Password por Default, una nueva ola de hackeos a modems en Nicaragua a la vista...


Los accesos por default a la hora de instalar un servicio de internet hogar o empresarial es un problema que afecta a miles de usuarios en Nicaragua, estos desconocen en realidad el peligro que conlleva "ese asunto que aparenta insignificancia".

Hace un tiempo hice un estudio sobre accesos por default a Módems de la compañia Claro Nicaragua en el cual se desmiente la teoría de los “hackeos a los modems durante las protestas de 2018” y demuestro que es un error de privacidad departe de quién instala el servicio.
VER: Módems de Claro Nicaragua, vistos en Internet y con Password por Default!
En este reporte se muestra el cómo varias compañías que provee internet en Nicaragua exponen a sus usuarios utilizando password por defaults en modems con acceso a internet.

El Ruckus Wireless serie R es un modem para conectarse a internet local e inalámbrica, el cual están utilizando diferentes proveedores para distribuir los servicios a sus clientes.


En el análisis de datos recolectados por BEMBURN observamos 25 dispositivos con acceso desde WAN, no hay anda extraño aquí, el detalle es los accesos por default pueden ser encontrados en internet tan solo proporcionando la identificación del dispositivo, en este caso RUCKUS WIRELESS.


Interfas de acceso administrativo del Ruckus Wireless AP

Teniendo acceso a este panel, realizamos una búsqueda en internet de claves por default por las que se obtiene acceso directo a la configuracion del dispositivo...


Una vez con las claves por default a mano, se procede a testearlas y verificar si existe acceso directo a la configuracion del RUCKUS WIRELESS AP...


Dentro del panel administrativo del dispositivo, se puede hacer varias cosas, iniciando por verificar quién es el usuario final del dispositivo a través las opciones de la configuracion...


Como se puede ver en la imagen, se puede determinar cuantos dispositivos estan conectados al servicio, asi tambien direccion MAC, IPv4 asignada, tipo de dispositivo conectado, etc.

Tambien se puede ver su configuracion de internet inalambrica donde se aprecia el nombre del usuario final (SSID), asi tambien su clave de seguridad para internet WiFi.

Cabe destacar que una de las cosas que probablemente se podria hacer es un DNS Spoofing donde por medio de cambiar los DNS, se puede redirigir las solicitudes de tráfico de la red hacia un DNS malicioso.



¿Como funciona un ataque DNS Spoofing?

1.-    Cuando se visita un sitio web (Ejemplo: facebook.com), el dispositivo hace una solicitud al modem para que este redirija la solicitud hacia el DNS externo.

2.-    Cuando el DNS recibe la solicitud (Ejemplo:facebook.com), el DNS redirije al sitio certfificado.

3.-    Se ingresan los datos de acceso y se navega en el sitio destino sin complicaciones...

ATAQUE EN ACCIÓN

Al hacer cambios de los DNS en el modem Ruckus por unos DNS maliciosos, el proceso es el mismo descrito anteriormente, pero la variante es que el atacante controla todas las solicitudes de navegacion que existen en la red interna, y en este punto se puede monitorear el trafico y mediante esto generar diferentes sitios maliciosos de internet y tener acceso a claves de usuarios y contraseñas importantes como por ejemplo:

  • Claves de tipo Bancarias
  • Accesos a Redes Sociales
  • Cuentas externas de administracion
  • Claves de sitios de trabajo
  • Acceso a correos electrónicos
  • Acceso a paneles administrativos
  • etc...
Con este tipo de ataque son muchas las empresas y personas que estan expuestas a ser victimas de robo, y es importante proteger la integridad de los datos que se manejan dentro de una red.

Entre los diferente usuarios de internet con este dispositivo asignado se encuentran:


En el estudio realizado, entre las organizaciones naturales y jurídicas que damos por válidas como afectadas se encuentran:
  1. IALSA Comunicaciones
  2. Sharon Nicaragua
  3. Makiber Nicaragua
  4. Zona Deportiva Linda Vista
  5. Hotel Casa Pilar
  6. Malibú TK
  7. El Establo
  8. ALMIR
  9. UENIC
  10. Zona Deportiva Leon
  11. FIDESCAMINA
  12. Familia Urbina Orozco
  13. Salon Diplomado UCA
  14. Tecnoconfer SA
Es importante para naturales como jurídicos implementar protocolos de seguridad lo antes posible, principalmente porque estan en la mira de ataques inmediatos como RANSOMWARE que a través de tecnicas complejas para aquellos que no dominan el tema, saldra muy pero muy costoso para estos.

Para mayor informacion sobre como resguardarse de este y otros tipos de ataques así como la implementación de protocolos de seguridad puede entrar en contacto directo con nosotros.

Email: exploit505@gmail.com
Twitter: @NCAIntelligence
Facebook: @NCAIntelligence

Ransomware... ¿Cómo afecta a las compañías y organizaciones en Nicaragua?



