Paranoia Hack Viernes, 21 febrero 2014

Fallas de seguridad en las universidades peruanas

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

¿Sabían que usando Google puedes encontrar fallas de seguridad? Está por empezar un nuevo año en universidades y colegios, quisimos saber si se preocupan por la seguridad de sus alumnos. Sin embargo, se encontró una pésima seguridad en las facultades más reconocidas de nuestro país, poneiendo en riesgo la información personal de sus afiliados: direcciones, teléfonos, nombre de padres, hermanos y más.

educacion-peru-vulnerada

No basta con el peligro en el mundo real, llevar a su hijo(a) en movilidad o auto ya no es suficiente, ahora está el peligro de los cibercriminales, cada vez más organizados para acosar, extorsionar o robar datos que terminan en el mercado negro, extraer: Nombres de alumnos, DNI y nombre de padres y profesores, teléfonos, domicilios, correos, mensualidades, horarios, claves, procesos internos y todo aquello que el centro educativo le haga llenar.

EL PELIGRO ACECHA

Basta unos cuantos comandos en Google para encontrar páginas con fallas de seguridad, errores que podrían ser aprovechados por criminales. ¿Quién controla aquello? Obviamente los centros educativos deberían preocuparse por brindar un servicio que evite el robo de información de sus alumnos.

Este análisis tan sencillo se realizó solo en Centros Educativos del Perú a nivel nacional, y se hallaron errores que permiten ver Carpetas sin protección que permiten visualizar o copiar documentos, fallos para obtener información del sistema, los indeseables errores para modificar una página (deface) y hasta vulnerabilidades para robar información con un Metasploit y SQL Injection.

Cabe resaltar que los especialistas Camilo Galdos [Dedalo]AniversarioPeru hicieron un análisis paralelo a los portales de las universidades para ejemplificar que mientras algunas personas gastan cientos de soles mensuales en educación, otros podrían estudiar (por así decirlo) gratis. Un pequeño programa para encontrar los archivos de los cursos de Derecho, Economía, Medicina, Matemáticas, Sistemas, Estadística, Biología de reconocidas universidades como UPC, USMP, PUCP, UNMSM y UPCH al tener mal configuradas las carpetas de su servidor, siendo visibles por cualquier usuario.

Encuentra en la universidad:

UPC: Cursos de Matemáticas y Estadística
USMP: Cursos de Sistemas y de Derecho
PUCP: Cursos de Derecho, Sistemas y Economía
UNMSM: Cursos de medicina y sistemas
UPCH: Cursos de medicina, biología, entre otros.

El script creado por AniversarioPeru y desarrollado en Python también se puede descargarse desde aquí y funciona así:

./script.py -d dominiodeuniversidad.com -s sistemas

-d es el dominio donde buscará ejem: universidad.edu.pe
-s es la materia que buscan: Medicina, Economía, Sistemas, veterinaria, economía, etc.

ESTADÍSTICAS:

directorios22, 700 páginas en donde las carpetas no están protegidas, es decir, se pueden ver que documentos hay en su interior, se podrían guardar los archivos y analizar la distribución o esquema de la página para recopilar información para un posible ataque.

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

 

archivos-sistema71, 300 páginas tienen archivos de la configuración del sistema o del servidor, lo que facilita la recolección de información y averiguar si existe alguna vulnerabilidad en el servidor.

 

RECOMENDACIONES:

Deberia existir una forma de que respeten un estandar de calidad para evitar que la información de colegios, academias, institutos y universidades a nivel nacional corran peligro, posiblemente los datos de sus hijos estén expuestos para fines maliciosos. Cabe señalar que solo expuse dos ejemplos de los siete comandos que utilicé, y de los cerca de 500 que pueden existir en empresas educaticas.

– No guarden archivos con contraseñas en los servidores ya sea por el Cpanel o FTP, podrían ser encontrados fácilmente.

– Si reciben el reporte de una persona indicando una falla en su web, les aconsejo que lo escuchen, muchos desean contribuir.

– Se recomienda añadir un código para que Google no absorba esta información en sus resultados. Añadir (o crear) en el archivo robots.txt lo siguiente:

User-agent: *
Disallow: /cgi-bin/
Disallow: /tmp/

– Para algo más estricto añadir en la web la meta-etiqueta que indica que no se indexe ningún enlace del sitio.

<META NAME=»ROBOTS» CONTENT=»NOINDEX, NOFOLLOW»>

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.
Secured By miniOrange