Defacement al sitio presidencia.gob.ec y a elciudadano.gob.ec el día de ayer

Imagen de Epe

Tema: 

Bueno, hoy de casualidad leyendo el diario La Hora veo que han metido mano al sitio de la presidencia nuevamente

http://zone-h.org/mirror/id/14220408

No sé si lo han notado, pero mantener un sitio en joomla se ha vuelto una patada en el estómago... está joomla teniendo muchas fallas de seguridad? El instalar módulos de joomla de terceros, que después no se actualizan bien es un problema? O es que falta dedicación a la hora de actualizar joomla? O falta dedicación a la hora de protegerlo?

He visto en los últimos tiempos una ola de ataques a sitios de joomla y la mayoría de los ataques usan fallas conocidas de joomla o sus módulos (esto es, no se actualizó a tiempo) y la realidad es que mantener al día decenas de sitios de joomla, o aunque sea uno sólo! Se vuelve LA TAREA.

En este caso al parecer aprovecharon la misma falla, puesto que ambos sitios están hechos en joomla y posiblemente tengan (o tuvieran) la misma falla.

realmente estos ataques en internet ya me comienzan a deprimir ... conozco de muchos puesto que nuestros clientes a veces son atacados por no mantener sus sitios actualizados o mantenerles con fallas.... y lo peor de todo es que no preveo un decremento, sino al contrario un incremento en los ataques y en sus modalidades!

Fíjate, esto de cambiarle la cara a un sitio web aparenta ser simple, fácil, trivial, pero no nos podemos quedar en lo bajito.. tenemos que pensar más adentro pues YA ESTÁ OCURRIENDO:
1- el hecho de que hayan podido cambiar una página web (defacement) significa que el atacante pudo entrar de alguna forma y hacer modificaciones al sitio, y por tanto también pudo haber inyectado código espúreo, o implantado código o programas que sirvan a su nuevo amo y no al dueño del sitio.

tu quizá ignores este punto, pero a mi YA ME QUITA EL SUEÑO porque tu no sabes en qué te puedes ver envuelto ante una implantación de código que haga cosas que tú ni esperas....

2- qué hacen las autoridades y diferentes interesados para recibir de forma automatizada reportes de ataque? Qué hacen para reportar automáticamente estos problemas?

Porque todo ha sido muy visible y fresco en este caso! La IP del atacante tiene que estar en los logs, no van a tratar de reportar y encontrar al atacante donde quiera que esté? En el país que sea? Con la ayuda de las autoridades?

Los ataques por internet están a la moda porque los atacantes están quedando mayormente impunes!

Internet ha dejado de ser aquella aldea global, lo dicen hace tiempo.. pero ahora es un oeste: protégete a tí mismo dentro de tu casa y deja a los bandidos andar por ahi afuera... y creo que es hora de cambiar esto, hay que lograr seguridad y tranquilidad en estos eventos...

Comentarios

No se trata de instalar y ya

Imagen de iknaxio

No se trata de instalar y ya. Con la popularización de los CMS cualquiera ofrece el servicio de "construir sitios web" y ofrece tarifas tan bajas que el otro día hasta lloro cuando un amigo me pidió una cotización y yo le incluía el tema del monitoreo e instalación de las actualizaciones que vayan saliendo, junto con otras cosas que yo considero necesarias, pero vino alguien que "les hacia la página" por la cuarta parte que yo.

En mi opinión personal Joomla no es la mejor opción y menos para un sitio como el de la Presidencia, el hecho que sea popular no significa que sea lo mejor.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

te pasó el otro día? A

Imagen de Epe

te pasó el otro día? A nosotros nos pasa diariamente... la gente se piensa que una cotización de un sitio web o del alojamiento es simplemente valorar es $X > que $Y? Entonces me voy por Y

Es diario, pero a veces nos sentimos realizados.. el otro día se nos fue un usuario con esta justificación:

Como ustedes comprenderán, debido a los últimos problemas, nos hemos visto obligados a llevarnos uno de los sitios web hacia el excelente servicio de Y pues queremos diversificar los servicios para mantener al menos un sitio al aire.

Bueno, se fué, de nuestro servicio, hacia un sitio que se dedica a vender transmisores de radio y televisión. Me revienta cuando me espetan en la cara del "excelente servicio del otro", y cuando me mencionan "los últimos problemas" eso me hace enfermar, sentir con gripe, porque si los hubiera yo me quedo callado y TAN FELIZ.. pero cuando no hay y no comprendo.. cuando no comprendo algo me siento enfermo!

