HACK THE SYSTEM: Falla de seguridad UBA XXI Full Disclosure

RSS

 Seguime por RSS

9 ago 2012

Falla de seguridad UBA XXI Full Disclosure

Disclaimer:

Este documento es con fines educativos y concepto en cuanto a seguridad y la falta de la misma, cualquier mal uso por parte de los lectores corre por cuenta y culpa de accion de los mismos al intentar utilizar la logistica explicada a continuacion para fines que violen la Ley 26.388 de la Republica Argentina o supongan un daño para un tercero o terceros, y aplicando los mismos conceptos de la ley 26.388 de la Rep. Argentina en cualquier territorio y parte del mundo, asimismo, incentivar a terceros o apovecharse de la violacion de la ley de habeas data de la Republica Argentina en los sistemas de la UBA por parte de la misma, Ley 25.326, en todo el planeta tierra, usando cualquier medio de conexion a internet por sus propios fines o ayudado por terceros, quienes también tendrán la misma responsabilidad en caso de conocer la finalidad del solicitante, ayudarlo y/o no denunciarlo.





Los otros días una persona me comentó que estaba por iniciar el UBA XXI, que es una especie de aula virtual donde cursar el CBC (Ciclo Básico Común), en la UBA, Universidad de Buenos Aires.
Le pregunte, como era el sistema, etc, y me dijo "nada, me dieron el usuario y contraseña y entro, que es mi DNI y DNI".

Aunque esto sea de no creer, le dije "Como DNI y DNI?", si claro me dice mi usuario es mi DNI y mi contraseña tambien.

Le pedi que me hiciera el favor de comentarme si cuando ingresara por primera vez, el sistema le pedia que cambie la contraseña para continuar, como suele hacerse en dominios windows, donde uno pone como pass 123456, pide al usuario que inicie sesion y no puede seguir si no introduce un password que cumpla con los requisitos previamente establecidos por el admin, como ser, 32 caracteres, caduca cada 15 dias, etc.

Para mi sorpresa, me comentan que no pide cambio de nada, claro, el que entró y lee este blog, se le cae de maduro, que cambia la contraseña la primera vez, pero... piensen como gente no geek que por ejemplo va a estudiar, medicina, abogacia, psicologia... etc ?

Si pensamos que el grueso de la gente usa de contraseñas 123456, no tiene conciencia de la seguridad e incluso hace transferencias bancarias en cybercafes publicos, es mas que evidente que mas del 50% del alumnado de UBA XXI no cambia la contraseña al ingresar.

Que peligro supone esto?, simple, voy a dar un ejemplo con sujeto A y kaker:

A: Che sabes que me anote en UBA XXI
kaker: Que bueno che, y en que carrera?
A: En psicologia, pero es el CBC, si, ya entre, mire un par de cosas, etc
kaker: Copado che, y decime Carlos Franco (yo se su nombre por ser amigo, conocido o se lo pregunte, asi como su edad), como se te ocurrio?
A: Nada, me comento una amiga, etc etc (no nos interesa que diga)
kaker: Che carlos, se me hace tarde, debo irme, adios
A: Chau chau

Bueno, el kaker desde una conexion a internet, accede a (no diré el lugar para no avivar gente), donde se puede saber el DNI y ocupacion de una persona sin pagar un centavo, e ingresa Carlos Franco, salen muchos, pero solo UNO será correspondiente la numeración de DNI con la de Carlos, por su edad, dado que los DNI suelen ser por fecha de nacimiento, a lo sumo, tendremos 3-4 posibilidades, no mas.

Hecho eso, kaker ingresa a http://www.uba.ar/academicos/uba21/index.php donde coloca de nombre de usuario el DNI, password el DNI, y listo, se hizo con la cuenta de UBA XXI de Carlos, que apenas conocia, solo charlo en un pasillo, pregunto su carrera, vio el apellido en su carpeta que llevaba en la mano, y su edad para saber "cuan tarde comenzo a estudiar"

Esto es un poco de ingenieria social y otro poco de una falla enorme de seguridad del que diseño el sistema de UBA XXI, si bien los datos o daños que puedan hacerse no son graves, si pueden saber todos los datos restantes de Carlos Franco, nuestra victima, exponiendolo asi, o bien suplantando su identidad en otros ambitos.

Además, con este fallo, asi como sucedio con la tarjeta SUBE, la UBA, está incumpliendo el Habeas Data de la Republica Argentina: http://www.infoleg.gov.ar/infolegInternet/anexos/60000-64999/64790/norma.htm

Mi consejo, es que los que usen UBA XXI cambien la contraseña por defecto, y usen otra de al menos 16 caracteres alfanumericos.
Al margen de esta brecha de seguridad, siempre es recomendable, cuando ingresen a cualquier foro, red social, etc, verificar y certificar que nuestros datos estan siendo cuidados como corresponde, en caso contrario, denunciarlo citando la ley de Habeas Data: http://www.infoleg.gov.ar/infolegInternet/anexos/60000-64999/64790/norma.htm

Espero que alguien de la Rep. Argentina que esté vinculado a la UBA, lea esto y haga que cambien estas politicas de seguridad, por no llamarla, ausencia de las mismas.

No hay comentarios:

Publicar un comentario

Dejá tu comentario