcionarios no mirando de dónde venía el correo
www.youtube.com/watch?v=wZeGygfaZ8M
old.meneame.net/story/ataque-informatico-hackea-credenciales-hacienda-
Así que ojo...de momento canta porque es un .scr y tal...pero llegará un día que encontrarán otras maneras, y te llegará un vídeo de cualquier conocido tuyo de facebook o alguna red social, hablando como habla esa persona, pidiéndote vete a saber qué... y será muy difícil no caer.
No le expliques al funcionario lo que esl el phising con ejemplos y no hagas ensayos periódicos, no sea que aprenda.
Tampoco filtres las conexiones por un proxy y un firewall, no sea que no pueda conectarse a la página falsa.
EDIT: Ya responden a # 13 y # 21
Es obvio que el sistema tiene fallas, de hecho ha sacado provecho de ello. También es obvio que no es tan malo cuando le han cogido rápidamente. Yo no digo que el sistema sea perfecto ni inmejorable, pero no me parece una chapuza como decía el comentario al que respondía en primer lugar.
Han hackeado a la NASA y a cientos de instituciones gubernamentales de todos los países del mundo.
Y hay decenas de medidas de seguridad para evitar tanto que llegue un mensaje de phising como que se pueda acceder a una página falsa (de hecho, no deberían ni poder salir a Internet desde las oficinas)
Un cuestionario de google docs te da la IP, no es algo muy difícil, y esto te digo sin acceder a su red, que para un hacker es bastante fácil.
El sistema permite descargar datos de 500.000 personas sin que se bloquee por si solo ...
También comento que hacer algo imposible de hackear es imposible. Puedes ponerle más o menos trabas y también que si falla, al menos seas consciente de que ha habido una intrusión (de hecho el sistema saltó).
Mejorarán los fallos que el sistema tenga y aprenderán para la próxima, como todos.
Que el muchacho se hizo con "al menos dos" pares de usuarios y contraseñas, eso te queda algo claro......
Ahora piensa, si estos funcionarios están en su casa - con su operador comercial de turno. La posibilidad de que aunque utilicen algún sistema de vpn es posible; y si recuerdas el caso del SEPE.
Puede ser que el tema de que el cliente de vpn no sea tan seguro(cosa que tampoco dicen en la noticia), por lo que intuyo que además de lo expuesto en el artículo, no descartaría algún otro tipo de software un software para "robar" por ejemplo el certificado que utilizan algunos sistemas de vpn.
A partir de ahí, es el propio sistema "de red privada" quién te da el acceso con una ip propia.
Y esto es , especulando mucho.
Pero bueno, supongo que si para currar el funci de turno tiene que, aparte de la vpn, levantarse un bastión efímero, todo con 2fa, entonces ya no sale un expediente de esos juzgaos en la vida
Que justo sean 500000 indica que el joven conoce los procedimientos y apostó por sacar lo máximo en el menor tiempo posible. O igual es que tiene una chiripa increíble, no se.
En cualquier caso le trincaron por los cobros en la wallet fijo y luego fueron viendo en el interrogatorio a ver cuántas hazañas le podían empaquetar
La DGT obliga a tener las manos en el volante en posición perfecta todo el trayecto, sin distraerse ni un momento. Me gustaría ver a alguno de los que redactan esas tonterías durante un viaje de 2 horas, a ver cómo lo respetan...
Lo de la "ingeniería social" es dedicarse a crear un web de palo, espamear y esperar a que alguno meta sus credenciales; cualquier tonto con unos conocimientos rudimentarios de informática puede hacerlo, hasta yo mismo podría.
Una cosa es relativamente sencilla y la otra un fallo de seguridad importante.
#ACAB
- Fishing en el que caiga alguien y ponga su usuario y contraseña de dominio en una web, es que tiene que no "cantar" mucho, es decir, tiene que parece algo a lo que tienen o por lo menos que tenga el aspecto a algo de la policia.
- Una vez pillada el usuario y la contraseña, intentar conectarse a la VPN que de acceso a la red sara. A partir de ahi, mirar a donde quiere ir en tu ataque o que puede pillar. Si no tienes la VPN, necesitas un salto a un equipo intermedio que este metido en la red sara, si no, es imposible, ya que tienes que tienes que tener direccionado el tráfico a nivel de rutas hacía afuera y eso lo tendria que hacer alguien, con un proxy o un router....demasiado complejo que lo hace inviable.