Primero intentó que le resolviéramos los problemas del otro, pues como el dominio permanecía con nosotros todo lo achacaba a: me dice Y que los DNS no han cambiado, me dice Y que no están bien cambiados, me dice Y que el dominio no responde... todo le demostramos con whois, usando www.squish.net/dnscheck y siempre le decíamos que pare de escribirnos sobre temas que debe resolver el otro.

Después comencé a notar vaivenes, cada 3 días cambiaban de DNS, eso le llamo andar a la gitana... hoy aquí, mañana allá.. en roaming puro

Y la semana pasada lo reconoció, eso me hace sentir bien:


Con uds no tuve nunca problemas, por favor regresemos...

Pero esos son los pocos, muchos prefieren seguir de gitanos dando tumbos hasta encontrar a alguien serio en este mercado... antes que reconocer su error.

Sobre Joomla.. ya no me está gustando... pero además, ya con la presidencia van varias veces, deberían comenzar a tomar medidas en lo que deciden cómo sustituir al joomla. La historia a veces nos condena, Joomla proviene de Mambo, y precisamente Mambo tuvo muchos inconvenientes ... pero no tanto como phpNuke, uno de los primeros cms recuerdan?

Los CMS tienen fallas fundamentales:
1- son hechos por seres humanos y por tanto tienen problemas inherentes
2- la mayoría no viene con un sistema de actualizaciones simple
3- permiten incorporar plugins de forma indiscriminada, plugins que después se dejan de actualizar por el autor.

Por qué no ponen un sistema de actualizaciones simples? De todo... un sistema que advierta cuando un plugin ya no es mantenido o trabajado? Un sistema que permita definir una lista de plugins soportados tipo el HCL de ciertos fabricantes?

No sé, son ideas, wordpress ha logrado trabajar un sistema de actualizaciones simples.. y aún así les meten mano de vez en cuando porque el usuario no revisa que tiene actualizaciones... pero por lo menos tiene el sistema y ya ahora sí es culpa del usuario.

Las personas que contraten un sistema para su sitio web deben exigir soporte, como mismo se exige cuando compras otro sistema o auto o lo que fuera.. no veo normal cómo la gente instala un sistema en el 2008 y todavía hoy pretenden seguir usándolo.. no es que sean coños.. es que son desconocedores.. y eso sí! Cuando les meten mano al sitio nos llaman corriendo: urgente! Resuelvan!! el sitio fue "hackeado"... cómo si fuera tan simple solucionar problemas provocados por un Y que les hizo un sitio hace muchos años.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Cita: Mirror saved on:

Imagen de falcom

[quote] Mirror saved on: 2011-06-19 17:04:00
Notified by: LatinHackTeam
Domain: http://www.presidencia.gob.ec
IP address: 190.11.14.28
System: Win 2003
Web server: IIS/6.0
Notifier stats

[/quote]
umm me parece q lo corrian en un linux/apache/joomla, de donde sacarian esto?

Es un IIS

Imagen de iknaxio

Es un IIS y por ende un Windows Server. La prueba más rápida es tratando de cargar en el navegador:

http://presidencia.gob.ec/

El sgte msj, es de servidores M$:

[quote]Error Code: 403 Forbidden. The server denied the specified Uniform Resource Locator (URL). Contact the server administrator. (12202)[/quote]

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

son dos hosts distintos: PING

Imagen de deathUser

son dos hosts distintos:


PING www.presidencia.gob.ec (190.11.14.28) 56(84) bytes of data.


PING presidencia.gob.ec (190.11.14.30) 56(84) bytes of data.

Y si parece Apache o está disfrazado de apache, ya que las cabeceras no dicen nada, pero los mensajes de error parecen de apache...

http://www.presidencia.gob.ec/CUALQUIER_VERGA

[quote]Not Found

The requested URL /CUALQUIER_VERGA was not found on this server.
Apache/2.2.3 (CentOS) Server at www.presidencia.gov.ec Port 80[/quote]

bye
;)

Es uno de los ejemplos que

Imagen de Epe

Es uno de los ejemplos que uso en clases sobre cómo NO configurar los dns... es un error muy común cuando el administrador tiene dos servidores, uno para mail y otro para web... piensan que el record para presidencia.gob.ec debe apuntar al server de mail y no al server web.. y es precisamente un ejemplo excelente (y llamativo!) sobre cómo no hacerlo.

Sobre por qué dice que es windows el sitio de zone-h? Para mi que es información grabada previamente, antes eran windows... y entonces ahora cada vez que les defacean, como que ya no escriben la vieja info, o el defacer debe poner el sistema pero como ya les proponen que es windows (por info previa) el defacer no le cambia... pienso que es por ahi el tema.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Páginas