¿Sabían que usando Google puedes encontrar fallas de seguridad? Está
por empezar un nuevo año en universidades y colegios, quisimos saber si
se preocupan por la seguridad de sus alumnos. Sin embargo, se encontró
una pésima seguridad en las facultades más reconocidas de nuestro país,
poneiendo en riesgo la información personal de sus afiliados:
direcciones, teléfonos, nombre de padres, hermanos y más.
No basta con el peligro en el mundo real, llevar a su hijo(a) en
movilidad o auto ya no es suficiente, ahora está el peligro de los
cibercriminales, cada vez más organizados para acosar, extorsionar o
robar datos que terminan en el mercado negro, extraer: Nombres de
alumnos, DNI y nombre de padres y profesores, teléfonos, domicilios,
correos, mensualidades, horarios, claves, procesos internos y todo
aquello que el centro educativo le haga llenar.
EL PELIGRO ACECHA
Basta unos cuantos comandos en Google para encontrar páginas con
fallas de seguridad, errores que podrían ser aprovechados por
criminales. ¿Quién controla aquello? Obviamente los centros educativos
deberían preocuparse por brindar un servicio que evite el robo de
información de sus alumnos.
Este análisis tan sencillo se realizó solo en Centros Educativos del
Perú a nivel nacional, y se hallaron errores que permiten ver Carpetas
sin protección que permiten visualizar o copiar documentos, fallos para
obtener información del sistema, los indeseables errores para modificar
una página (deface) y hasta vulnerabilidades para robar información con
un Metasploit y SQL Injection.
Cabe resaltar que los especialistas Camilo Galdos [Dedalo] y AniversarioPeru hicieron un análisis paralelo a los portales de las universidades
para ejemplificar que mientras algunas personas gastan cientos de soles
mensuales en educación, otros podrían estudiar (por así decirlo)
gratis. Un pequeño programa para encontrar los archivos de los cursos de
Derecho, Economía, Medicina, Matemáticas, Sistemas, Estadística,
Biología de reconocidas universidades como UPC, USMP, PUCP, UNMSM y UPCH
al tener mal configuradas las carpetas de su servidor, siendo visibles
por cualquier usuario.
El programa creado por los expertos encuentra:
UPC: Cursos de Matemáticas y Estadística
USMP: Cursos de Sistemas y de Derecho
PUCP: Cursos de Derecho, Sistemas y Economía
UNMSM: Cursos de medicina y sistemas
UPCH: Cursos de medicina, biología, entre otros.
USMP: Cursos de Sistemas y de Derecho
PUCP: Cursos de Derecho, Sistemas y Economía
UNMSM: Cursos de medicina y sistemas
UPCH: Cursos de medicina, biología, entre otros.
El script también se puede descargar y fue desarrollado y publicado en python:
./script.py -d dominiodeuniversidad.com -s sistemas
-d es el dominio donde buscará ejem: universidad.edu.pe
-s es la materia que buscan: Medicina, Economía, Sistemas, veterinaria, economía, etc.
-s es la materia que buscan: Medicina, Economía, Sistemas, veterinaria, economía, etc.
ESTADÍSTICAS:
22, 700 páginas
en donde las carpetas no están protegidas, es decir, se pueden ver que
documentos hay en su interior, se podrían guardar los archivos y
analizar la distribución o esquema de la página para recopilar
información para un posible ataque.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
71, 300 páginas
tienen archivos de la configuración del sistema o del servidor, lo que
facilita la recolección de información y averiguar si existe alguna
vulnerabilidad en el servidor.
RECOMENDACIONES:
Deberia existir una forma de que respeten un estandar de calidad para
evitar que la información de colegios, academias, institutos y
universidades a nivel nacional corran peligro, posiblemente los datos de
sus hijos estén expuestos para fines maliciosos. Cabe señalar que solo
expuse dos ejemplos de los siete comandos que utilicé, y de los cerca de
500 que pueden existir en empresas educaticas.
- No guarden archivos con contraseñas en los servidores ya sea por el Cpanel o FTP, podrían ser encontrados fácilmente.
- Si reciben el reporte de una persona indicando una falla en su web, les aconsejo que lo escuchen, muchos desean contribuir.
- Se recomienda añadir un código para que Google no absorba esta información en sus resultados. Añadir (o crear) en el archivo robots.txt lo siguiente:
User-agent: *
Disallow: /cgi-bin/
Disallow: /tmp/
Disallow: /cgi-bin/
Disallow: /tmp/
- Para algo más estricto añadir en la web la meta-etiqueta que indica que no se indexe ningún enlace del sitio.
<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">
No hay comentarios.:
Publicar un comentario