Kinder Montessori Las Colinas expone a internet la integridad de sus alumnos menores de edad!

El internet representa un lugar hostil para las personas que no tiene idea de lo que implica tener una conversación con un desconocido. A través de internet, en redes sociales, chats y otras plataformas, se han dado casos de violacion, secuestro, asesinato y todo por creer en una persona detrás de un perfil social, correo electrónico y otras tantas maneras de comunicarse por internet.

Los sistemas de video vigilancia representan un arma defensiva para empresas, organizaciones, instituciones, hogares y más, también tiene sus ventajas a la hora de hacer monitoreo externo, perfectamente podrías tener acceso a las cámaras desde cualquier parte del mundo, pero no tomar las medidas de seguridad necesarias podrían hacer de esto un problema serio para cualquier ente...

Leer: Sistemas de videovigilancia... ¿Quién vigila a quién?

El objetivo de un sistema de video vigilancia es monitorear de manera permanente espacios de interés para dejar en evidencia tangible sucesos e incidencias que puedan quedar registradas en video.

Con bemburn determinamos que en Nicaragua para el año 2021 existían +10 mil servicios de video expuestos a internet, así también servidores de correo, bases de datos y web, sistemas de monitoreo de redes, servicios de streaming y por supuesto sistemas de video vigilancia.

Leer: Bemburn, el ojo que todo lo ve en la internet de Nicaragua

Kinder Montessori Las Colinas (KMLC)

Kinder Montessori Las Colinas es es un centro educativo bilingüe a nivel preescolar, cuyo propósito es... Lograr la excelencia académica mediante la implementación de la metodología montessori.

En su sitio web hay un acceso al sistema de video vigilancia de todo el centro escolar, con el usuario y la clave correcta se puede tener acceso a las cámaras de video vigilancia de todas las instalaciones.

Durante el reconocimiento de los servicios conectados a internet con Bemburn Machine, encontramos una serie de sistemas de video vigilancia expuestos pertenecientes a Kinder Montessori Las Colinas, estas cámaras están sin protección alguna y disponible para ser vistos desde cualquier parte del mundo con acceso a internet nada mas con la dirección IPv4 correspondiente a cada cámara, lo que nos llamó profundamente la atención es el acceso libre que deja expuesta la integridad y seguridad de los alumnos menores de edad, del personal y del centro educativo en sí.

A raíz de un escándalo por abuso infantil en el Jardin Infantil Maria Montessori en Managua, el Kinder Montessori Las Colinas por medio de sus propietarios y directores se desvincularon del primero y señalaron que nada mas compartian el método de enseñanza Montessori, todo esto en una entrevista realizada por Jonathan Castro del canal 100% Noticias en marzo del año 2015.

Lo interesante de la entrevista es que la Directora Claudia Celedón manifiesta textualmente:

“Usted como padre de familia puede saber que está pasando con su hijo en el aula de clase, nosotros le entregamos a los padres una contraseña con la que pueden ingresar en línea a nuestra página web, y desde ahí acceden a nuestro circuito de vigilancia”

Queda demostrado que se puede acceder al circuito de vigilancia de KMLC sin ningún tipo de contraseña o usuario que como método de seguridad resguarde el centro, sus maestros y en especial sus alumnos menores de edad y aun peor, queda demostrado el poco interés a la seguridad informatica por parte ellos. 

Kinder Montessori Las Colinas tenia conocimiento desde el 2019...

Cabe hacer mención que este problema de Kinder Montessori Las Colinas no es algo reciente. En Julio del año 2019, reportamos al centro educativo la gran problemática en la que se encuentran, pero recibimos amenazas de demanda por parte de la directora Celedón, hecho expuesto en una nota aclaratoria por parte de NCA Intelligence el 23 de julio de ese periodo.

En el momento en el que reportamos esta vulnerabilidad; reporte hecho principalmente, por nuestra preocupación por los niños y niñas expuestos en video, solo estaba en vigencia la Ley de Protección de Datos, ahora con la llegada de la Ley Especial de Ciberdelitos lo que ocurre es que el Estado sanciona a través de la aplicación de ésta la exposición de datos e información. Pues, el arto. 1 señala como su objetivo "la prevención, investigación, persecución y sanción de los delitos cometidos por medio de las Tecnologías de la Información y la Comunicación, en perjuicio de personas naturales o jurídicas, así como la protección integral de los sistemas que utilicen dichas tecnologías, su contenido y cualquiera de sus componentes".  Así mismo, hace énfasis en la obligación de respetar la integridad de menores de edad, y la exposición de la información.