Ransomware es un sofisticado software desarrollado por top tier hackers que tienen como objetivo el secuestro de datos en organizaciones y empresas para exigir un pago (en criptomonedas) por recuperar sus archivos.


Ransomware es una subcategoría de Malware y no es un simple virus de computadora, está desarrollado para la encriptación total de datos en los dispositivos infectados siendo ésta la última etapa en una cadena de sucesos que se desarrollan desde el primer vector de ataque, hoy en día existen ciber mafias organizadas que controlan botnets y distribuyen los ataques de manera automatizada y sincronizada con otros grupos hackers, a estos grupos se les dió el nombre... El Cartel del Ransomware (CDR).

El Cartel del Ransomware son diferentes grupos de hackers que operan variantes de ransomware, con similitud en sus vectores de ataque y con variantes en sus códigos de desarrollo.
Entre los tipos de ransomware que operan estas bandas incluyen Conti Ransomware, Ryuk Ransomware, Lockbit, SunCrypt, Maze, Egregor y Ragnar Locker Ransomware.
El Cartel del Ransomware utilizan botnets que automatizan sus ataques, todo iniciando con campañas de correo electrónico (phishing) que incluyen un archivo Word o Excel con un macro malicioso, siendo el principal vector de ataque el engaño al usuario final.

A continuación voy a explicar el paso a paso de los diferentes vectores de ataque de una campaña de ransomware de las que actualmente son víctimas miles de empresas y organizaciones a nivel mundial.


VECTORES DE ATAQUE

1.-    El atacante envía un correo electrónico con un documento adjunto (Word, Excel...) que contiene un código macro malicioso.
  • El principal riesgo de los virus de macros es su capacidad para expandirse rápidamente, una vez se ejecuta un macro malicioso, se infecta el resto de documentos que hay en el equipo víctima.
  • Algunos de estos códigos macros maliciosos acceden a las cuentas de correo electrónico y envían copias de los archivos infectados a todos los contactos del usuario, y por tener un grado alto de confianza, abriran el archivo sin saber que son víctimas de una expanción del ataque.
  • A través de este código Macro, se busca invocar ataques de fuerza bruta para explotar vulnerabilidades en RDP, VPN, software de monitoreo IT, vulnerabilidades en servicios activos, malas configuraciones, etc.
2.-    Se ejecutan comandos en PowerShell que descargan y compilan CobalStrike en la maquina victima.
  • CobaltStrike descarga e instala Mimikatz para recopilar credenciales y obtener Privilegios administrativos.
  • CobaltStrike es un producto de prueba de penetración (RedTeam) que permite a un atacante implementar un agente llamado 'Beacon' en la máquina víctima.
  • El Beacon incluye una gran cantidad de funciones para el atacante, que incluyen ejecución de comandos, registro de claves, transferencia de archivos, proxy SOCKS, escalada de privilegios, Mimikatz, escaneo de puertos, movimientos laterales, etc.
  • El Beacon se establece en memoria ya que consiste en un shellcode sin etapas o de múltiples etapas. Una vez cargado mediante la explotación de una vulnerabilidad, se cargará de forma reflectante en la memoria de un proceso sin tocar el disco.
  • Es compatible con C2 y puesto en escena a través de HTTP, HTTPS, DNS, así como TCP directo e inverso.
3.-    En casos más notables, se procede a instalar SystemBC y no Mimikatz, ya que a través de SystemBC se gestiona y ejecuta el resto del ataque.
  • SystemBC es un Proxy-RAT capaz de efectuar movimientos laterales dentro de la organización, así como filtrar datos de manera sensilla, fue utilizado en los ransomware Egregor y Ryuk.
  • SystemBC también proporciona capacidades de proxy, cifrando el tráfico entre el entorno de la víctima y el servidor de Comando y Control (C&C), utilizando la Red Tor para ocultar el servidor de comandos.
4.-    Se descarga RClone y se utiliza para copiar los datos de la víctima para luego ser filtrados.
  • La transferencia puede ser vía FTP, WebDAV o Dropbox para facilitar la filtración, que eventualmente termina en una infraestructura controlada por el atacante.
  • RClone es una herramienta de línea de comandos de código abierto que administra y sincroniza archivos locales a un sitio remoto.
  • Normalmente este software se asocia con la sincronización de datos en la nube, pero el usuario puede configurar cualquier destino, lo que lo hace útil para copiar datos de la víctima.
5.-    El atacante utiliza Sharphound para enumerar e identificar los componentes o configuraciones incorrectas de Active Directory de Windows.
  • Sharphound es una herramienta que perfila Active Directory. Puede descubrir y recopilar información detallada sobre políticas de grupo, dominios, usuarios, computadoras y más.
6.-    Usando sus nuevos privilegios administrativos junto con la información que se obtuvo del dominio de Active Directory de la víctima, el atacante utiliza las Políticas de Directivas en Grupos de Windows para deshabilitar Windows Defender

7.-    Un script es descargado a través de CobaltStrike o SystemBC identifica y deshabilita varios sistemas y servicios de seguridad.
  • El script también emite un comando vssadmin para eliminar copias instantáneas, por lo que evitar que la víctima utilice las funciones de recuperación para restaurar los datos.
8.-    El atacante distribuye el payload (carga útil) del Ransomware por todo el entorno.

