Hola a todos, Como somos una pequeña familia y que seguro todos se enteraron del caso de una institución famosa en Lima que fue el objeto de anuncios por Anonymous, quiero aprovechar para hacerles un reporte sobre la situación, para que no piensen que lo estamos ignorando o tratando de esconder.
Que los que solo quieren el resumen vayan a la sección "Conclusiones" al final, estoy seguro que les dará ganas de leer lo demás :-) Hemos seguido de manera activa los últimos sucesos, para estar seguros que, de ser alguna vulnerabilidad de Chamilo, estaríamos listos para corregirla al toque. No obstante, no fue el caso pero consideramos lamentable que Chamilo haya sido nombrado en todo esto. Nosotros no nos consideramos expertos en seguridad, pero tenemos un buen conocimiento de las técnicas de cracking, y una conciencia fuerte para defender nuestros usuarios y su privacidad. Quiero recordarles que tengo una charla el 20 de Abril en la reunión presencial del PLUG. Con gusto usaré una mitad de mis 50 minutos para aclarar todas las dudas pertinentes sobre este caso! Me parece importante y super interesante desglosarlo, ya que es un tema de actualidad y lleno de misterio. Para algunos que ya se hayan enfrentado en la red con jovencitos que tienen demasiado tiempo libre y una gran necesidad de amor, esto parecerá normal y común. Para los demás, espero ayudarles a tener criterio propio y no dejarse impresionar por cosas que parezcan complejas, avanzadas o mágicas como un truco de David Copperfield. No quiero pronunciarme sobre el motivo de la acción llevada a cabo. No me corresponde, pero digamos que estoy totalmente respetuoso de las leyes y de los principios éticos locales, que parecen *no* haber sido respectados en este caso. Para no nombrarla, pero no extender lo siguiente, llamemos la institución "víctima" TADI, y los grupos de crackers involucrados Anon Perú y V* Labs. "Víctima" es un término relativo al ataque, y está claro que las verdaderas víctimas de toda esta situación son alumnas y alumnos de la institución. Pasado ------ En febrero de este año, un cracker peruano de un grupo V* Labs entró con una cuenta administrador al sistema Chamilo usado por TADI. Sacó listados CSV de alumnos y de cursos de una facultad, lo cual es parte de las funcionalidades autorizadas por un admin de Chamilo. Luego, modificó la cabecera HTML para añadir una redirección JS. El JavaScript es autorizado ahí para permitir añadir tags de seguimiento tipo Google Analytics. En Drupal, por ejemplo, se puede hacer manualmente en un thema, o instalando un módulo "Google Analytics" que permite añadir el código correspondiente. Ambas técnicas tienen sus defectos. Nosotros quisimos confiar en la competencia del administrador para proteger su cuenta. Se tomaron las medidas del caso a pocas horas de iniciado el ataque: se identificó que no habían ingresado por ningun otro medio, se recuperó un backup de unas horas antes, se redució la cantidad de administradores y se cambiaron las contraseñas relevantes (en realidad hubieron dos ataques y a la segunda se tomaron las mismas medidas, más estrictas esta vez). Este ingreso no fue *nada* complejo y, analizando la base de datos de alrededor de 11,000 alumnos, encontramos cantidad de casos de profesores con contraseñas vergonzósamente simples. La exportación de datos de usuarios fue un hecho lamentable, pero no se pudo sacar ninguna contraseña de usuario, pues la funcionalidad de exportación no lo permite. En este mismo momento, el cracker sacó una serie de capturas de pantallas que le servirían más tarde. Van 3 años que damos servicio de alojamiento y mantenimiento para TADI, y hasta ahora nunca había ocurrido semejante situación con esta institución. Presente -------- * Sobre conversaciones chat incriminantes Este jueves 4/4, Anon Perú publicó una serie de conversaciones entre docentes y administradores del portal Chamilo, pero ninguna de estas capturas muestra que ingresaron nuevamente al portal Chamilo. De hecho, todas las capturas de conversaciones provienen de Gmail y de Facebook. Una captura de Chamilo de un mensaje a destinación de todos los profesores muestra que el mensaje está fechado del año pasado. Otra captura muestra el portal Chamilo desfazado, captura tomada en Febrero. * Sobre espiar conversaciones Anon Perú procedió a indicar que un administrador había espiado las conversaciones privadas de alumnos y docentes. En este caso particular, Chamilo provee la posibilidad para un administrador de "conectarse como" un alumno o un docente, y efectivamente navegar en su cuenta y, porque no, ver sus mensajes. Es una funcionalidad que existe en Chamilo y en sus "padres" (Chamilo es un fork) por lo menos desde el año 2004. Esta funcionalidad es súmamente práctica dar soporte a los usuarios que tengan problemas sin pedirles su contraseña (lo que representaría un riesgo de seguridad alto). También, en ciertos casos, permite identificar y reportar abusos de manera interna. Creo que es el caso para la mayoría de las aplicaciones, libres o no, que disponen de un servicio de soporte. * Sobre la privacidad de las conversaciones Desde el año 2009, Chamilo dispone de una funcionalidad de "Términos y condiciones" que permite a la institución indicar los términos de gestión de las comunicaciones. Esto es responsabilidad de la institución y no de Chamilo, y la licencia GNU/GPL hace muy clara esta no-responsabiliad de Chamilo. Ahí quizás Erick Iriarte puede confirmar, pero de lo