Barrapunto

Un owned en toda regla. Es aquello de que "el alumno siempre supera al maestro" xD

¿Alguien podría informar sobre qué profesionales se encargan de la seguridad de esa red académica que ha sido atacada (y que infraestructura están usando para "garantizarla")? También sería interesante saber cómo está el tema en otras universidades.

En la Universidad de Murcia de esto se encarga ATICA [www.um.es], que parece ser que lo hacen bastante bien. Hay además gente de la propia facultad de informática que se encarga de los laboratorios, por lo que en cierta medida son independientes.

Y desde ideal.es:

No me creo que exista un administrador de una sala de prácticas que permita usar contraseñas en texto plano, si la red no es punto a punto... Dado que todos los alumnos de practicas de redes, estarían viendo todas las contraseñas de todo el mundo.

Lo del sniffer bueno supongo que aparte de esniffar la red con el rendimiento de ancho de banda que consume se hubieran dado cuenta antes no? Con un switch o VLANS el problema no se solucionaría ?

  Por otra parte el administrador no tiene que darle recursos a los webmasters sobre la red solo sobre la maquina en cuestión o los recursos justos que necesite, aún siendo el caso que lo hubieran hecho correctamente como consiguen su password, que lo comento en algún chat de ligue o algo así ???

  Luego si los passwords como dice el maestro siguen un patrón , pues para eso mejor no poner passwords ... Los passwords son el problema eterno nadie quiere recordar 20 alfanuméricos.. entonces se le pone fácil por que ya se sabe los tontitos que no saben de tecnología nunca se van a acordar de tanto numero..

    En fin son cosas que se podrían evitar, son cosas básicas(no hace falta ser hacker), que se pueden encontrar en cualquier foro de sistemas o seguridad informática.. que por mucho que se digan y se repitan al final ni dios parece hacer caso.. la solución la biometria.. asta que alguien te corte el dedo ;P

El problema de estos ataques es que para ocultar su incompetencia los técnicos de administración se limitan a cerrar permisos y servicios a diestro y siniestro con el consiguiente perjuicio para el disfrute de los servicios de la Universidad.

Leyendo las declaraciones del tal José Luis Bernier, jefe del equipo web

el pirata usó un programa llamado 'esnifer' -que cualquiera puede descargar de la red-

Ya lo tengo debieron usar... esnifer.exe

Tenemos bastantes indicios para incriminar a un alumno: loggins

Dios mio tiene los LOGGINS !

una semana antes de este incidente, pillamos a un alumno usando 'un programa de estos'».

Si es que no se puede uno fiar de los hackers estos

«el sistema operativo del servidor está anticuado y se han saltado la barrera de seguridad con suma facilidad».

Eso os pasa por no poder los "firewall mas paranoicos"
Quienes administran esa red ¿mortadelo y filemon?

Yo conozco dos casos concretos de redes universitarias, la de la universidad de valencia, y la de la politécnica.

Caso A: Universidad de Valencia.

Un completo desastre, la red wifi tiene encriptación wep con una contraseña pública que esta en la página web de la universidad. Una vez te conectas estás dentro de la red interna de la universdiad, tienes acceso a cualquier máquina de la misma, (con la cantidad de máquinas que habrá con sistemas no actualizados esperando a ser infectadas).

Para salir a Internet , en principio, te tenías que conectar a una vpn, pero al tener acceso a toda la red interna de la universidad te podías configurar el proxy http de la universidad en el navegador y ya podías navegar alegremente sin necesidad de autentificarte en ningún momento

En las aulas de informática (al menos las de física), con windows en todas ellas, la gestión de permisos paso de ser de nula (con el 95 antes) a pésima (con el XP después). La configuración de permisos es muy laxa con este último. Aunque en principio tienes que autentificarte y no entras como administrador, se pueden instalar programas, tienes permiso de escritura en todo "Archivos de programa" y acceso a ciertos componentes del sistema operativo a los que no deberías. Conseguir una escalada de privilegios a administrador en cualquiera de esos ordenadores es sencillamente trivial, y a partir de ahí lo que te de la gana.

Caso B: Politécnica de Valencia.