9.-    En algunos ataques, se utiliza BitsAdmin para distribuir el payload, BitsAdmin es una herramienta de línea de comandos de Microsoft que administra el Windows Background Intelligent Transfer Service (BITS).
  • El servicio actúa a nivel del sistema para transferir datos de forma asincrónica. El atacante usa BitsAdmin para crear trabajos que transfieren y entregan el payload del ransomware a través de los sistemas en todo el entorno de red.
10.-    Una vez que el atacante dispersa el payload en todos los sistemas, se ejecuta, cifra datos y distribuye la nota de rescate.

11.-    En algunos ataques, la nota de rescate se imprime desde todas las impresoras dentro de la red y así también imprimen pequeñas notas de rescate en el recibo de facturación de los sistemas de punto de venta (PoS).

12.-    El robo de datos es una nueva etapa para la exigencia de pago por el secuestro, ya que en los anteriores ataques de ransomware consistían en nada más la encriptación del dispositivo, ahora como parte de la evolución en los ataques, el malware buscan entre el sistemas las Shadows Copies y las elimina, así evitan que la víctima haga de alguna manera una restauración de datos en el sistema.
  • Shadow Copy es una tecnología incluida en Microsoft Windows que puede crear copias de seguridad o instantáneas de archivos o volúmenes de computadora, incluso cuando están en uso.
RESCATE
En la etapa final del ataque, se extiende una nota en la pantalla y se muestra un archivo en el escritorio en donde especifica el procedimiento a seguir para obtener de regreso toda la información robada, eso si, procediendo a realizar un pago en criptomonedas que puede ser en Bitcoins o Monero... de no cumplir con las exigencias la información puede ser suprimida o filtrada al publico, según sea la naturaleza de la victima.


¿Cómo evitar ser víctima de una campaña de Ransomware?

La manera para evitar ser víctima de ransomware requieren un conocimiento en informática básico y amplio, ya que el usuario final es el objetivo más vulnerable que el sistema en sí, por eso se recomienda la implementación de protocolos de seguridad y capacitación especial al personal con acceso a internet y correos electrónicos con el objetivo de no ser víctimas de engaño (Phishing).

Las campañas de ransomware inician a través de un correo malicioso engañoso en el cual contiene un enlace malicioso o documento adjunto infectado, por lo cual la recomendación es :
    - No abrir correos electrónicos desconocidos o no verificados
    - No hacer click en enlaces no validados previamente
    - No descargar ni abrir archivos de procedencia desconocida
    - No revelar datos de acceso sensibles a personas no verificadas
    - No ejecutar programas descargados de fuentes no verificadas o piratas
    - Constante capacitación sobre técnicas empleadas por ataques automatizados

En Nicaragua han habido casos frecuentes y muchos se quedan en silencio, sucede por no tener protocolos de seguridad y tampoco el conocimiento de lo que esta sucediendo en el momento del ataque y expansión del ransomware dentro de la red,  tal final del dia terminan formateando los equipos y perdiendo la información que había almacenada en ellos, casos atendidos y conocidos por nosotros están:

    - Librería Jardín
    - Central Sandinista de Trabajadores
    - John May Industrial
    - Ópticas OM
    - Otros Naturales y Jurídicos

Para los sistemas lo recomendable es:

    - Mantener sistemas operativos actualizados
    - Sistemas Antivirus Actualizados
    - Deshabilitar servicios inactivos en el sistema
    - Filtros para correo electrónico
    - Actualización de software y otras características del sistema
    - Segmentación de redes y sistemas en la organización

Para los usuarios:

    - Capacitación constante sobre nuevas variantes de software malicioso
    - Grupos de permisos limitados a las funcionalidades correspondientes de sus áreas
    - Aplicación de contraseñas seguras
    - Concientización sobre la importancia de la seguridad informática
    - Verificación de archivos mediante app de análisis de malware

Para los datos:

    - Respaldo regulares y separados de la red misma
    - Protocolo de manejo y control de datos
    - Monitoreo de actividades relacionadas con los datos

Existe mucha mas información de relevancia con respecto al ransomware y otros tipos de ataques automatizados, es por eso la importancia de establecer un marco de trabajo en las empresas y organizaciones en prevención, detección y mitigación de ataques de todo tipo, dentro y fuera de la red.

