Según https://www.elespectador.com/opinion/columnistas/carolina-botero-cabrera/las-filtraciones-de-guacamaya/ por tratarse de información de interés público sobre corrupción o violaciones a derechos humanos su publicación está protegida por la libertad de expresión.
Según https://www.eltiempo.com/tecnosfera/novedades-tecnologia/fiscalia-hackeada-analisis-de-jose-carlos-garcia-711854 la fiscalía intento responsabilizar a su proveedor de infraestructura y comunicaciones, Movistar como responsable, pero el mismo artículo dice que eso no es admisible pues “Proteger la información sensible que manejan, de seguridad nacional, no se descarga en un tercero con un contrato de servicio.”
Según https://devel.group/blog/guacamaya-hacks-libera-correos-robados-mediante-vulnerabilidad-en-exchange/ el método empleado por Guacamaya con otras filtraciones latinoamericanas en el 2022 fue emplear las vulnerabilidades CVE-2021-34523 y CVE-2021-31207 para autenticarse y ganar privilegios del servidor de correo Microsoft Exchange para hacer la descarga de los correos, después mediante un documento malicioso abierto por un usuario en la Intranet tuvieron acceso al servidor de la Intranet. Estas y otras vulnerabilidades para estos ataques son confirmadas por https://www.ciberseguridadlatam.com/2022/12/14/las-vulnerabilidades-aprovechadas-por-el-grupo-guacamaya-continuan-dejando-victimas-en-america-latina-alerta-kaspersky/
A lo largo del tiempo he visto más vulnerabilidades en servidores Windows que en servidores tipo Unix, eso sumado a la pereza o falta de tiempo para actualizar los servidores deja huecos conocidos abiertos. Repetimos entonces:
Para resguardar información sensible elegir herramientas con base en su historial de seguridad –no su popularidad.
Establecer rutinas de seguridad que incluyan actualización periódica y revisión de estas por un par.
Se debió a una configuración errada de servidor web.
La información de .git/config
(y de .git
) podía descargarse con
https://colombiajrs.info/.git/config Sin embargo se trata de información
pública porque es la misma de https://gitlab.com/pasosdeJesus/si_jrscol
La información de .env
podía descargase con https://colombiajrs.info/.env
Esta información es privada de la configuración de la aplicación, pero se
auditó más a profundidad y se verificó que o bien no podía usarse para extraer
información del servidor de JRS-Colombia desde fuera del mismo servidor o que
no hubo intentos. Se tuvo que auditar servidor de correo de Pasos de Jesús
porque en el archivo .env había credenciales del usuario sijrscol usado para
enviar correos, no se encontró evidencia de usos no autorizados.
Se arreglo configuración del servidor web para evitar acceso a archivos de configuración
Se cambió clave de usuario en base de datos (no era necesario porque se verificó que no podía usarse desde fuera del servidor por el cortafuegos de Banco de Datos y el interno del servidor de JRS ).
Se mejoró configuración de copias de respaldo y anexos. Se verificó que con la información de .env, aún con la configuración errada del servidor no podía accederse. En todo caso se auditaron bitácoras del servidor web más a profundidad buscaron intentos de acceso a copias o anexos desde el web sin encontrar evidencia.
En servidor de correo de Pasos de Jesús, se cambio clave del usuario sijrscol que envía correos con notificaciones. Se verificó que era posible el ingreso con la información del archivo .env pero no se encontró evidencia de ingreso alguno en bitácoras ni usos del servicio SMTP fuera de los generados por el sistema.
Se reportó la IP 184.73.5.45 en
https://www.abuseipdb.com/check/184.73.5.45 y se bloqueó en
cortafuegos de BD así como las otras 19 IPs que descargaron el
archivo .env
:
103.167.84.15
109.237.100.22
13.74.160.19
165.22.101.86
172.105.120.53
177.8.200.5
185.174.28.39
185.83.144.103
185.83.146.154
186.29.79.105
20.171.47.42
20.38.2.237
45.130.97.117
46.28.108.153
51.140.251.74
51.141.30.109
52.176.207.199
88.214.43.164
89.252.177.18
Se reiniciaron servicios tras cambios en configuración y se verificó funcionalidad y que ya no es explotable la falla en la configuración.
No se requirieron más acciones de restauración por cuanto no hubo modificación ni perdida de información.
]]>El gobierno de Estados ha denunciado tal práctica por parte de China (en productos de ZTE y Huawei aunque sin evidencia), pero no han tenido obstáculo en implementarla. Según el artículo la NSA implanta herramientas de vigilancia como puertas traseras en el hardware por exportar, lo vuelve a empacar con los sellos de las fábricas y los envía. Así la NSA gana acceso a redes enteras y todos sus usuarios.
http://www.theguardian.com/books/2014/may/12/glenn-greenwald-nsa-tampers-us-internet-routers-snowden
]]>http://www.semana.com/nacion/articulo/santos-confirma-que-fue-chuzado-su-familia-tambien/378457-3
Para mejorar la seguridad del correo de la presidencia, ha pedido ayuda en seguridad informática a 4 paises.
]]>http://www.gizmodo.com.au/2014/01/a-peek-inside-the-nsas-spy-gear-catalog/
]]>Al parecer la vulnerabilidad fue puesta por Alphanetworks como se describe en: http://it.slashdot.org/story/13/10/14/0120221/d-link-router-backdoor-vulnerability-allows-full-access-to-settings
No sería extraño que lo hubiera hecho por orden judicial secreta del gobierno de Estados Unidos, ver [Snowden 2013]
]]>Empresas dedicadas a correos seguros como Lavabit y Silent Circle se vieron obligadas a cerrar, para evitar este tipo de presiones.
]]>https://aprendiendo.pasosdejesus.org/Ataque_2013.html/
]]>