20/04/2024

vulnerabilidades

ciberataque

Argentina: Un ataque informático dejó sin sistemas al Ministerio Público Fiscal de la Ciudad

Editor YPT 20/11/2021

Se vulneraron datos confidenciales. Dicen que la información sobre investigaciones judiciales en curso se encuentra protegida.

El Ministerio Público Fiscal (MPF) de la Ciudad de Buenos Aires sufrió este viernes una vulnerabilidad informática que dificulta el funcionamiento de su sistema de toma de denuncias. Todavía no está claro el alcance del hackeo, pero como medida preventiva se dieron de baja servicios para evitar que se propague.

Así lo precisó el organismo al dar cuenta de un ataque cibernético que vulneró datos confidenciales pero, dijeron, "no puso en peligro la información sobre las investigaciones judiciales que se encuentran en curso".

"En las últimas horas el sistema informático del Ministerio Público Fiscal de la Ciudad ha sufrido un daño cibernético que dificulta el normal funcionamiento en la toma de denuncias", señala el comunicado del MPF.

Y agrega: "Se ha vulnerado información administrativa confidencial". Aunque, señalaron, "la información sobre investigaciones judiciales en curso se encuentra protegida".

Qué sucedió

La vulnerabilidad entró por servidores desactualizados. Foto Shutterstock

Todavía no hay una versión definitiva de lo que sucedió. Lo que se sabe hasta el momento es que, según la versión oficial, un intruso con una IP desconocida, que tenía base en Finlandia (esto se puede enmascarar con una VPN), exploraba dentro del sistema informático cerca de las 11.15 de este jueves. Al reconocer la filtración, desde el área de informática decidieron apagar el servidor.

Desde el MPF reconocieron, además, que todavía se desconoce el daño que pudo haber causado y que confían que para este sábado se habrá reestablecido el servicio.

Una de las versiones que está circulando implica que tenían "servidores desactualizados". Esto implicaría que en algún nivel del sistema informático (el software, alguna aplicación específica o un programa particular) el MPF no tenía sus recursos actualizados, quedando abierto a posibles vulnerabilidades.

"Todo el tiempo hay que estar aplicando actualizaciones de software a cada servidor servidor. Pero si tenés una aplicación, un sistema de personal, de recepción de denuncias, por ejemplo, que fue desarrollada hace mucho tiempo y no fue actualizada, eso te impide aplicar otras actualizaciones, y quedás expuesto. Pensá que todo se actualiza: tu computadora, tu celular, hasta el sistema operativo de tu TV", explicó el experto en seguridad informática Javier Smaldone a Clarín.

"Eso es porque se van encontrando errores o vulnerabilidades. Entonces la actualización cubre esos problemas. Si yo tengo todo mi software actualizado en todos los niveles estoy cubierto de todos los errores conocidos: de los desconocidos no me salva nadie”, agregó. 

También admitieron que entre las búsquedas que llamaron la atención figura "Renaper", que podría estar relacionado con la filtración de datos sensibles de más de 60 mil argentinos, o que esté buscando información de la causa por la filtración.

Clarín contactó al Ministerio Público Fiscal​ porteño con una serie de consultas técnicas sobre lo sucedido. Sin embargo, no recibió respuesta.

El antecedente: hackeo al Registro Nacional de las Personas

Como informó Clarín en octubre pasado, un ciberdelincuente que accedió a la base de datos del Registro Nacional de las Personas (Renaper) publicó 60.000 entradas en un archivo de 2.7 GB.

El delincuente dijo tener en su poder datos personales de los 45 millones de argentinos. Lo que el Gobierno detectó es que identificó accesos no autorizados a la base de datos del Renaper desde un usuario del Ministerio de Salud, pero no confirman que haya descargado la totalidad de la información.

El Renaper sufrió un ataque que puso en jaque datos personales de los argentinos. Foto Clarín

Desde el Gobierno creen que el usuario entró por un usuario y contraseña desde una "conexión autorizada de VPN (Virtual Private Network) entre el RENAPER y el Ministerio de Salud de la Nación”, confirmaron a Clarín. Por esto, descartan un hackeo masivo y apuntan a un acceso no autorizado para cometer el delito.

Según explicaron en un comunicado oficial, el equipo de seguridad informática del RENAPER indagó en las 44 fotos filtradas en redes para ver si había sido buscadas desde el Sistema de Identidad Digital (SID) y detectó que 19 imágenes "habían sido consultadas en el exacto momento en que eran publicadas en la red social Twitter".

Mientras tanto, los equipos técnicos del MPF continúan trabajando para regularizar el servicio y desde el organismo señalaron que, mientras tanto, las denuncias se pueden hacer al 0800 33 FISCAL (347225) o por mail a denuncias@fiscalias.gob.ar.