Facebook: @NCAIntelligence
Twitter: @NCAIntelligence

Kinder Montessori Las Colinas expone a internet la integridad de sus alumnos menores de edad!

El internet representa un lugar hostil para las personas que no tiene idea de lo que implica tener una conversación con un desconocido. A través de internet, en redes sociales, chats y otras plataformas, se han dado casos de violacion, secuestro, asesinato y todo por creer en una persona detrás de un perfil social, correo electrónico y otras tantas maneras de comunicarse por internet.

Los sistemas de video vigilancia representan un arma defensiva para empresas, organizaciones, instituciones, hogares y más, también tiene sus ventajas a la hora de hacer monitoreo externo, perfectamente podrías tener acceso a las cámaras desde cualquier parte del mundo, pero no tomar las medidas de seguridad necesarias podrían hacer de esto un problema serio para cualquier ente...

El objetivo de un sistema de video vigilancia es monitorear de manera permanente espacios de interés para dejar en evidencia tangible sucesos e incidencias que puedan quedar registradas en video.

Con bemburn determinamos que en Nicaragua para el año 2021 existían +10 mil servicios de video expuestos a internet, así también servidores de correo, bases de datos y web, sistemas de monitoreo de redes, servicios de streaming y por supuesto sistemas de video vigilancia.


Kinder Montessori Las Colinas (KMLC)

Kinder Montessori Las Colinas es es un centro educativo bilingüe a nivel preescolar, cuyo propósito es... Lograr la excelencia académica mediante la implementación de la metodología montessori.

En su sitio web hay un acceso al sistema de video vigilancia de todo el centro escolar, con el usuario y la clave correcta se puede tener acceso a las cámaras de video vigilancia de todas las instalaciones.

Durante el reconocimiento de los servicios conectados a internet con Bemburn Machine, encontramos una serie de sistemas de video vigilancia expuestos pertenecientes a Kinder Montessori Las Colinas, estas cámaras están sin protección alguna y disponible para ser vistos desde cualquier parte del mundo con acceso a internet nada mas con la dirección IPv4 correspondiente a cada cámara, lo que nos llamó profundamente la atención es el acceso libre que deja expuesta la integridad y seguridad de los alumnos menores de edad, del personal y del centro educativo en sí.








A raíz de un escándalo por abuso infantil en el Jardin Infantil Maria Montessori en Managua, el Kinder Montessori Las Colinas por medio de sus propietarios y directores se desvincularon del primero y señalaron que nada mas compartian el método de enseñanza Montessori, todo esto en una entrevista realizada por Jonathan Castro del canal 100% Noticias en marzo del año 2015.


Lo interesante de la entrevista es que la Directora Claudia Celedón manifiesta textualmente:
“Usted como padre de familia puede saber que está pasando con su hijo en el aula de clase, nosotros le entregamos a los padres una contraseña con la que pueden ingresar en línea a nuestra página web, y desde ahí acceden a nuestro circuito de vigilancia”

Queda demostrado que se puede acceder al circuito de vigilancia de KMLC sin ningún tipo de contraseña o usuario que como método de seguridad resguarde el centro, sus maestros y en especial sus alumnos menores de edad y aun peor, queda demostrado el poco interés a la seguridad informatica por parte ellos. 

Kinder Montessori Las Colinas tenia conocimiento desde el 2019...

Cabe hacer mención que este problema de Kinder Montessori Las Colinas no es algo reciente. En Julio del año 2019, reportamos al centro educativo la gran problemática en la que se encuentran, pero recibimos amenazas de demanda por parte de la directora Celedón, hecho expuesto en una nota aclaratoria por parte de NCA Intelligence el 23 de julio de ese periodo.

En el momento en el que reportamos esta vulnerabilidad; reporte hecho principalmente, por nuestra preocupación por los niños y niñas expuestos en video, solo estaba en vigencia la Ley de Protección de Datos, ahora con la llegada de la Ley Especial de Ciberdelitos lo que ocurre es que el Estado sanciona a través de la aplicación de ésta la exposición de datos e información. Pues, el arto. 1 señala como su objetivo "la prevención, investigación, persecución y sanción de los delitos cometidos por medio de las Tecnologías de la Información y la Comunicación, en perjuicio de personas naturales o jurídicas, así como la protección integral de los sistemas que utilicen dichas tecnologías, su contenido y cualquiera de sus componentes".  Así mismo, hace énfasis en la obligación de respetar la integridad de menores de edad, y la exposición de la información.

