Pues gracias por el descargo. Se que es dificil. A mi me cayo la noticia como un bombazo pero los argumentos que presentas son logicos yannick, la verdad siento que he sido engañado vilmente por gente que no tiene realmente un espiritu "hacker" positivo.
Pues algo se podra aprenderemos de todo esto sobre todo para los que usamos y trabajamos con chamilo. El 07/04/2013 17:15, "Rafael Olaechea" <[email protected]> escribió: > > "Luego, modificó la cabecera HTML para añadir una redirección JS." > > Entonces desde la cuenta de administrador se puede introducir > código malicioso al sistema sin dificultad? Quizás hubiera sido útil tener > distintos niveles de administradores. En dicho caso IDAT (pongo el nombre > xk el caso ya ha salido en medios), debió tomar sus precauciones sobre la > cuenta de administrador quizás incluso usando tokens x autenticación (tipo > los bancos) en vez de simple claves, y registrando el IP de cada acceso. > > > Me parece muy importante y útil este mensaje que es has enviado > describiendo el hecho, pues es importante conocer tu versión de los hechos. > La mayoría de veces los problemas de seguridad salen de las personas, y > definitivamente esta claro que IDAT no tenía una política de recursos > humanos adecuada que ayude en eso. > > > > > > > > 2013/4/7 Yannick Warnier <[email protected]> > >> Hola a todos, >> >> Como somos una pequeña familia y que seguro todos se enteraron del caso >> de una institución famosa en Lima que fue el objeto de anuncios por >> Anonymous, quiero aprovechar para hacerles un reporte sobre la >> situación, para que no piensen que lo estamos ignorando o tratando de >> esconder. >> >> Que los que solo quieren el resumen vayan a la sección "Conclusiones" al >> final, estoy seguro que les dará ganas de leer lo demás :-) >> >> Hemos seguido de manera activa los últimos sucesos, para estar seguros >> que, de ser alguna vulnerabilidad de Chamilo, estaríamos listos para >> corregirla al toque. No obstante, no fue el caso pero consideramos >> lamentable que Chamilo haya sido nombrado en todo esto. >> >> Nosotros no nos consideramos expertos en seguridad, pero tenemos un buen >> conocimiento de las técnicas de cracking, y una conciencia fuerte para >> defender nuestros usuarios y su privacidad. >> >> Quiero recordarles que tengo una charla el 20 de Abril en la reunión >> presencial del PLUG. Con gusto usaré una mitad de mis 50 minutos para >> aclarar todas las dudas pertinentes sobre este caso! Me parece >> importante y super interesante desglosarlo, ya que es un tema de >> actualidad y lleno de misterio. >> >> Para algunos que ya se hayan enfrentado en la red con jovencitos que >> tienen demasiado tiempo libre y una gran necesidad de amor, esto >> parecerá normal y común. Para los demás, espero ayudarles a tener >> criterio propio y no dejarse impresionar por cosas que parezcan >> complejas, avanzadas o mágicas como un truco de David Copperfield. >> >> No quiero pronunciarme sobre el motivo de la acción llevada a cabo. No >> me corresponde, pero digamos que estoy totalmente respetuoso de las >> leyes y de los principios éticos locales, que parecen *no* haber sido >> respectados en este caso. >> >> Para no nombrarla, pero no extender lo siguiente, llamemos la >> institución "víctima" TADI, y los grupos de crackers involucrados Anon >> Perú y V* Labs. "Víctima" es un término relativo al ataque, y está claro >> que las verdaderas víctimas de toda esta situación son alumnas y alumnos >> de la institución. >> >> >> Pasado >> ------ >> >> En febrero de este año, un cracker peruano de un grupo V* Labs entró con >> una cuenta administrador al sistema Chamilo usado por TADI. Sacó >> listados CSV de alumnos y de cursos de una facultad, lo cual es parte de >> las funcionalidades autorizadas por un admin de Chamilo. >> >> Luego, modificó la cabecera HTML para añadir una redirección JS. El >> JavaScript es autorizado ahí para permitir añadir tags de seguimiento >> tipo Google Analytics. En Drupal, por ejemplo, se puede hacer >> manualmente en un thema, o instalando un módulo "Google Analytics" que >> permite añadir el código correspondiente. Ambas técnicas tienen sus >> defectos. Nosotros quisimos confiar en la competencia del administrador >> para proteger su cuenta. >> >> Se tomaron las medidas del caso a pocas horas de iniciado el ataque: se >> identificó que no habían ingresado