La causa está siendo investigada por Daniela Dupuy, fiscal especializada en delitos y contravenciones informáticas de la  Ciudad de Buenos Aires.

LGP​

Fuente: https://www.clarin.com/ciudades/hackearon-sistema-informatico-ministerio-publico-fiscal-ciudad_0_4Z7bEFhoI.html

Falla crítica permite violar sistemas SAP

Guido Rosales 21/07/2020

Los usuarios de SAP deben implementar de inmediato un parche recientemente lanzado para una vulnerabilidad crítica que podría permitir a los piratas informáticos comprometer sus sistemas y los datos que contienen. La falla está en un componente central que existe de manera predeterminada en la mayoría de las implementaciones de SAP y puede explotarse de forma remota sin la necesidad de un nombre de usuario y contraseña.

Los investigadores de la firma de seguridad Onapsis que encontraron e informaron la vulnerabilidad estiman que 40,000 clientes de SAP en todo el mundo podrían verse afectados. Más de 2.500 sistemas SAP vulnerables están expuestos directamente a Internet y corren un mayor riesgo de ser pirateados, pero los atacantes que obtienen acceso a las redes locales pueden comprometer otras implementaciones.

La vulnerabilidad se rastrea como CVE-2020-6287 y se encuentra en el servidor de aplicaciones SAP NetWeaver Java, que es la pila de software subyacente a la mayoría de las aplicaciones empresariales de SAP. Las versiones 7.30 a 7.50 de NetWeaver Java se ven afectadas, incluida la última, y ​​todos los paquetes de soporte (SP) lanzados por SAP.

CVE202-6287

¿Cuál es el impacto de la vulnerabilidad de SAP?

La vulnerabilidad, que también se ha denominado RECON (Código explotable de forma remota en NetWeaver), tiene la calificación de gravedad más alta posible (10) en el Sistema de puntuación de vulnerabilidad común (CVSS) porque puede explotarse a través de HTTP sin autenticación y puede conducir a un completo compromiso del sistema. La falla permite a los atacantes crear un nuevo usuario con función administrativa, evitando los controles de acceso existentes y la segregación de funciones.

"Tener acceso administrativo al sistema permitirá al atacante administrar (leer / modificar / eliminar) todos los registros o archivos de la base de datos en el sistema", advirtió Onapsis en un aviso. "Debido al tipo de acceso sin restricciones que un atacante obtendría al explotar sistemas sin parches, esta vulnerabilidad también puede constituir una deficiencia en los controles de TI de una empresa para los mandatos regulatorios, lo que podría afectar el cumplimiento financiero (Sarbanes-Oxley) y la privacidad (GDPR)".

La vulnerabilidad abre organizaciones a varios tipos de ataques. Los hackers podrían usarlo para robar información de identificación personal (PII) perteneciente a empleados, clientes y proveedores; leer, modificar o eliminar registros financieros; cambiar detalles bancarios para desviar pagos y modificar procesos de compra; datos corruptos; o interrumpir la operación de las pérdidas financieras del sistema debido al tiempo de inactividad del negocio. La falla también permite a los atacantes ocultar sus huellas al eliminar registros y ejecutar comandos en el sistema operativo con los privilegios de la aplicación SAP.

Las aplicaciones SAP afectadas incluyen SAP S / 4HANA Java, SAP Enterprise Resource Planning (ERP), SAP Supply Chain Management (SCM), SAP CRM (Java Stack), SAP Enterprise Portal, SAP HR Portal, SAP Solution Manager (SolMan) 7.2, SAP Landscape Management (SAP LaMa), SAP Process Integration / Orchestration (SAP PI / PO), Relación con proveedores de SAP

Tambien puede interesarte:

https://yanapti.com/2020/tarjetas-contactless/

BANCA DIGITAL : ¿APPs RIESGOSAS?

Guido Rosales 14/01/2018

Sin duda no es lo mismo instalar una app de juegos al móvil o una aplicación de banca digital. Uno espera que la responsabilidad sobre los servicios financieros se extienda al dispositivo móvil donde se instala la aplicación y por consiguiente al consumidor financiero. Pero vemos que necesitamos trabajar un poco más al respecto.

Hace un mes llevamos a cabo una revisión de APPs de entidades financieras que están publicadas en el Play Store. Si son públicas, entonces pueden ser revisadas. OJO, Espero que los Gerentes GGGX consideren que antes de ser Gerentes son también usuarios y clientes de otras entidades financieras y la regulación beneficia a todos.

En estos días vimos algunas actualizaciones publicadas en el Play store. Entonces quisimos ver como estaba cambiando la seguridad de las aplicaciones.

Para este articulo hemos tomado uno de los Bancos mas representativos, pero solo como ejemplo.