En el Capítulo V hace mención a los Delitos Informáticos Relacionados con la Libertad e Integridad Sexual y al respecto señala;

Artículo 31 Utilización de niñas, niños, adolescentes o personas con discapacidad necesitada de especial protección, en pornografía a través del uso de las Tecnologías de la Información y la Comunicación 

Quien, por medio del uso de las Tecnologías de la Información y la Comunicación, induzca, facilite, promueva, utilice, abuse o explote con fines sexuales o eróticos a niñas, niños, adolescentes o personas con discapacidad necesitada de especial protección, haciéndola presenciar o participar en un comportamiento, espectáculo o acto sexual público o privado, se le impondrá pena de cinco a ocho años de prisión y trescientos a seiscientos días multa.

Como había mencionado, al momento del reporte de esta sensible vulnerabilidad, no existencia legislación que directamente penalizara el mal o inadecuado manejo de los datos y la privacidad de usuarios. 

La ley de protección de datos y ley especial de ciberdelitos en vigencia en Nicaragua contiene artículos especiales que garantizan la protección de infantes ante este tipo de hechos que demuestran la falta de interés por parte de empresas y organizaciones en sus redes y sistemas informáticos.


@NCAIntelligence


Black hat SEO en sitios webs nicaragüenses... ¿Nicaragua a la merced de hackers y spammers?


El black hat SEO es el uso de técnicas para engañar a los motores de búsqueda en internet como Google, Yahoo, Bing, etc; con el fin de obtener resultados provechosos para posicionamiento en buscadores mediante palabras clave trabajadas, este tipo de técnicas son utilizadas por spammers con el fin de colocar enlaces ocultos (texto oculto) en sitios webs vulnerables y así crear ranking para sus sitios maliciosos o sitios de terceros a través del spamdexing.

En Nicaragua el principal problema que se enfrentan las personas naturales y jurídicas es la poca importancia que le dan a la administración de un sitio web, un sitio en internet es un ente que los representa ante el mundo digital; por tanto se debe desarrollar con alta eficiencia el SEO, aplicar los aspectos mínimos de seguridad, mantener al día la plataforma, actualización de plugins y sistema de manejo de contenido como Wordpress, Joomla o Drupal, aplicar doble autenticación, etc, es un trabajo de día a día que requiere conocimientos en todas las áreas.

En Noviembre 28 del 2019 hicimos la presentación oficial de Bemburn en el segmento ''Nicaragua Emprende'' de Canal TN8 Nicaragua, Bemburn Machine es una plataforma de reconocimiento de sistemas y servicios conectados a internet. 
Leer: Bemburn, el ojo que todo lo ve en la internet de Nicaragua
En la versión 2.0 de Bemburn Machine implementamos un web scrapper escrito en python3, con el objetivo de extraer el código fuente de una pagina web para su respectivo análisis e ir creando una base de datos sobre el comportamiento malicioso en sitios webs en Nicaragua, esa implementación se llama ''Palpe0''.

Palpe0 tiene como objetivo extraer links persistentes dentro del código fuente de una pàgina web para clasificarlos según su naturaleza, Palpe0 v0.01 es la primera versión de un web scrapper mas avanzado.

Palpe0 es un proyecto OpenSource disponible en GitHub!
Palpe0 en Github: https://github.com/RealDebian/Palpe0

A través de los datos recolectados mediante Bemburn Machine, detectamos una serie de sitios webs asociados a Nicaragua con un alto grado de persistencia por parte de hackers y spammers que explotan los recursos de un servidor web vulnerable, tal es el caso de ''funarte.org.ni''.

Funarte, organización civil, sin fines de lucro, que contribuye a la transformación social y a la calidad educativa en beneficio de las niñas, niños y adolescentes a través del arte.

En las lectura de datos recopilados por bemburn determinamos el ataque por parte de hackers o spammers en el servidor web de Funarte, estos utilizan Black hat SEO para promocionar sitios pornograficos y que tengan mejor posición en las búsquedas por internet. 


Al ejecutar Palpe0 en el sitio web de FUNARTE, logramos extraer los enlaces maliciosos dentro del código fuente de la página, una clara evidencia de que el sitio (servidor web) es vulnerable y esta siendo explotado por hackers maliciosos!


No es la primer ocasión en que encontramos a FUNARTE en la lista de Sitios Vulnerables. El 25 de Mayo del 2020 hicimos el reporte de este mismo problema a la Dirección Ejecutiva de FUNARTE.



Este tipo de spamdexing puede causar daños para la organización y también para su indexación, ya que por ejemplo: Google al determinar que el sitio infringe las políticas para su buscador o si también determina que el sitio es peligroso, puede hacerle perder desde 950 posiciones en el ranking de búsquedas, hasta la no indexación, o sea, la expulsión de tu sitio en las búsquedas de su motor.

Un detalle bien importante a mencionar, es que FUNARTE después de muestro reporte, procedieron a corregirlo por su cuenta... 10 meses después el sitio esta con el mismo problema, lo que demuestra la persistencia de los hackers en el servidor.