por ningun otro medio, se recuperó un >> backup de unas horas antes, se redució la cantidad de administradores y >> se cambiaron las contraseñas relevantes (en realidad hubieron dos >> ataques y a la segunda se tomaron las mismas medidas, más estrictas esta >> vez). >> >> Este ingreso no fue *nada* complejo y, analizando la base de datos de >> alrededor de 11,000 alumnos, encontramos cantidad de casos de profesores >> con contraseñas vergonzósamente simples. >> >> La exportación de datos de usuarios fue un hecho lamentable, pero no se >> pudo sacar ninguna contraseña de usuario, pues la funcionalidad de >> exportación no lo permite. >> En este mismo momento, el cracker sacó una serie de capturas de >> pantallas que le servirían más tarde. >> >> Van 3 años que damos servicio de alojamiento y mantenimiento para TADI, >> y hasta ahora nunca había ocurrido semejante situación con esta >> institución. >> >> >> Presente >> -------- >> >> * Sobre conversaciones chat incriminantes >> >> Este jueves 4/4, Anon Perú publicó una serie de conversaciones entre >> docentes y administradores del portal Chamilo, pero ninguna de estas >> capturas muestra que ingresaron nuevamente al portal Chamilo. >> >> De hecho, todas las capturas de conversaciones provienen de Gmail y de >> Facebook. Una captura de Chamilo de un mensaje a destinación de todos >> los profesores muestra que el mensaje está fechado del año pasado. >> >> Otra captura muestra el portal Chamilo desfazado, captura tomada en >> Febrero. >> >> * Sobre espiar conversaciones >> >> Anon Perú procedió a indicar que un administrador había espiado las >> conversaciones privadas de alumnos y docentes. >> >> En este caso particular, Chamilo provee la posibilidad para un >> administrador de "conectarse como" un alumno o un docente, y >> efectivamente navegar en su cuenta y, porque no, ver sus mensajes. Es >> una funcionalidad que existe en Chamilo y en sus "padres" (Chamilo es un >> fork) por lo menos desde el año 2004. >> >> Esta funcionalidad es súmamente práctica dar soporte a los usuarios que >> tengan problemas sin pedirles su contraseña (lo que representaría un >> riesgo de seguridad alto). También, en ciertos casos, permite >> identificar y reportar abusos de manera interna. >> Creo que es el caso para la mayoría de las aplicaciones, libres o no, >> que disponen de un servicio de soporte. >> >> >> * Sobre la privacidad de las conversaciones >> >> Desde el año 2009, Chamilo dispone de una funcionalidad de "Términos y >> condiciones" que permite a la institución indicar los términos de >> gestión de las comunicaciones. Esto es responsabilidad de la institución >> y no de Chamilo, y la licencia GNU/GPL hace muy clara esta >> no-responsabiliad de Chamilo. >> >> Ahí quizás Erick Iriarte puede confirmar, pero de lo que puedo imaginar, >> los datos grabados en el sistema caen bajo el reglamento del "TADI", y >> probablemente son propiedad de la institución... no? >> Igual así, no respaldo de ninguna manera el "espiar" conversaciones si >> es que uno no tiene motivos éticos claros detrás. >> >> * Sobre ataque DDOS >> >> El día de ayer (Sábado) a noche, el grupo V* Labs reportó haber atacado >> el sistema Chamilo y haberlo "hecho caer" en la noche. El portal Chamilo >> de "TADI" ya había sido desactivado en la tarde del Viernes, resultando >> en un ataque que afectó a otros usuarios de nuestra red, sin ningún >> efecto sobre la institución destino de este ataque. Una manera poco >> elegante de hacer valer sus objetivos... >> >> Para los que nunca tuvieron que enfrentarse a este tipo de ataque, se >> trata de un mecanismo recontra simple: se re-usa un script (disponible >> en la web) en JavaScript, se ubica en una página específica y se invita >> a cualquier n00b a visitar la página. >> http://en.wikipedia.org/wiki/LOIC >> >> A partir de ahí, la página usa (por ejemplo) web sockets para mandar >> algo de 1000 llamadas por segundo a un servidor. Esto se multiplica por >> la cantidad de personas mirando la página. >> Como un servidor web está configurado a medida para dar el mejor >> servicio posible en base a una cantidad máxima determinada de usuarios, >> y que nunca se planifica tener 15,000 llamadas por segundo (15 n00bs >> mirando la página), pues simplemente el servidor web contesta a lo que >> se pueda, y da un error a los demás. >> >> Obviamente, como hay gente que