Todo lo contrario, por lo que he visto es una red sin fallos de bulto como la otra. En el caso del wifi si no te autentificas sólo puedes acceder a una red limitada de usuarios no identificados y algún que otro servidor que lo único que tiene es un portal cautivo que te indica cómo autentificarte.

Las aulas de informática tienen tanto windows como linux, pero incluso el windows está bastante más protegido, no puedes escribir en ningún otro sitio mas que en Mis Documentos, el escritorio, y poco más, y todo lo que guardes fuera de cierta carpeta desaparece al cerrar la sesión. Yo no he visto ninguna manera de escalar privilegios, al menos no de forma obvia. En otros ordendadores como los de la biblioteca el sistema aún está más blindado y no se puede ni salir del navegador.

Aún así tengo entendido que han tenido problemas hace poco con spammers, que se hacían con las contraseñas de los usuarios y aprovechaban sus cuentas para hacer de las suyas, así que tuvieron que llegar al punto de obligar a todos a cambiarlas por contraseñas más largas.

Jajajaja, si se demuestra quien ha sido, y que lo ha hecho el solito debería aprobar directamente jajajaja

¿Y que universidad española no estará saturada en estos momentos de "men in the middle"?

Esto no me sorprendería hace 10 años cuando aún no se habían popularizado los protocolos seguros (algunos de ellos aún no existían) y cuando el sistema operativo de escritorio más extendido era Windows 95.

Pero hoy en día que existen sistemas y protocolos seguros como ssh, sftp, https, imaps, etc. es que estaban pidiendo a gritos un ataque de este tipo.

De todas maneras, por muy desprotegida que estuviera la red, una intrusión como esta es delito igual, pero al menos si hubiera estado protegido no hubieran salido perjudicados el resto de alumnos como parece que así ha sido.

Copio un mensaje que he escrito como comentario a un post en un blog que me resultaba bastante crítico con el Equipo Web:

Soy miembro del Equipo Web de la ETSIIT, y agradecería que al menos algunas de estas aclaraciones (las que no son opiniones personales) formasen parte del post principal, ya que las considero fundamentales para aclarar la posible responsabilidad y las acusaciones que se extraen de el texto anterior:

1.- La web la administramos por HTTPS, y cualquier alumno que se registre en la web lo hace normalmente por https (y de hecho tiene que, de modo voluntario y con un plugin para el navegador que le permita hacerlo, cambiar el action del formulario para poder registrarse sin el protocolo seguro).

2.- Los administradores de la web no "hacemos la web de la Escuela desde aulas de prácticas", pero también somos alumnos (a los que parece que en vez de agradecérsenos la colaboración, se nos responsabiliza de cosas que no hemos hecho) y tenemos que usar los ordenadores de prácticas para poder cursar las asignaturas. Así que con estos ataques nos pueden robar las contraseñas.

3.- El Equipo Web tiene un escaso presupuesto (creo que menos para todo el año que el existente para los gastos de redacción de la Guía de la Escuela, que se edita una sola vez al año y que extrae la mayor parte de la información de lo publicado en la Web). Solo se cuenta con un becario que cobra menos de 150 euros al mes. El resto de miembros tocan a unos 8 euros al mes (algo simbólico, sin duda), y eso si no hay que emplear ese dinero en otras cuestiones.

4.- Dado que no contamos con una infraestructura de gestión suficiente para mantener las cuentas de usuarios de modo manual, usamos el servidor turing.ugr.es como servidor de autentificación, del que obtenemos, mediante una conexión SSH encriptada, los datos de los alumnos contra el que validamos su password. Este servidor comparte las contraseñas con otros servicios de la UGR, como el correo electrónico de los alumnos y las cuentas de los alumnos para acceder a los ordenadores de prácticas. Por tanto si a un miembro del Equipo Web le roban su contraseña cuando está haciendo las prácticas, pueden usarla para acceder a la web como administradores. Hemos tomado medidas para evitar esto de aquí en adelante.

5.- No es culpa del Equipo Web que el sistema de autentificación de los ordenadores de prácticas de la Escuela no utilice ningún sistema de encriptado. De hecho, según me han comentado los encargados de dicho sistema, tampoco es culpa suya: En la Escuela necesitamos poder arrancar los ordenadores con múltiples sistemas operativos diferentes, incluido windows. Al parecer las características de éste sistema operativo impiden que la contraseña se pueda enviar encriptada antes de cargar la imagen de arranque. Desconozco las cuestiones técnicas al respecto, ni el sistema de arranque remoto de múltiples imágenes que se utiliza.