Así como, dominios maliciosos, webshells, phishing, hay otro sin número de maneras en las que puede ser utilizado un servidor web, un hackeo debe considerarse una situación de mucha peligrosidad, ya que los dominios tienen propietarios, los sitios web representan a una organización e institución, tan solo prestar un servicio, requiere cumplir con los requerimientos mínimos de seguridad, si no con la Ley de Protección de Datos y Ley Especial de Ciberdelitos que actualmente están en vigencia en Nicaragua.

@NCAIntelligence

Google dorking y el hackeo a Get My Food Nicaragua!

Realizar Google dorking es algo fundamental en un trabajo de reconocimiento, se puede encontrar información de mucho interés a través de todo internet.

De manera muy fácil se pueden localizar sitios vulnerados e información sensible para realizar un ataque en el servidor web o a una compañía en términos generales.

Ejecutando una búsqueda con Google en dominios ¨.com.ni¨ utilizando el termino ¨hacked by¨, muestra como resultado la web ¨getmyfood.com.ni¨.

Get My Food se describe como: 

Dedicados a ofrecer servicio a domicilio de los mejores restaurantes del país. Get My Food! puede ayudarte a encontrar y ordenar tu comida favorita desde cualquier lugar que te encuentres.


Al acceder a la ruta que muestra Google, se puede ver el TAG de los hackers que han vulnerado el sitio web de ¨getmyfood.com.ni¨, y posiblemente este sitio sea utilizado como pasarela para un sin número de ataques automatizados, para robo de identidad, phishing kits, como nube para malware, campañas de spam, minería de criptomoneda, etc...


Si el algoritmo de Google determina que tu web es peligrosa, clasificara la web como maliciosa e inmediatamente notificara a los usuarios mediante mensajes como:
  • El sitio al que vas a acceder contiene software malicioso.
  • El sitio web al que vas a acceder es engañoso.
  • El sitio al que vas a acceder contiene programas dañinos.
¿Te imaginas un cliente (o potencial cliente) entrando en tu web y viendo ese mensaje? ¿Qué tipo de confianza le generas? Ninguna.

En una compañía como Get My Food todo lo anterior es muy peligroso y es recomendable realizar una auditoría en su servidor web en busca de las rutas de acceso, vulnerabilidades o explotaciones que se realizaron para acceder al servidor web.

Dentro de las recomendaciones estan no utilizar plugins piratas, mantener los plugins y CMS actualizados es una muy buena forma de proteger tu sitio, doble factor de autenticación y notificaciones de acceso por correo forman parte de la seguridad a un sitio web, implementar medidas adicionales de seguridad no garantiza pero si brinda un alto grado de seguridad a los administradores y editores de un sitio.


¡Yolo App y la exposición de información sensible por una base de datos mal configurada!

La búsqueda de vulnerabilidad es una carrera encantadora, se adquiere una visión diferente de la seguridad en internet y se aprende mucho sobre programación en diferentes lenguajes y frameworks con los que esta desarrollado el internet de hoy en día.

Detrás de toda pagina web, se esconde un código que bien podría utilizar API´s de terceros, levantar Javascript para funcionalidades necesarias como una conexión a una base de datos o múltiples funciones, según sea la naturaleza y orientación del sitio en cuestión.

Las bases de datos representan un activo de valor tangible que requiere buenas practicas de seguridad en internet para evitar filtraciones, errores y otros problemas que se vean presentes por malas configuraciones.
Firebase es una plataforma para el desarrollo de aplicaciones web y aplicaciones móviles desarrollada por Google en 2014.
Una Base de datos de Firebase mal configurada puede llevar a comprometer los datos de todos los usuarios registrados en una aplicación.

Firebase Realtime Database es una base de datos NoSQL alojada en la nube que permite almacenar y sincronizar datos entre los usuarios en tiempo real. Los datos en tiempo real pueden ser transmisiones en vivo, registros de inicio de sesión, chats de clientes, registros de aplicaciones, detalles de usuario, información de GPS y mucho más.

Firebase es fácil de integrar con aplicaciones de Android, aplicaciones de iOS y aplicaciones web. Proporciona varias funciones como "Almacenamiento en la nube", "Alojamiento", "Base de datos en tiempo real" y "Crashlytics" y muchas otras configuraciones para diferentes funciones, pero el enfoque principal está en la configuración de "Base de datos". 

De forma predeterminada, la configuración de la base de datos es privada, la base de datos en tiempo real necesita acceso de lectura y escritura para tener control sobre los datos, entonces, un error humano en esta parte podría exponer información sensible de miles o millones de personas y generar pérdidas dentro de la compañía.

Yolo es una App de Compras y Delivey desarrollada y mantenida por YOLOSA en Managua.

Yolo Web Site

¿No quieres o no puedes salir?… Despreocúpate Yolo llevo por ti.