En el Capítulo V hace mención a los Delitos Informáticos Relacionados con la Libertad e Integridad Sexual y al respecto señala;

Artículo 31 Utilización de niñas, niños, adolescentes o personas con discapacidad necesitada de especial protección, en pornografía a través del uso de las Tecnologías de la Información y la Comunicación 

Quien, por medio del uso de las Tecnologías de la Información y la Comunicación, induzca, facilite, promueva, utilice, abuse o explote con fines sexuales o eróticos a niñas, niños, adolescentes o personas con discapacidad necesitada de especial protección, haciéndola presenciar o participar en un comportamiento, espectáculo o acto sexual público o privado, se le impondrá pena de cinco a ocho años de prisión y trescientos a seiscientos días multa.

Como había mencionado, al momento del reporte de esta sensible vulnerabilidad, no existencia legislación que directamente penalizara el mal o inadecuado manejo de los datos y la privacidad de usuarios. 

La ley de protección de datos y ley especial de ciberdelitos en vigencia en Nicaragua contiene artículos especiales que garantizan la protección de infantes ante este tipo de hechos que demuestran la falta de interés por parte de empresas y organizaciones en sus redes y sistemas informáticos.

@NCAIntelligence

Black hat SEO en sitios webs nicaragüenses... ¿Nicaragua a la merced de hackers y spammers?

El black hat SEO es el uso de técnicas para engañar a los motores de búsqueda en internet como Google, Yahoo, Bing, etc; con el fin de obtener resultados provechosos para posicionamiento en buscadores mediante palabras clave trabajadas, este tipo de técnicas son utilizadas por spammers con el fin de colocar enlaces ocultos (texto oculto) en sitios webs vulnerables y así crear ranking para sus sitios maliciosos o sitios de terceros a través del spamdexing.

En Nicaragua el principal problema que se enfrentan las personas naturales y jurídicas es la poca importancia que le dan a la administración de un sitio web, un sitio en internet es un ente que los representa ante el mundo digital; por tanto se debe desarrollar con alta eficiencia el SEO, aplicar los aspectos mínimos de seguridad, mantener al día la plataforma, actualización de plugins y sistema de manejo de contenido como Wordpress, Joomla o Drupal, aplicar doble autenticación, etc, es un trabajo de día a día que requiere conocimientos en todas las áreas.

En Noviembre 28 del 2019 hicimos la presentación oficial de Bemburn en el segmento ''Nicaragua Emprende'' de Canal TN8 Nicaragua, Bemburn Machine es una plataforma de reconocimiento de sistemas y servicios conectados a internet. 

Leer: Bemburn, el ojo que todo lo ve en la internet de Nicaragua

En la versión 2.0 de Bemburn Machine implementamos un web scrapper escrito en python3, con el objetivo de extraer el código fuente de una pagina web para su respectivo análisis e ir creando una base de datos sobre el comportamiento malicioso en sitios webs en Nicaragua, esa implementación se llama ''Palpe0''.

Palpe0 tiene como objetivo extraer links persistentes dentro del código fuente de una pàgina web para clasificarlos según su naturaleza, Palpe0 v0.01 es la primera versión de un web scrapper mas avanzado.

Palpe0 es un proyecto OpenSource disponible en GitHub!

Palpe0 en Github: https://github.com/RealDebian/Palpe0

A través de los datos recolectados mediante Bemburn Machine, detectamos una serie de sitios webs asociados a Nicaragua con un alto grado de persistencia por parte de hackers y spammers que explotan los recursos de un servidor web vulnerable, tal es el caso de ''funarte.org.ni''.

Funarte, organización civil, sin fines de lucro, que contribuye a la transformación social y a la calidad educativa en beneficio de las niñas, niños y adolescentes a través del arte.

En las lectura de datos recopilados por bemburn determinamos el ataque por parte de hackers o spammers en el servidor web de Funarte, estos utilizan Black hat SEO para promocionar sitios pornograficos y que tengan mejor posición en las búsquedas por internet. 

