Hola Daniel, La mayoría de tus preguntas tienen respuestas en mi correo.
Le dimanche 07 avril 2013 à 18:24 -0500, Daniel Yucra a écrit : > Estimados, > > > No suelo escribir mucho en esta lista, pero tratandose de Yannick es > bueno conocer: > > > 1. ¿Qué es lo que ha pasado entonces entonces con Chamilo con el > portal de TADI? Explicado en mi correo. > 2. ¿Cuales son las recomendaciones que Chamilo ha hecho respecto a las > políticas de seguridad con las contraseñas a sus usuarios? Como indico al fin de mi correo, una solución es usar SSL siempre. Otra posibilidad (que no me gusta tanto por varias razones) es forzar los usuarios a tener contraseñas complejas. > > 3. La información engañosa hace suponer que si fue hackeada uno de los > portales de Chamilo. ¿Cómo nos enfrentamos a esto? > Como indicado en mi correo, sí entraron y robaron información, pero no via fallas de la plataforma. No hay manera simultáneamente agradable y simple de solucionarlo. Es robo de información. Es ilegal. Lo robado es únicamente información de identificación de los usuarios, pero puede ser usado para más cosas malas, como usar el correo para SPAM o chantaje. La única solución totalmente segura es de borrar toda la data afectada y volver a generarla (que los correos sean cambiados - quizás agregando un prefijo o sufijo variable, o algo así). > 4. Como solución tecnológica FLOSS. ¿Qué recomiendas que hagamos?, > penetración test certificada, pruebas de strees (contra ataques > DDOS), pruebas de regresión, ... Pruebas de penetración siempre son buenas si su institución puede permitírselo, pero por el interés del mayor número de personas, es bueno coordinar esto con nosotros para que la inversión de una institución pueda beneficiar a otras, pues una prueba sobre Chamilo es válida para todos los Chamilo de la misma versión. Siempre mantener su versión actualizada, también importa (proveemos parches para versiones anteriores también). Pruebas de estrés no te va a solucionar los DDOS. Es una cuestión de números. En este caso habían atacantes de 5-6 países de América Latina. Igual si tu sistema tiene 10 servidores, no hay mucho que se pueda hacer contra la multitud. Estamos construyendo poco a poco nuestras pruebas unitarias y de integración, pero tiene generalmente poco impacto (en nuestro caso) sobre la seguridad, ya que está se ve generalmente afectada por nuevos desarrollos, no código antiguo. > 5. Chamilo es mi opción y lo utilizamos y recomendamos además tengo > algunos clientes que recomiendo esta plataforma. Si el error es humano > entonces ¿Que se debería de hacer para los administradores para que no > sean víctimas de de este tipo de ataques?. Usar contraseñas complejas. Evitar usar redes inseguras (si se trata de una red cableada en un aula, asegurarse que el switch no se puede transformar en hub). Usar SSL. > Pienso que el honor de chamilo no está en juego, sino de la > institición y sus víctimas, además creo que revisaron sus protocolos, > politicas, normas, procedimientos de seguridad. Al menos esos > servidores deberían de tener HTTPS, ahí falto utilizar un cifrado > basado en SSL/TLS. > No basta que el aplicativo (chamilo) tenga toda la seguridad del caso, > falto ahí extender las políticas de seguridad en los datos (eso fue el > interés), personas (posible error humano como dices), sistema > operativo, base de datos, servidor web y habría que ver como están sus > instalaciones e infraestructura donde se gestiona la administración > del portal. Queda claro para mi. Espero que para los demás también. Saludos, Yannick > > Finalmente pienso que nos falta actualizar nuestras técnicas y > herramientas de Ethical Hacking, de esta manera enfrentar cada estos > ataques. > > > Benjamin Franklin: "En este mundo sólo hay dos cosas seguras: la > muerte y pagar impuestos." > > > Un saludo > > > > > El 7 de abril de 2013 16:42, Yannick Warnier <[email protected]> > escribió: > Hola a todos, > > Como somos una pequeña familia y que