Con YOLO, pide tus entregas a domicilio o para recoger de restaurantes favoritos. Entra a la app, registra tu usuario, dirección o selecciona tu ubicación actual. Fácilmente estarás en contacto con un mundo de servicios desde la palma de tu mano. Yolo el verdadero marketplace! #YoloLlevo, #YoloCompro, #YoloVendo
Yolo a como muchas otras Apps en Nicaragua utiliza Firebase como plataforma de almacenamiento en tiempo real de los datos de sus aplicaciones y es aquí donde inicia lo divertido (para mí)...

El código fuente de la Web de Yolo así también su aplicación incluyen la ruta de almacenamiento que poseen en Firebase, en donde se actualizan los datos de su app.

¿Cómo explotar una base de datos mal configurada?

Una vez que obtenemos la URL de la base de datos en tiempo real, podemos verificar la configuración agregando ¨.json¨ después de la URL, por ejemplo, si la URL de Firebase es:
https://ncaintelligence.firebase.com/
Se agrega ¨.json¨ después de la URL. (https://ncaintelligence.firebase.com/.json). Si recibimos un mensaje de error "Permiso denegado", significa que la base de datos está configurada correctamente. 

 misconfigured-blog-image5b

Si la URL modificada muestra el contenido de la base de datos, esto significa que el acceso de lectura es "Público" en esa base de datos, y los datos son visibles para cualquiera que tenga el enlace de la base de datos. Dado que la información se almacena en formato "JSON", se puede copiar fácilmente. 

La siguiente captura de pantalla muestra la base de datos de YOLO mal configurada en lectura y escritura, lo que causa filtración de datos en Firebase.


Con ¨cURL¨  se procede a realizar un POST para almacenar información en la base de datos en tiempo real de YOLO y como se puede ver en el cuadro rojo, el ¨test¨ fue positivo a escritura, dando apertura al almacenamiento de cualquier tipo de información aleatoria.

Se pueden realizar un sinnúmero de reacciones en la base de datos de esta aplicación, es importante tomar en cuenta la legislación nicaragüense, en la cual la Ley de Ciberdelitos* y Ley de Protección de Datos** son explicitas en cuanto al manejo de datos privados y de terceros, señalando la responsabilidad legal de quiénes brindan estos servicios a través de estas herramientas y dejan en indefensión a sus usuarios al dejar expuesta información privada sensible. 

* Ley No. 1042, Aprobada el 27 de Octubre de 2020
** Ley N°. 787, Aprobada el 21 de Marzo de 2012

¿Por qué una empresa debe garantizar un Protocolo de seguridad en su estructura Informática?

Las empresas no sólo se exponen a grandes pérdidas económicas, sino que en muchas ocasiones se ven también expuestas a importantes pérdidas de datos e información.
En la actualidad los ataques de hackers y ciberdelincuentes son una de las principales preocupaciones de las empresas en esta era digital. Importantes organizaciones, tanto públicas como privadas, han sufrido estos ataques a sus sistemas informáticos. Estar protegidos frente a virus, malware, ataques de denegación de servicio o ingeniería social no es nada sencillo, y muchos negocios se sienten indefensos y no sólo eso, se encuentran expuestos a estos y otros ataques. 

A nivel mundial, se ha demostrado que los ataques de ransomware están aumentando no solo en frecuencia, sino también en gravedad. Convirtiéndose en un negocio en auge para ladrones cibernéticos, que acceden a la red y secuestran datos y sistemas.

Wannacry Ransomware

Por supuesto, hablar de seguridad informática para empresas no solo implica mantener la información segura, sino también emplear una forma de mantener esos datos seguros. La Seguridad de datos incluye conceptos cómo encriptación de datos, tokenización y prácticas de gestión de claves que ayudan a proteger los datos en todas las aplicaciones y plataformas de una organización. 

Por ello, es prioridad que las empresas consideren la seguridad de datos como un punto de vital importancia. Los expertos en seguridad tienen entre sus objetivos proteger la red de las amenazas, administrar los servicios activos en la organización, monitorear la red y establecer normas de trafico que se adapten de acuerdo a las necesidades de la empresa. 

El objetivo de las medidas de seguridad debe ser:

Proteger la información de la empresa.
Garantizar la continuidad del negocio en el caso de que incidencia.
Minimizar los riesgos.

¿Por qué es mejor prevenir un ciberataque?

Cuando los sistemas informáticos de una organización reciben el ataque de un malware, por ejemplo; se inicia un proceso de recuperación de los sistemas informáticos de la organización, lo que lleva un estudio preciso para saber saber cuáles son los alcances de ese ataque, si fue automatizado o dirigido, sin olvidar que se debe invertir tiempo y mucho más dinero del que suponía crear un plan de contingencia contra amenazas cibernéticas.