6.- Teniendo en cuenta el presupuesto que hay disponible para este tipo de cosas (la UGR, según tengo entendido, no es demasiado generosa con la Escuela de Informática y Telecomunicación), tampoco se puede exigir mucho más: hay pocos administradores, poco presupuesto para comprar licencias de algunos sistemas, y demasiados ordenadores y usuarios a los que atender.

Muchas gracias por la comprensión mostrada,

Antonio Morales

A ver, vamos a ir aclarando cosas:
Primero, aquí trabajamos personas y por tanto estamos sujetos a fallos y errores; además, estoy seguro que los cometemos. Dicho esto;

Segundo, el servidor web de la ETSIIT no está a cargo del personal de sistemas, sino que es mantenido por el propio equipo web.

Tercero, NO SE HA COMPROMETIDO la seguridad de ninguno de los servidores de arranque y homes que gestionamos nosotros. A ningún alumno, ni a ningún profesor con sus ficheros alojados en nuestros servidores se le ha modificado/borrado nada. Tan es así que nuestra rutina diaria ha seguido tal cual, nada de tirar de copias de seguridad ni nada eso.

Cuarto, en cuanto tuvimos sospecha de un posible ataque se procedió a comunicar por correo a todo el personal/alumnado que cambiara POR PRECAUCIÓN su contraseña. Nosotros cambiamos la nuestra con regularidad.

Quinto, el tráfico en la red de aulas es punto a punto, y las contraseñas VAN SIEMPRE encriptadas. No obstante a ello, el fallo en la aplicación web venía dado porque lo que se necesitaba es precisamente la contraseña encriptada no la plana.

Sexto, los PCs de los profesores en sus despachos son responsabilidad de cada uno, y en ella está precisamente en mantener actualizado su sistema de escritorio al día en cuanto a parches de seguridad.

Y por último, séptimo, los ordenadores de las aulas arrancan diversos sistemas operativos, varias versiones de Windows, y varias versiones de Linux; todo mediante servidores de PXE/Remote Boot que se encargan de restaurar en cada inicio de sesión las particiones correspondientes de manera que cualquier instalación de software o fichero o local se borra; por eso, y entre otros motivos, nos resulta irrelevante que los alumnos se instalen software o no en las aulas bajo windows. En cuanto se reinicien, se borra lo que sea y el sistema que se arranca queda "como recién estrenado".

Espero haber aclarado las dudas. Gracias.

Recuerdo cómo era la red de la ETSII(T) hace unos 7 años. Los administradores hacían virguerías con la red:

• Los PC de practicas eran en su mayoría 486 sin disco duro, que podían arrancar en dos/win3.x y linux (slackware). Posteriormente tuvieron que meter discos para soportar win95.
• Los PC se "formateaban" automaticamente cada vez que arrancabas, descargando las imagenes de arranque por la red.
• Se podía acceder a la unidad del usuario por NFS y por SMB.

Por desgracia, no era posible mantener toda esta infraestructura y a la vez certificar la seguridad:

• En la primera versión del foro se podía introducir javascript en los comentarios.
• Las versiones de software no estaban actualizadas. Te podías hacer root en linux, y acceder por NFS con un UID arbitrario (o configurar un cliente NFS en windows).
• Los escritorios X estaban abiertos por defecto y se podía "enviar" programas a otros usaurios.
• Uno de los profesores pilló una vez un virus, e infectó algunos directorios de los programas de prácticas.
• Los servidores Unix usaban /hosts/equiv.

Todos esos problemas se fueron corrigiendo poco a poco, porque efectivamente había demasiado software que mantener.

Recuerdo que el ambiente general de profesores, administradores y alumnos era bueno. En especial destaco la labor del equipo web (formado por alumnos, becarios, etc), gente muy capaz y dedicada (el legendario Mario "superusuario" [blogspot.com]). De todas formas siempre ha habido ovejas negras (y grises y blancas...).