Al ejecutar Palpe0 en el sitio web de FUNARTE, logramos extraer los enlaces maliciosos dentro del código fuente de la página, una clara evidencia de que el sitio (servidor web) es vulnerable y esta siendo explotado por hackers maliciosos!

No es la primer ocasión en que encontramos a FUNARTE en la lista de Sitios Vulnerables. El 25 de Mayo del 2020 hicimos el reporte de este mismo problema a la Dirección Ejecutiva de FUNARTE.

Este tipo de spamdexing puede causar daños para la organización y también para su indexación, ya que por ejemplo: Google al determinar que el sitio infringe las políticas para su buscador o si también determina que el sitio es peligroso, puede hacerle perder desde 950 posiciones en el ranking de búsquedas, hasta la no indexación, o sea, la expulsión de tu sitio en las búsquedas de su motor.

Un detalle bien importante a mencionar, es que FUNARTE después de muestro reporte, procedieron a corregirlo por su cuenta... 10 meses después el sitio esta con el mismo problema, lo que demuestra la persistencia de los hackers en el servidor.

Así como, dominios maliciosos, webshells, phishing, hay otro sin número de maneras en las que puede ser utilizado un servidor web, un hackeo debe considerarse una situación de mucha peligrosidad, ya que los dominios tienen propietarios, los sitios web representan a una organización e institución, tan solo prestar un servicio, requiere cumplir con los requerimientos mínimos de seguridad, si no con la Ley de Protección de Datos y Ley Especial de Ciberdelitos que actualmente están en vigencia en Nicaragua.

@NCAIntelligence

Google dorking y el hackeo a Get My Food Nicaragua!

Realizar Google dorking es algo fundamental en un trabajo de reconocimiento, se puede encontrar información de mucho interés a través de todo internet.

De manera muy fácil se pueden localizar sitios vulnerados e información sensible para realizar un ataque en el servidor web o a una compañía en términos generales.

Ejecutando una búsqueda con Google en dominios ¨.com.ni¨ utilizando el termino ¨hacked by¨, muestra como resultado la web ¨getmyfood.com.ni¨.

Get My Food se describe como: 

Dedicados a ofrecer servicio a domicilio de los mejores restaurantes del país. Get My Food! puede ayudarte a encontrar y ordenar tu comida favorita desde cualquier lugar que te encuentres.

Al acceder a la ruta que muestra Google, se puede ver el TAG de los hackers que han vulnerado el sitio web de ¨getmyfood.com.ni¨, y posiblemente este sitio sea utilizado como pasarela para un sin número de ataques automatizados, para robo de identidad, phishing kits, como nube para malware, campañas de spam, minería de criptomoneda, etc...

Si el algoritmo de Google determina que tu web es peligrosa, clasificara la web como maliciosa e inmediatamente notificara a los usuarios mediante mensajes como:

• El sitio al que vas a acceder contiene software malicioso.
• El sitio web al que vas a acceder es engañoso.
• El sitio al que vas a acceder contiene programas dañinos.

¿Te imaginas un cliente (o potencial cliente) entrando en tu web y viendo ese mensaje? ¿Qué tipo de confianza le generas? Ninguna.

En una compañía como Get My Food todo lo anterior es muy peligroso y es recomendable realizar una auditoría en su servidor web en busca de las rutas de acceso, vulnerabilidades o explotaciones que se realizaron para acceder al servidor web.

Dentro de las recomendaciones estan no utilizar plugins piratas, mantener los plugins y CMS actualizados es una muy buena forma de proteger tu sitio, doble factor de autenticación y notificaciones de acceso por correo forman parte de la seguridad a un sitio web, implementar medidas adicionales de seguridad no garantiza pero si brinda un alto grado de seguridad a los administradores y editores de un sitio.

¡Yolo App y la exposición de información sensible por una base de datos mal configurada!

La búsqueda de vulnerabilidad es una carrera encantadora, se adquiere una visión diferente de la seguridad en internet y se aprende mucho sobre programación en diferentes lenguajes y frameworks con los que esta desarrollado el internet de hoy en día.