Sin embargo, si una organización ha tomado las medidas necesarias y se ha asesorado por un equipo experto en el tema, podra estar mejor preparado ante un ataque informático, aunque actualmente, ninguna organización privada o pública se encuentra exenta de riesgos ante un ataque dirigido. Pero, lo mejor es estar preparado ante cualquier eventualidad. 

La seguridad de una empresa cuando se gestionan datos influye en la confianza de sus clientes, proveedores y colaboradores, así como en la propia subsistencia del negocio, por lo que la seguridad de la información debe ser un pilar esencial en cualquier estrategia de negocios de una organización.

@NCAIntelligence en Twitter y Facebook


Exposición de Información sensible en la Dirección General de Ingresos (DGI)



La Dirección General de Ingresos en una organización gubernamental que se encarga de gestionar la recolección de impuestos para el Estado de Nicaragua.

A través del sistema de gestión automatizado en el dominio dgi.gob.ni, los naturales y jurídicos registrados pueden realizar sus declaraciones de impuestos, trámites y gestiones de manera fácil y dinámica dentro y fuera del país.

El sistema de la DGI envía notificaciones de manera regular con información de relevancia para los contribuyentes y así también el estado de solvencia o insolvencia de cada usuario registrado.

El sistema de notificaciones de la DGI envía a los contribuyentes un email con información sobre las declaraciones no presentadas en el período correspondiente mes a mes, todo ello a través de su correo “notificaciontributaria@dgienlinea.gob.ni“.


Un detalle importante es que en la información, hay un link que redirige hacia un archivo PDF con el estado del usuario:

https://alertasfiscales.dgi.gob.ni/FileAlertas/omisidad/omisidad20200307415687269.pdf

Aquí, el usuario puede descargar el documento directamente desde el el servidor de datos en el dominio de la DGI.


Vista del PDF desde el Navegador donde redirige desde la notificación al correo electrónico.

Al ver el enlace a primera vista está la ruta del endpoint “/FileAlertas/omisidad/”, luego el prefijo “omisidad” concatenado con la fecha de emisión del documento “20200307”, concatenado también con un número de 9 dígitos “415687269” y finalizando con el formato del archivo “.pdf ”.

Al enlace se le puede dar segumiento sin ningún tipo de validación de usuario, lo que permite que el documento sea expuesto y accesible a través de internet y desde cualquier parte del mundo.




Proof of Concept:

El sistema al no hacer ningún tipo de validación, permite al atacante utilizar fuerza bruta y enumeración para extraer información disponible desde el endpoint “omisidad” en la URL de la notificación.

En la Prueba de Concepto, se mantiene el prefijo “omisidad” en el enlace (ROSA), por conclusión básica se determina que el mismo día se hacen envíos masivos a todos los contribuyentes con omisidad, que generalmente se hacen entre las fechas 7-8 y 16-17 de cada mes, solo nos queda el nombre del archivo PDF, que es un número que puede ser generado aleatoriamente entre rangos, para intentar por medio de ataque de enumeración, extraer omisos de otro contribuyente.

El script de la prueba concepto es simple, se realiza la solicitud al endpoint con el payload que es la fecha del documento y el número de 9 dígitos, concatenados con el formato PDF del archivo, de ser negativo, regresa un 404 que renderizo con “bs4” capturando la etiqueta “span” como el meta_string.

De ser positivo el payload (fecha+número aleatorio de longitud 9) éste se descarga y se almacena en directorio, tantos test como se necesiten.



Para la prueba concepto, se creó un servidor virtual que imita el comportamiento de respuesta que el servidor de la DGI realiza, por tanto las pruebas se realizaron bajo estricto control y sin llegar a hacer ningún tipo de solicitud al servidor de la DGI.


El codigo para el test en GitHub: https://github.com/RealDebian/DGI-POC

Es claro en el concepto y las pruebas, la falta de validación de usuario al momento de recibir las notificaciones permite extraer información sensible de la organización y de sus contribuyentes, por lo tanto recomiendo realizar un replanteamiento sobre los procesos de notificación y validación de los usuarios en el sistema, ya que no revisar ese proceso de notificación y validación dejaría a la institución expuesta y sin dar cumplimiento a la Ley de Protección de Datos* (Ley No. 787), la cual tiene por objeto la protección de las personas naturales y jurídicas frente al tratamiento, automatizado o no, de sus datos personales en ficheros de datos públicos y privados, así como dejaría a sus contribuyentes en indefensión.

______________________________________

*Ley N°. 787, Protección de Datos, aprobada el 21 de Marzo de 2012, publicada en La Gaceta, Diario Oficial N°. 61 del 29 de Marzo de 2012.

Resultados del Analisis a 89 Sitios Web WordPress en Diferentes Industrias Nicaragüenses

Realicé un analisis a 89 sitios web WordPress pertenecientes a diversas industrias en Nicaragua, esto con el fin de determinar el tiempo tra...