DATO SEGURO NO ES SEGURO UNA REALIDAD.

Unos días atrás se suscito una controversia dentro del ECUADOR bajo la conducta de que se causo un delito informático por parte del bloguero @PaulCoyote demosotro que el servicio de DATOSEGURO en realidad no era seguro pero que es lo que causo toda esa controversia lo que PaulCoyote realizo fue engañar al sistema como lo informo en su blog:

Crear el usuario y contraseña del Sr. Presidente Rafael Correa.
Buscando en internet encontré los datos que necesitaba para crear la cuenta: La fecha de nacimiento y el número de cédula. La fecha de nacimiento la saqué de un sitio de celebridades (http://www.nndb.com/people/744/000162258/) y el número de cédula en el texto completo de la demanda del Sr. Presidente contra El Universo (http://rafaelcorreacontraeluniverso.eluniverso.com/demanda-contra-diario-eluniverso/).
El único dato que me faltaba era el \”Indice dactilar\”. Por curiosidad, alguna vez me fijé en los índices dactilares de las cédulas de identidad: todos son muy parecidos. Hay una V o una E o una A seguido de varios números: V23444 – E5444 y así… combinaciones muy sencillas, aparentemente. El sistema me preguntaba los números 3 y 4 del índice dactilar. Con la primera combinación de números acerté y mi cuenta fue creada. Luego de verificar el correo electrónico que envía el sistema, ahora tengo acceso a todos los datos “seguros” de Rafael Vicente Correa Delgado.
Absolutamente sencillo. Me tomó media hora, tal vez menos.

Ahora vamos darnos una vuelta por su seguridad y todo su sistema, ya que el otro dia un amigo  me comento que si yo estoy registrado en DATOSEGURO y claro que mi respuesta ya lo sabia que un NO definitivo y me respondió porque..? claramente le respondí que me dedico a la seguridad informática y por eso NO ( jajajaja ) bueno tras de ello me vino a la mente sobre descubrir sus fallos de seguridad ya que contiene datos de casi todos los Ecuatorianos incluido el SR. Presidente De La República y aun mas saber que su costo es de 10 MILLONES DE DOLARES que en realidad no se porque un costo tan alto una leve imaginación de que debe ser por su seguridad aun que no lo creo porque su seguridad es NULA ya vamos a ver el porque lo digo, luego de ello imagine que pudo haber costado por su desarrollo y bajo en que plataforma se realizo y aun así sigo sin saber porque 10 MILLONES DE DOLARES si me preguntan a mi yo lo realizaría por tan solo 20 Mil Dolares y aun mas con una seguridad mucho mas segura con la que esta realizada en la actualidad. Empecemos.

Bueno dandome un paseo por los directorios me encontré con un fichero que me llamo la atención luego de ello procedí ha realizar un test de seguridad primario empezando por lo básico me encontré con una vulnerabilidad Cross-Site Scripting ( XSS PERSISTENTE ) pero que es lo que se puede realizar con esta vulnerabilidad que para muchos no tiene mucha importancia pero la realidad es que causa tanto daño como otro tipo de vulnerabilidades desde PHISHING, HIJACKING,CLICKJACKING, e incluso infectar a los usuarios con algún RAT,TROYANO,ETC. Ahora si vemos el porque una simple vulnerabilidad  XSS puede ser igual de peligrosa a otras.

El Código Malicioso Para Test #1

"><img src=x onerror=alert("Xss_Vulnerability");> 

Ya checado el test primario y constatado que fue vulnerable a un ataque simple procedí a seguir con el test de seguridad ( GRATIS XD )  partí de allí dirigiéndome a un link que me ofrecía la misma pagina luego de indagar por el otro link me percate que existía una aplicación web que estaba realizando un trabajo algo dudoso entonces procedí a ver si lograba causar un error en la aplicación y aunque sea algo increíble en un solo intento conseguí el ERROR SQL con el que se procede a realizar una INYECCION SQL   esta vulnerabilidad aun mucho mas peligrosa es la que permite extraer la información sensible de la base de datos es decir que se podía tener acceso a todos los Usuarios que se registraron en dicha pagina de igual forma a los datos de Administrador comprometiendo a una gran escala todo el sistema donde también me encontré con datos como IP'S de varias personas que desempeñan su trabajo en la entidad publica esto que quiere decir si definitivamente no solo se compromete la información de la base de datos si no que también ordenadores de empleados de dicha entidad publica MENUDA COSA pero que clase de seguridad donde sus propios ordenadores de  empleados son comprometidos a ciertos Ataques.

El Código Malicioso Para Test #2

and 1=1 order by 1337--

Bueno percatándome sobre la ruta que se muestra en el  ERROR SQL  donde muestra toda su dirección /home/dinardap/fichaunica/ luego de esto cai en cuenta que DATOSEGURO esta en el mismo servidor de DINARDAP y aun mucho mas que el host es compartido es decir que ingresando a a esta dirección https://fichaunica.dinardap.gob.ec/app nos dirige directo a DATOSEGURO.

Checando la información observamos que no solo esta alojado dicha pagina si no que varias esto compromete aun mucho mas a DATOSEGURO ya que cualquiera vulnerando otro sitio web podría tener acceso a DATOSEGURO Y A DINARDAP ¬¬ algo que me sorprende ya que un sistema donde se maneja información sensible de muchos ECUATORIANOS debería tener un servidor propio que solo sea para dicho sistema que el servidor no sea compartido con 10 MILLONES DE DOLARES hubiese realizado un BUNKER IMPENETRABLE CON UN SOLO SISTEMA PROPIO Y CON UNA MEJOR SEGURIDAD bueno pues checando toda esta información no nos centraremos en los otros sitios si no directamente en DINARDAP ya que en un CPANEL tiene alojado el dominio y ficheros de DATOSEGURO sera que DINARDAP es seguro pues en realidad no ni un poquito la plataforma donde esta DINARDAP es Joomla así que procedí a realizar un Scann de vulnerabilidad en Joomla en todo su servidor y la casualidad es que no solo tiene una sola GRIETA si no seis de ellas esto quiere decir que si alguien tiene acceso a DINARDAP también logra acceso  DATOSEGURO.

IMAGE PROOF CONCEPT.

Bueno acabando no solo son estos pequeños errores en el sistema existen varios mas y con todo esto la pregunta que yo como Ecuatoriano me hago es que 10 MILLONES DE DOLARES fueron tirados a la basura algo como esto no debería estar ONLINE y aun mucho mas aquí la culpa recae sobre el dueño del proyecto, el administrador, el desarrollador, por realizar algo tan inseguro y si alguna persona publicaría información que se encuentre en el sistema como datos de usuarios que son muchos los usuario puede demandar a dicha entidad hacer un sistema inseguro que a base de eso los datos sensibles fueron publicados  la culpa también es de los usuarios porque tiene que tener encuenta que ningún sistema es seguro que los datos sensibles no se los puede publicar en internet.

Ahora así el porque no me registro en este burrada...

LA PREGUNTA FINAL ES TU TE REGISTRARAS...?

Fuente: Cyberpunk-Ur0x