ANÁLISIS DE PERMISOS DE APP SOBRE EL MÓVI

 

En cuanto a permisos de la APP tenemos los siguientes:

PERMISOS DICIEMBRE 2017

  •     android:name="android.permission.INTERNET" />
    android:name="android.permission.ACCESS_NETWORK_STATE" />
    android:name="android.permission.ACCESS_FINE_LOCATION" />
    android:name="android.permission.ACCESS_COARSE_LOCATION" />
    android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
    android:name="android.permission.READ_EXTERNAL_STORAGE" />
    android:name="android.permission.VIBRATE" />
    android:name="android.permission.CAMERA" />
    android:name="android.permission.USE_FINGERPRINT" />
    android:name="android.hardware.camera" />
    android:name="android.hardware.camera.autofocus" />
    android:name="android.hardware.location.gps" />
    android:name="android.permission.WAKE_LOCK" />

PERMISOS ENERO 2018

  • android:name="android.permission.INTERNET" />
  • android:name="android.permission.ACCESS_NETWORK_STATE" />
  • android:name="android.permission.ACCESS_FINE_LOCATION" />
  • android:name="android.permission.ACCESS_COARSE_LOCATION" />
  • android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
  • android:name="android.permission.READ_EXTERNAL_STORAGE" />
  • android:name="android.permission.VIBRATE" />
  • android:name="android.permission.CAMERA" />
  • android:name="android.permission.USE_FINGERPRINT" />
  • android:name="android.permission.CALL_PHONE" />
  • android:name="android.hardware.camera" />
  • android:name="android.hardware.camera.autofocus" />
  • android:name="android.hardware.location.gps" />
  • android:name="android.permission.WAKE_LOCK" />

Entonces vemos que SE ADICIONO EL PERMISO PARA HACER LLAMADAS

android:name="android.permission.CALL_PHONE" />

Varios de estos permisos están definidos como RIESGOSOS en la misma documentación para programadores ANDROID.

Se ha revisado los permisos que solicitan y surgen varias interrogantes:

  1. ¿Por qué la aplicación de banca digital requiere permisos sobre la cámara del dispositivo móvil? ¿Ahora puede sacar fotos y filmar sin mi permiso? ¿Para qué?
  2. ¿Por qué debe tener acceso sobre el contenido de la memoria externa? Ahí tengo datos personales.
  3. ¿Por qué quiere tener permisos sobre el teléfono y poder hacer llamadas? Ojo que este permiso no estaba en la versión de diciembre y fue adicionado en enero.
  4. ¡Pide demasiada información sobre la red!!
  5. ¿Por qué deben tener permisos sobre mi ubicación? ¿No es privada?
  6. ¡Otros!!! Sin duda gran parte de los permisos identificados dejan mucho que pensar.

Evidentemente algunos deben ser activados adicionalmente, pero la mayoría de los usuarios no tendrá el cuidado de estar auditando su aplicación móvil. Tiene confianza plena. Ojo que La administración manual de permisos llegó oficialmente con Android Marshmallow: puedes elegir a qué acceden tus aplicaciones, incluso tras instalarlas.

ANÁLISIS DE POTENCIALES VULNERABILIDADES

La revisión dio los siguientes resultados en cuanto a potenciales vulnerabilidades:

Presentamos los resultados detectado en diciembre y ahora los evaluados al 14 de enero del 2018. Vemos que la actualización liberada no ha tomado en cuenta aspectos de seguridad. Se mantienen los mismos

Recordemos los resultados anteriormente publicados:

 

 

NECESIDAD

  • Como ciber consumidor solicito que ASFI recuerde a las EEFF la necesidad de aplicar el concepto de “Mínimos privilegios”, definido en el Reglamento de Seguridad de la Información. Las aplicaciones móviles deben ser publicadas de esa forma. Lo menos intrusivas y riesgosas para el usuario financiero.
  • Las EEFF cuando publican APPs en cada versión, deberían enviar una Declaración jurada a ASFI, indicando que permisos esta solicitando al instalarse su APP. Asumiendo todos los riesgos que implican permisos excesivos. ASFI y las auditorias técnicas debe validar en sus visitas el cumplimiento de esta declaración.
  • Las EEFF deberían declarar los cambios que realizan en cada versión de app. Dando libertad al consumidor de instalar o no si considera riesgosa la actualización.
  • Finalmente como ciudadano y en el marco de la soberanía digital, la oficina de defensa al consumidor y ahora al ciberconsumidor debe tomar como su tarea proteger los datos del ciudadano boliviano y alertar sobre los riesgos.

 

CONCLUSIÓN

Los siguientes días enviare una carta a la EEFF para solicitar información sobre esta app. Espero respondan de forma clara y no con evasivas como antes. La seguridad puede mejorar, pero hay que ocuparse de ella.

El entusiasmo por entrar al mundo móvil debe estar acompañado de una adecuada gestión de riesgos y estrategias de seguridad.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023