Detrás de toda pagina web, se esconde un código que bien podría utilizar API´s de terceros, levantar Javascript para funcionalidades necesarias como una conexión a una base de datos o múltiples funciones, según sea la naturaleza y orientación del sitio en cuestión.

Las bases de datos representan un activo de valor tangible que requiere buenas practicas de seguridad en internet para evitar filtraciones, errores y otros problemas que se vean presentes por malas configuraciones.

Firebase es una plataforma para el desarrollo de aplicaciones web y aplicaciones móviles desarrollada por Google en 2014.

Una Base de datos de Firebase mal configurada puede llevar a comprometer los datos de todos los usuarios registrados en una aplicación.

Firebase Realtime Database es una base de datos NoSQL alojada en la nube que permite almacenar y sincronizar datos entre los usuarios en tiempo real. Los datos en tiempo real pueden ser transmisiones en vivo, registros de inicio de sesión, chats de clientes, registros de aplicaciones, detalles de usuario, información de GPS y mucho más.

Firebase es fácil de integrar con aplicaciones de Android, aplicaciones de iOS y aplicaciones web. Proporciona varias funciones como "Almacenamiento en la nube", "Alojamiento", "Base de datos en tiempo real" y "Crashlytics" y muchas otras configuraciones para diferentes funciones, pero el enfoque principal está en la configuración de "Base de datos". 

De forma predeterminada, la configuración de la base de datos es privada, la base de datos en tiempo real necesita acceso de lectura y escritura para tener control sobre los datos, entonces, un error humano en esta parte podría exponer información sensible de miles o millones de personas y generar pérdidas dentro de la compañía.

Yolo es una App de Compras y Delivey desarrollada y mantenida por YOLOSA en Managua.

¿No quieres o no puedes salir?… Despreocúpate Yolo llevo por ti.

Con YOLO, pide tus entregas a domicilio o para recoger de restaurantes favoritos. Entra a la app, registra tu usuario, dirección o selecciona tu ubicación actual. Fácilmente estarás en contacto con un mundo de servicios desde la palma de tu mano. Yolo el verdadero marketplace! #YoloLlevo, #YoloCompro, #YoloVendo

Yolo a como muchas otras Apps en Nicaragua utiliza Firebase como plataforma de almacenamiento en tiempo real de los datos de sus aplicaciones y es aquí donde inicia lo divertido (para mí)...

El código fuente de la Web de Yolo así también su aplicación incluyen la ruta de almacenamiento que poseen en Firebase, en donde se actualizan los datos de su app.

¿Cómo explotar una base de datos mal configurada?

Una vez que obtenemos la URL de la base de datos en tiempo real, podemos verificar la configuración agregando ¨.json¨ después de la URL, por ejemplo, si la URL de Firebase es:

https://ncaintelligence.firebase.com/

Se agrega ¨.json¨ después de la URL. (https://ncaintelligence.firebase.com/.json). Si recibimos un mensaje de error "Permiso denegado", significa que la base de datos está configurada correctamente. 

 

Si la URL modificada muestra el contenido de la base de datos, esto significa que el acceso de lectura es "Público" en esa base de datos, y los datos son visibles para cualquiera que tenga el enlace de la base de datos. Dado que la información se almacena en formato "JSON", se puede copiar fácilmente. 

La siguiente captura de pantalla muestra la base de datos de YOLO mal configurada en lectura y escritura, lo que causa filtración de datos en Firebase.

Con ¨cURL¨  se procede a realizar un POST para almacenar información en la base de datos en tiempo real de YOLO y como se puede ver en el cuadro rojo, el ¨test¨ fue positivo a escritura, dando apertura al almacenamiento de cualquier tipo de información aleatoria.

Se pueden realizar un sinnúmero de reacciones en la base de datos de esta aplicación, es importante tomar en cuenta la legislación nicaragüense, en la cual la Ley de Ciberdelitos* y Ley de Protección de Datos** son explicitas en cuanto al manejo de datos privados y de terceros, señalando la responsabilidad legal de quiénes brindan estos servicios a través de estas herramientas y dejan en indefensión a sus usuarios al dejar expuesta información privada sensible. 

* Ley No. 1042, Aprobada el 27 de Octubre de 2020

** Ley N°. 787, Aprobada el 21 de Marzo de 2012