- Diseñar la consulta de datos para ver como extraer información.
Fallos a nivel de seguridad muy gordos:
- Un sistema de antispam que haga una resolucion inversa de los dominios de los caules este enviando, revise los dominios y verifique que son legitimos. Tambien puede revisar lo legitimo de la IP que envia el correo, que suele ser bastante efectivo. Hay muchas soluciones comerciales que hacen eso.
- Una VPN que de acceso con el usuario y contraseña es como tener una contraseña de tu banco con 1234. Cualquier empresa mediana ya tiene tecnologías de zero trust, que esencialmente es no confiar de ti en todo momento, verificando decir quien eres y desde donde te conectas, y asi valorar a donde puedes acceder. Esto la mayoria de las soluciones comerciales tienen algo que ya hace cosas de estas y a un muy buen nivel, cosas como que verifique una clave de registro, certificado digital o proceso corriendo en el ordenador cliente.
- Consoltas a un servicio de terceros desde la red sara. Tiene pinta de ser una API. Las API son ahora mismo la fuente de ataques más importantes, ya que no se tiene mucho conocimiento de como funcionan como norma general, con lo que la seguridad básica pues lo dejan andando. Cuando te cuelas por ahi, el estropicio es importante.
¿por que no se invierte más en seguridad? Pues puede ser que la policia, cuando le gan X cientos de miles de euros para gastar, la seguridad IT no sea uno de puntos principales, de eso no se ganan votos, ya que no puedes enseñar tus nuevos elementos de seguridad en el puesto delante de tus jefes, que son policias y no expertos en IT. Esto me lo invento, pero me imagino que será algo asi, ya que me lo he encontrado en algun cuerpo del estado con ese argumento.
Yo veo aquí una negligencia a mayores a parte del funcionario de turno.
Los "hackeos" de seguridad casi siempre giran en torno a la ingeniería social. Cuando se empezó a filtrar información confidencial mediante burdos engaños (como el caso de Kevin Mitnick y el código fuente de Motorola) las empresas afectadas crearon la imagen del "hacker peligroso" para justificar su propia incompetencia frente a la opinión pública y convencer a los jueces de que la persona a la que enviaron voluntariamente la información lo hizo todo él sólo y de forma imprevisible, o que de alguna manera es punible ser más listo que un encargado de seguridad. La mentira caló hondo y se acabó convirtiendo en un tópico de películas y novelas, pero el mundo real no funciona así.
Mitnick, probablemente el primer condenado por ser un "hacker peligroso", nunca utilizó conocimientos avanzados de tecnología para saltarse ninguna limitación. Simplemente Mitnick llamó a Motorola y dijo "Hola, ¿me pasáis vuestro código fuente?" La persona que le atendió le dijo que sólo el encargado de seguridad podía darle acceso, así que llamó al encargado (Momento en que Mitnick se asustó y pensó que le iban a pillar). Para su sorpresa, el encargado se puso al teléfono y le dio acceso sin preguntar nada.
Aaron Swartz, otro joven condenado por ser un hacker peligroso, lo único que hizo fue descargar en su portátil muchos libros de la universidad, cuando tenía permiso para hacerlo.
El capitán Crunch llamaba a las líneas de soporte técnico diciendo que no tenía credenciales y las operadoras le activaban lo que pidiera igualmente.
Esta gente fueron prodigios de la informática y la electrónica, pero nunca utilizaron esos conocimientos para los actos por los que fueron condenados. Se utilizó su inteligencia como carácter distintivo para dibujarlos como peligrosos en un mundo que ignoraba todo sobre seguridad informática.
www.cloudflare.com/es-es/learning/ddos/glossary/ip-spoofing/
o conseguir poner un bicho en un PC de la red
Y luego los datos van todos sin encriptar? Entiendo que no... Pero seguro que si
es.wikipedia.org/wiki/Anexo:Direcciones_IP_reservadas
Entiendo que se metio en la red u ordenador con esa IP y desde ahi accedio o en la red se puso la mac que recibia esa IP y se la dieron.