seguro todos se enteraron > del caso > de una institución famosa en Lima que fue el objeto de > anuncios por > Anonymous, quiero aprovechar para hacerles un reporte sobre la > situación, para que no piensen que lo estamos ignorando o > tratando de > esconder. > > Que los que solo quieren el resumen vayan a la sección > "Conclusiones" al > final, estoy seguro que les dará ganas de leer lo demás :-) > > Hemos seguido de manera activa los últimos sucesos, para estar > seguros > que, de ser alguna vulnerabilidad de Chamilo, estaríamos > listos para > corregirla al toque. No obstante, no fue el caso pero > consideramos > lamentable que Chamilo haya sido nombrado en todo esto. > > Nosotros no nos consideramos expertos en seguridad, pero > tenemos un buen > conocimiento de las técnicas de cracking, y una conciencia > fuerte para > defender nuestros usuarios y su privacidad. > > Quiero recordarles que tengo una charla el 20 de Abril en la > reunión > presencial del PLUG. Con gusto usaré una mitad de mis 50 > minutos para > aclarar todas las dudas pertinentes sobre este caso! Me parece > importante y super interesante desglosarlo, ya que es un tema > de > actualidad y lleno de misterio. > > Para algunos que ya se hayan enfrentado en la red con > jovencitos que > tienen demasiado tiempo libre y una gran necesidad de amor, > esto > parecerá normal y común. Para los demás, espero ayudarles a > tener > criterio propio y no dejarse impresionar por cosas que > parezcan > complejas, avanzadas o mágicas como un truco de David > Copperfield. > > No quiero pronunciarme sobre el motivo de la acción llevada a > cabo. No > me corresponde, pero digamos que estoy totalmente respetuoso > de las > leyes y de los principios éticos locales, que parecen *no* > haber sido > respectados en este caso. > > Para no nombrarla, pero no extender lo siguiente, llamemos la > institución "víctima" TADI, y los grupos de crackers > involucrados Anon > Perú y V* Labs. "Víctima" es un término relativo al ataque, y > está claro > que las verdaderas víctimas de toda esta situación son alumnas > y alumnos > de la institución. > > > Pasado > ------ > > En febrero de este año, un cracker peruano de un grupo V* Labs > entró con > una cuenta administrador al sistema Chamilo usado por TADI. > Sacó > listados CSV de alumnos y de cursos de una facultad, lo cual > es parte de > las funcionalidades autorizadas por un admin de Chamilo. > > Luego, modificó la cabecera HTML para añadir una redirección > JS. El > JavaScript es autorizado ahí para permitir añadir tags de > seguimiento > tipo Google Analytics. En Drupal, por ejemplo, se puede hacer > manualmente en un thema, o instalando un módulo "Google > Analytics" que > permite añadir el código correspondiente. Ambas técnicas > tienen sus > defectos. Nosotros quisimos confiar en la competencia del > administrador > para proteger su cuenta. > > Se tomaron las medidas del caso a pocas horas de iniciado el > ataque: se > identificó que no habían ingresado por ningun otro medio, se > recuperó un > backup de unas horas antes, se redució la cantidad de > administradores y > se cambiaron las contraseñas relevantes (en realidad hubieron > dos > ataques y a la segunda se tomaron las mismas medidas, más > estrictas esta > vez). > > Este ingreso no fue *nada* complejo y, analizando la base de > datos de > alrededor de 11,000 alumnos, encontramos cantidad de casos de > profesores > con contraseñas vergonzósamente simples. > > La exportación de datos de usuarios fue un hecho lamentable, > pero no se > pudo sacar ninguna contraseña de usuario, pues la > funcionalidad de > exportación no lo permite. > En este mismo momento, el cracker sacó una serie de capturas > de > pantallas que le servirían más tarde. > > Van 3 años que damos servicio de alojamiento y mantenimiento > para TADI, > y hasta ahora nunca había ocurrido semejante situación con > esta > institución. > > > Presente > -------- > > * Sobre conversaciones chat