que puedo imaginar, los datos grabados en el sistema caen bajo el reglamento del "TADI", y probablemente son propiedad de la institución... no? Igual así, no respaldo de ninguna manera el "espiar" conversaciones si es que uno no tiene motivos éticos claros detrás. * Sobre ataque DDOS El día de ayer (Sábado) a noche, el grupo V* Labs reportó haber atacado el sistema Chamilo y haberlo "hecho caer" en la noche. El portal Chamilo de "TADI" ya había sido desactivado en la tarde del Viernes, resultando en un ataque que afectó a otros usuarios de nuestra red, sin ningún efecto sobre la institución destino de este ataque. Una manera poco elegante de hacer valer sus objetivos... Para los que nunca tuvieron que enfrentarse a este tipo de ataque, se trata de un mecanismo recontra simple: se re-usa un script (disponible en la web) en JavaScript, se ubica en una página específica y se invita a cualquier n00b a visitar la página. http://en.wikipedia.org/wiki/LOIC A partir de ahí, la página usa (por ejemplo) web sockets para mandar algo de 1000 llamadas por segundo a un servidor. Esto se multiplica por la cantidad de personas mirando la página. Como un servidor web está configurado a medida para dar el mejor servicio posible en base a una cantidad máxima determinada de usuarios, y que nunca se planifica tener 15,000 llamadas por segundo (15 n00bs mirando la página), pues simplemente el servidor web contesta a lo que se pueda, y da un error a los demás. Obviamente, como hay gente que usa la web a un ritmo de 1,000 pedidas por segundo, un usuario "normal" no tendrá acceso a la página. Esto es un método común usado por crackers en Perú. Es simple implementar y solo basta juntar unas personas. Nuestros servidores cuentan con mecanismos anti-DOS, que hasta una cierta cantidad de gente puede funcionar contra los DDOS, pero bueno, digamos que el sistema tenía demasiado que filtrar en este caso. Para los fanáticos de la nube, sí, se puede disminuir el impacto de un ataque DDOS usando infraestructura elástica, pero recuerden que en la nube las cosas se pagan al consumo: si un grupo de crackers decide atacar sur portal y deján la posibilidad de auto-generar más instancias de servidores, puede ser que las 6h de ataque les cueste $5000 al fin del mes. Personalmente considero que los ataques DDOS son algo injustas, porque a recursos iguales, es *mucho* más fácil y barato atacar que defenderse. * Sobre dump de base de datos El grupo V* labs insinuó esta mañana que el sistema Chamilo no era seguro, y para "demostración", publicó un supuesto "dump" de la base de datos generado el 7/4 (según el archivo mismo). E aquí el enlace: http://www.facebook.com/photo.php?fbid=315790501880547&set=a.315654068560857.1073741825.213972215395710&type=1 Aquí tengo que admitir que es hábil de su parte, pero levanta dudas considerables sobre *todo lo demás* publicado por el grupo Anon Perú y que Anon Perú reconoce como "haberlo recibido" y no colectado el mismo: El dump *no es* un dump de la base de datos de Chamilo (pues faltan muchisimos datos de seguimiento) se trata de una instalación local de Chamilo, en la cual el cracker "re-insertó" (a través de las funcionalidades de admin local de Chamilo) la data que había exportado en febrero: * todos los usuarios (tabla user en el archivo) registran haber sido creados el 22/02/2013 * son 3000 usuarios en vez de los 11000 y algo que realmente están en la base de datos * sus contraseñas no son las originales (pues están en SHA1, que no es el mecanismo de cifrado que se usa en este caso) porque no pudo exportarlas * no existe ninguna data de cursos, notas, etc (porque no se puede exportar de una sola vez como administrador) * los parámetros del sistema (tabla settings_current) no son los mismos que en el sistema mismo Este último paso, sumado a un comentario sobre el caracter "humilde" del sistema, me ha personalmente molestado, porque ya no se trata de dañar la reputación de la institución, sino está entrando en un proceso destructivo que lastima a la reputación del software libre en general como a la de Chamilo en particular, software libre que es lo que le permite hacer lo que hace. Un poco de respeto no sería demás. Conclusión ---------- Quiero concluir con los puntos siguiente: - en ninguna oportunidad, Chamilo ha sido "crackeado" en el sentido de modificar su comportamiento normal - todos los casos de "cracking" han sido por via de uso de contraseñas vulnerables. Defecto humano y no tecnológico (o si fue tecnológico, fue de la red de la institución y no un problema de Chamilo) - los reportes del cracker tienen por lo menos un elemento engañoso y falso, lo que pone en cuestión toda la información entregada hasta entonces - Chamilo es una solución segura. Tenemos auditorías anuales y corregimos y difundimos las fallas reportadas en menos de 72h hasta la fecha. - Chamilo cuenta con 4500 portales a nivel mundial. Todos los problemas de seguridad (y fueron pocos) que registramos fueron humanos - Recomendamos a todos los administradores de Chamilo de siempre recomendar el uso de certificados SSL Charla del 20/04 ---------------- Les invito a venir a conversarlo en la reunión del 20 de Abril! También hablaremos de Chamilo en sí como solución internacional, parcialmente desarrollada en Perú, y de hacer negocios con software libre. A ver si me aumentan un poco el tiempo impartido para conversar tranquilos del ataque. Saludos, Yannick _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
