Grupo Linuxero del Bajío

Defacean otra vez el servidor de guanajuato.gob.mx

Hector Lopez

Hola que tal, antes que nada un saludo a Xbit, Jacob, Maggy, Ramel, Julio y otros miembros del GliB. Me gustaría exponer una noticia de la cual me enteré hace 2 días, pero no había decidido publicar nada al respecto. Sin embargo me gustaría saber la opinión de los miembros del GliB, ya que a pesar de los roces que yo en lo personal he tenido con algunos miembros, considero que tienen opiniones muy valiosas, y la verdad como guanajuatenses me gustaría saber su opinión con respecto al tema de la inseguridad de los portales gubernamentales, haciendo un enfoque especial en los de nuestro estado.

Checando los stats de zone-h revise que el pasado Lunes 25 de Agosto del 2008, el foro colocado en esta dirección fue vulnerado http://www.rppc.guanajuato.gob.mx/portal. El defacer se hace llamar Bela y colocó el siguiente mensaje: “By BeLa & BodyguarD”. Cuando yo verifiqué el sitio, ya estaba corregido pero el mirror se quedo guardado en zone-h. Pueden verificarlo en el siguiente link http://www.zone-h.org/component/option,com_mirrorwrp/Itemid,160/id,7839837/

Yo se que esto de los defaces no es tema nuevo y casi siempre decido publicarlos y meter periodicasos, pero esta vez la verdad lo que sentí fue lástima.

Cuando la OMHE publicó el reporte de seguridad de portales gubernamentales del Estado de Guanajuato, recibí respuesta del director de tecnologías de información que trabaja directamente en la secretaría de finanzas y me comentó de que le interesaba nuestra ayuda y que me invitaría a ver que se podía hacer para mejorar al sitio. Yo creo que sólo lo hizo por barbero y quedar bien, porque hasta la fecha nada de nada. Y la verdad no me molesta el hecho de que no hayan aceptado mi ayuda, lo que me molesta es que no han aceptado ayuda de nadie y no han mejorado la seguridad del sitio en lo más mínimo.

Simplemente para hacer notar lo mal configurado que está el servidor, es vulnerable a Cross Site Scripting, tiene el indexing de directorios activado, si ustedes entran a http://www.rppc.guanajuato.gob.mx/test.htm pueden ver un formulario y para colmo si entran a http://www.rppc.guanajuato.gob.mx/phpinfo.php pueden ver la configuración de php. Y claro que pues esto lo saqué con 3 clicks utilizando el nikto.

Ya se imaginarán lo que se puede hacer cuando un atacante le dedica el tiempo necesario para ir checando el source code de la página y encontrar errores de validación, etc…

Pero bueno el punto del asunto y lo que me gustaría rebotar con los miembros del GliB es lo siguiente.

  1. ¿Cómo un ciudadano se puede sentir seguro de pagar sus impuestos, tenencias, multas, etc., en Internet con este tipo de servidores tan inseguros ?
  2. No existe un estándar a nivel gubernamental de las buenas prácticas para crear un sitio web
  3. ¿Cómo la revista Política Digital, en su encuesta pasada titulada “ranking estatal de portales .gob 2007”, menciona que todo está perfecto? Deberían de darle más importancia a la confidencialidad e integridad de la información que a la participación y la usabilidad.
  4. ¿Qué conocimientos tiene el encargado de un portal gubernamental ?

La verdad es una decepción el ver como a tantos sitios gubernamentales los defacean constantemente y no son capaces de mejorar. La verdad un deface es lo menos importante en estos casos. El deface sólo notifica al administrador que algo esta haciendo mal y que debe de mejorar. Pero no estamos hablando de servidores con información pública, estamos hablando de que alguien podría utilizar una técnica de RFI para subir una php shell y obtener un control total del servidor y después jugar con toda la información confidencial colocada en esos servidores.

La otra vez analizando el sistema de pago de tenencia de Guanajuato notifiqué de un bug que permitía ver las tarjetas de crédito que se introducían. Y hasta la fecha no se ha corregido. De este tipo de problemas estoy hablando. Del hecho de que se pueda cometer un fraude por la falta de mecanismos de seguridad en estos portales.

Pero para ya no darle tantas vueltas lo único que me gustaría decir es: “Funcionarios de gobierno que trabajan creando o dando mantenimiento a los portales gubernamentales del Estado de Guanajuato: pónganse a leer algún libro de seguridad web” Les recomiendo de menos checar algunos papers del OWASP que son gratis.

TOTAL, muchas gracias por su tiempo, espero sus comentarios y si alguien tiene alguna experiencia similar de (in)seguridad de algún portal gubernamental del Estado de Guanajuato estaría excelente que nos compartiera esa experiencia.

Atentamente: Héctor López - hl@omhe.org