incriminantes > > Este jueves 4/4, Anon Perú publicó una serie de conversaciones > entre > docentes y administradores del portal Chamilo, pero ninguna de > estas > capturas muestra que ingresaron nuevamente al portal Chamilo. > > De hecho, todas las capturas de conversaciones provienen de > Gmail y de > Facebook. Una captura de Chamilo de un mensaje a destinación > de todos > los profesores muestra que el mensaje está fechado del año > pasado. > > Otra captura muestra el portal Chamilo desfazado, captura > tomada en > Febrero. > > * Sobre espiar conversaciones > > Anon Perú procedió a indicar que un administrador había > espiado las > conversaciones privadas de alumnos y docentes. > > En este caso particular, Chamilo provee la posibilidad para un > administrador de "conectarse como" un alumno o un docente, y > efectivamente navegar en su cuenta y, porque no, ver sus > mensajes. Es > una funcionalidad que existe en Chamilo y en sus > "padres" (Chamilo es un > fork) por lo menos desde el año 2004. > > Esta funcionalidad es súmamente práctica dar soporte a los > usuarios que > tengan problemas sin pedirles su contraseña (lo que > representaría un > riesgo de seguridad alto). También, en ciertos casos, permite > identificar y reportar abusos de manera interna. > Creo que es el caso para la mayoría de las aplicaciones, > libres o no, > que disponen de un servicio de soporte. > > > * Sobre la privacidad de las conversaciones > > Desde el año 2009, Chamilo dispone de una funcionalidad de > "Términos y > condiciones" que permite a la institución indicar los términos > de > gestión de las comunicaciones. Esto es responsabilidad de la > institución > y no de Chamilo, y la licencia GNU/GPL hace muy clara esta > no-responsabiliad de Chamilo. > > Ahí quizás Erick Iriarte puede confirmar, pero de lo que puedo > imaginar, > los datos grabados en el sistema caen bajo el reglamento del > "TADI", y > probablemente son propiedad de la institución... no? > Igual así, no respaldo de ninguna manera el "espiar" > conversaciones si > es que uno no tiene motivos éticos claros detrás. > > * Sobre ataque DDOS > > El día de ayer (Sábado) a noche, el grupo V* Labs reportó > haber atacado > el sistema Chamilo y haberlo "hecho caer" en la noche. El > portal Chamilo > de "TADI" ya había sido desactivado en la tarde del Viernes, > resultando > en un ataque que afectó a otros usuarios de nuestra red, sin > ningún > efecto sobre la institución destino de este ataque. Una manera > poco > elegante de hacer valer sus objetivos... > > Para los que nunca tuvieron que enfrentarse a este tipo de > ataque, se > trata de un mecanismo recontra simple: se re-usa un script > (disponible > en la web) en JavaScript, se ubica en una página específica y > se invita > a cualquier n00b a visitar la página. > http://en.wikipedia.org/wiki/LOIC > > A partir de ahí, la página usa (por ejemplo) web sockets para > mandar > algo de 1000 llamadas por segundo a un servidor. Esto se > multiplica por > la cantidad de personas mirando la página. > Como un servidor web está configurado a medida para dar el > mejor > servicio posible en base a una cantidad máxima determinada de > usuarios, > y que nunca se planifica tener 15,000 llamadas por segundo (15 > n00bs > mirando la página), pues simplemente el servidor web contesta > a lo que > se pueda, y da un error a los demás. > > Obviamente, como hay gente que usa la web a un ritmo de 1,000 > pedidas > por segundo, un usuario "normal" no tendrá acceso a la página. > Esto es > un método común usado por crackers en Perú. Es simple > implementar y solo > basta juntar unas personas. > > Nuestros servidores cuentan con mecanismos anti-DOS, que hasta > una > cierta cantidad de gente puede funcionar contra los DDOS, pero > bueno, > digamos que el sistema tenía demasiado que filtrar en este > caso. > > Para los fanáticos de la nube, sí, se puede disminuir el > impacto de un > ataque DDOS usando infraestructura elástica, pero recuerden > que en la > nube las cosas se pagan al consumo: si un grupo de crackers > decide > atacar sur portal y deján la posibilidad de auto-generar más > instancias > de servidores, puede ser que las 6h de ataque les cueste $5000 > al fin > del mes. > > Personalmente considero que los ataques DDOS son algo > injustas, porque a > recursos iguales, es *mucho* más fácil y barato atacar que > defenderse. > > * Sobre dump de base de datos > > El grupo V* labs insinuó esta mañana que el sistema Chamilo no > era > seguro, y para "demostración", publicó un supuesto "dump" de > la base de > datos generado el 7/4 (según el archivo mismo). E aquí el > enlace: > > http://www.facebook.com/photo.php?fbid=315790501880547&set=a.315654068560857.1073741825.213972215395710&type=1 > > Aquí tengo que admitir que es hábil de su parte, pero levanta > dudas > considerables sobre *todo lo demás* publicado por el grupo > Anon Perú y > que Anon Perú reconoce como "haberlo recibido" y no colectado > el mismo: > > El dump *no es* un dump de la base de datos de Chamilo (pues > faltan > muchisimos datos de seguimiento) se trata de una instalación > local de > Chamilo, en la cual el cracker "re-insertó" (a través de las > funcionalidades de admin local de Chamilo) la data que había > exportado > en febrero: > > * todos los usuarios (tabla user en el archivo) registran > haber sido > creados el 22/02/2013 > * son 3000 usuarios en vez de los 11000 y algo que realmente > están en la > base de datos > * sus contraseñas no son las originales (pues están en SHA1, > que no es > el mecanismo de cifrado que se usa en este caso) porque no > pudo > exportarlas > * no existe ninguna data de cursos, notas, etc (porque no se > puede > exportar de una sola vez como administrador) > * los parámetros del sistema (tabla settings_current) no son > los mismos > que en el sistema mismo > > Este último paso, sumado a un comentario sobre el caracter > "humilde" del > sistema, me ha personalmente molestado, porque ya no se trata > de dañar > la reputación de la institución, sino está entrando en un > proceso > destructivo que lastima a la reputación del software libre en > general > como a la de Chamilo en particular, software libre que es lo > que le > permite hacer lo que hace. Un poco de respeto no sería demás. > > > Conclusión > ---------- > > Quiero concluir con los puntos siguiente: > > - en ninguna oportunidad, Chamilo ha sido "crackeado" en el > sentido de > modificar su comportamiento normal > > - todos los casos de "cracking" han sido por via de uso de > contraseñas > vulnerables. Defecto humano y no tecnológico (o si fue > tecnológico, fue > de la red de la institución y no un problema de Chamilo) > > - los reportes del cracker tienen por lo menos un elemento > engañoso y > falso, lo que pone en cuestión toda la información entregada > hasta > entonces > > - Chamilo es una solución segura. Tenemos auditorías anuales y > corregimos y difundimos las fallas reportadas en menos de 72h > hasta la > fecha. > > - Chamilo cuenta con 4500 portales a nivel mundial. Todos los > problemas > de seguridad (y fueron pocos) que registramos fueron humanos > > - Recomendamos a todos los administradores de Chamilo de > siempre > recomendar el uso de certificados SSL > > Charla del 20/04 > ---------------- > > Les invito a venir a conversarlo en la reunión del 20 de > Abril! > > También hablaremos de Chamilo en sí como solución > internacional, > parcialmente desarrollada en Perú, y de hacer negocios con > software > libre. A ver si me aumentan un poco el tiempo impartido para > conversar > tranquilos del ataque. > > Saludos, > > Yannick > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: > [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción > visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe > > > > > -- > Daniel Yucra > http://danielyucra.somoslibres.org > "El software libre no es gratuito, es libre" > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