usa la web a un ritmo de 1,000 pedidas >> por segundo, un usuario "normal" no tendrá acceso a la página. Esto es >> un método común usado por crackers en Perú. Es simple implementar y solo >> basta juntar unas personas. >> >> Nuestros servidores cuentan con mecanismos anti-DOS, que hasta una >> cierta cantidad de gente puede funcionar contra los DDOS, pero bueno, >> digamos que el sistema tenía demasiado que filtrar en este caso. >> >> Para los fanáticos de la nube, sí, se puede disminuir el impacto de un >> ataque DDOS usando infraestructura elástica, pero recuerden que en la >> nube las cosas se pagan al consumo: si un grupo de crackers decide >> atacar sur portal y deján la posibilidad de auto-generar más instancias >> de servidores, puede ser que las 6h de ataque les cueste $5000 al fin >> del mes. >> >> Personalmente considero que los ataques DDOS son algo injustas, porque a >> recursos iguales, es *mucho* más fácil y barato atacar que defenderse. >> >> * Sobre dump de base de datos >> >> El grupo V* labs insinuó esta mañana que el sistema Chamilo no era >> seguro, y para "demostración", publicó un supuesto "dump" de la base de >> datos generado el 7/4 (según el archivo mismo). E aquí el enlace: >> >> http://www.facebook.com/photo.php?fbid=315790501880547&set=a.315654068560857.1073741825.213972215395710&type=1 >> >> Aquí tengo que admitir que es hábil de su parte, pero levanta dudas >> considerables sobre *todo lo demás* publicado por el grupo Anon Perú y >> que Anon Perú reconoce como "haberlo recibido" y no colectado el mismo: >> >> El dump *no es* un dump de la base de datos de Chamilo (pues faltan >> muchisimos datos de seguimiento) se trata de una instalación local de >> Chamilo, en la cual el cracker "re-insertó" (a través de las >> funcionalidades de admin local de Chamilo) la data que había exportado >> en febrero: >> >> * todos los usuarios (tabla user en el archivo) registran haber sido >> creados el 22/02/2013 >> * son 3000 usuarios en vez de los 11000 y algo que realmente están en la >> base de datos >> * sus contraseñas no son las originales (pues están en SHA1, que no es >> el mecanismo de cifrado que se usa en este caso) porque no pudo >> exportarlas >> * no existe ninguna data de cursos, notas, etc (porque no se puede >> exportar de una sola vez como administrador) >> * los parámetros del sistema (tabla settings_current) no son los mismos >> que en el sistema mismo >> >> Este último paso, sumado a un comentario sobre el caracter "humilde" del >> sistema, me ha personalmente molestado, porque ya no se trata de dañar >> la reputación de la institución, sino está entrando en un proceso >> destructivo que lastima a la reputación del software libre en general >> como a la de Chamilo en particular, software libre que es lo que le >> permite hacer lo que hace. Un poco de respeto no sería demás. >> >> >> Conclusión >> ---------- >> >> Quiero concluir con los puntos siguiente: >> >> - en ninguna oportunidad, Chamilo ha sido "crackeado" en el sentido de >> modificar su comportamiento normal >> >> - todos los casos de "cracking" han sido por via de uso de contraseñas >> vulnerables. Defecto humano y no tecnológico (o si fue tecnológico, fue >> de la red de la institución y no un problema de Chamilo) >> >> - los reportes del cracker tienen por lo menos un elemento engañoso y >> falso, lo que pone en cuestión toda la información entregada hasta >> entonces >> >> - Chamilo es una solución segura. Tenemos auditorías anuales y >> corregimos y difundimos las fallas reportadas en menos de 72h hasta la >> fecha. >> >> - Chamilo cuenta con 4500 portales a nivel mundial. Todos los problemas >> de seguridad (y fueron pocos) que registramos fueron humanos >> >> - Recomendamos a todos los administradores de Chamilo de siempre >> recomendar el uso de certificados SSL >> >> Charla del 20/04 >> ---------------- >> >> Les invito a venir a conversarlo en la reunión del 20 de Abril! >> >> También hablaremos de Chamilo en sí como solución internacional, >> parcialmente desarrollada en Perú, y de hacer negocios con software >> libre. A ver si me aumentan un poco el tiempo impartido para conversar >> tranquilos del ataque. >> >> Saludos, >> >> Yannick >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php >> >> Alojamiento de listas cortesia de http://cipher.pe >> > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
