Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Filtran los datos personales de unos 5.600 Mossos de Esquadra




El Sindicato de Los Mossos de Esquadra ha sufrido un ataque informático al Campus Virtual que alberga la página web del SME alojado en OVH.net con Debian que ha permitido filtrar los datos personales (incluyendo DNI y tarjeta de identificación policial (TIP)) de unos 5.600 miembros, así como el robo de la cuneta de Twitter del Sindicato. La Policía de la Generalidad de Cataluña. (en catalán Mossos d'Esquadra) es el cuerpo de policía autonómica de Cataluña. El atacante podría ser Phineas Fisher, la misma persona que hackeó a a la empresa italiana de seguridad informática Hacking Team.





La contraseña de adminstrador de la web y del twitter del Sindicat dels Mossos eran la misma


Un usuario con permisos de publicación (subida de documentos) en la web del Sindicat dels Mossos tenia como contraseña: 1094

En la madrugada de este miércoles, un ataque informático ha hecho públicos durante varias horas los datos privados de "más de 5.000" Mossos d'Esquadra pertenecientes al SME, sindicato que agrupa a prácticamente un tercio de la plantilla de la policía autonómica catalana.



La imagen de la cuenta de Twitter del Sindicato de Mossos d'Esquadra —@smemossos—SME también ha sido modificada con imágenes de Ester Quintana, la mujer que perdió un ojo por el impacto de una bala de goma disparada por los Mossos, del documental Ciutat Morta, donde se denunciaban abusos policiales en Barcelona, o de la detención que acabó con la vida de Juan Andrés Benitez.

No queremos más casos Ciutat Morta. No más homicidios como Juan Andrés Benítez. Queremos Justicia para Ester Quintana y tantos casos más. Queremos poner fin a la violencia gratuita en los cuerpos policiales»






La biografía del sindicato se ha cambiado por la de «Sindicato de los Mossos d'Esquadra por los Derechos Humanos. Aprendiendo de los errores, para refundarnos».

 En total, la información confidencial referente a 5.540 policías -un tercio del total del cuerpo- ha estado expuesta a través de un enlace de Twitter durante 4 o 5 horas. Hasta que la Unidad de Delitos Informáticos de los Mossos d’Esquadra ha logrado neutralizar el ataque o los mismos 'hackers' han decidido borrarlo.

"Lo que más dolor nos causa -ha admitido el secretario general del SME, Toni Castejón- es que el ciberataque haya coincidido con un contexto de alerta yihadista", que se mantiene en el cuarto nivel de los cinco que miden el riesgo de sufrir un atentado terrorista. El Estado Islámico, según conocen los servicios de información de los Mossos d’Esquadra, tiene entre sus objetivos prioritarios a cualquier policía de una democracia occidental.

Los datos obtenidos de los alumnos del Campus incluyen:

  • Nombre y Apellidos
  • DNI
  • TIP
  • Ayuntamiento
  • Ciudad
  • Dirección
  • Código Postal
  • E-mail
  • Profesión
  • Provincia
  • Teléfono Fijo
  • Teléfono Móvil
  • País
  • E-Mail
Además los datos filtrados de los afiliados  incluyen datos bancarios.

¿Quién ha hecho el ataque a los Mossos de Esquadra?

  • Anonymous se ha desvinculado de la acción de forma clara
  • Varios indicios apuntan a Phineas Fisher, la misma persona que hackeó a la empresa italiana Hacking Team y reinvidicó en un texto en Español cómo lo hizo.
En un primer momento se atribuía el robo al grupo hacktivista Anonymous, concretamente a los activistas, entre ellos activistas catalanes, que utilizan como medio de comunicación público la cuenta de Twitter @ La9deAnon. Pero lo han desmentido rápidamente. La filtración de la base de datos de los Mossos- por cierto, muy mal protegida- ha hecho pública justo pocas horas antes de que comenzara un importante juicio por el hacktivismo: en Gijón, este miércoles y jueves a tres personas son juzgadas por haber atacado supuestamente la web de la Junta Electoral Central, en 2011.

En este contexto, la filtración de los datos de los Mossos por parte de Anonymous podría parecer un acto de venganza hacktivista, pero a medida que han pasado las horas se ha desmentido esta hipótesis. Nadie en Anonymous se ha atribuido la acción y La9deAnon aseguraba que ni han robado ni filtrado la base de datos.

Puestos en contacto con @ La9deAnon, aseguran que se enteraron de la filtración por un mensaje privado en Twitter: "Puede haber sido cualquiera, el servidor del Sindicato de los Mossos llevaba años siendo vulnerable".

Efectivamente no es la primera vez que se filtran datos de los Mossos, sacadas de las máquinas inseguras del sindicato y difundidas por personas vinculadas a Anonymous, pero nunca en tal cantidad ni con datos tan personales como en esta ocasión.

Uno de los tuits, se hacía referencia a otra cuenta, @gammagroupPR también conocido como Hack Back!  El tuit, ahora retirado, decía así: "Atención mañana a la explicación de esta refundación a @gammagrouppr:

 No hay justicia en obedecer leyes injustas - Aaron Swartz 

Este jueves por la mañana, la cuenta de Twitter @gammagroupPR ha publicado unos enlaces relacionados con el ataque informático a los Mossos, que terminó con la filtración de los datos de más de 5.000 agentes desde la web del Sindicato de Mossos de escuadra (SME).

Entre otros, había un vídeo, publicado en YouTube, que muestra todo el proceso hecho para acceder y robar los datos. Ayer, Mercè Molist, periodista especializada en ciberseguridad, ya apuntó la relación entre la cuenta @gammagroupPR y el posible autor del ataque.

En el vídeo subio de nuevo a Youtube por el medio catalán NacioDigital (ahora sin música por temas de copyright) se han recortado las escenas o imágenes que incluyen datos sensibles o personales:




En el video se puede apreciar como la cuenta del usuario utlizado en Kali Linux es chemaalosono y el nombre del host elladodelmal. Lógicamente Chema Alonso no ha sido el autor del vídeo.

El atacante accede la dirección de un campus virtual alojado en la web del sindicato (con IP 46.28.110.136). Una vez allí, se registra en el campus virtual utilizando una dirección de correo electrónico temporal y utiliza la plataforma de los cursos (Campus) para buscar alguna página donde pueda haber vulnerabilidades del tipo SQL Injection usando OWASP Zap (Zed Attack Proxy) en el parámetro ID de los cursos.


query("select * from cursos where id=".$_POST['id']);
El parámetro ID se recoge  directamente del formulario, sin filtrar, ni limpiar la variable....

En una de las páginas, el atacante detecta un patrón que se podría utilizar para atacar la web y utiliza la herramienta sqlmap para obtener más información del servidor. Se puede comprobar como usan

  • Apache con PHP 5.4.45
Y el usuario del MySQL es DBA, tal como lo confirma la herramienta SQLMap (DBA true) lo cual significa que tiene acceso a todas las tablas y bases de datos de MySQL. Consigue una sql shell, es decir una shell donde ejecutar comandos SQL como DBA. Prácticamente todo. Intenta subir una web shell llamada Weevely un directorio con permisos de escritura, como la carpeta de WordPress de "uploads". Aunque el usuario del MySQl no tiene permisos para escribir ficheros en ese directorio.


Después de buscar un usuario con permiso para acceder a la subida de archivos, encuentra que las contraseñas los usuarios están cifradas con md5(sha1) es demasiado simple una contraseña de 4 caracteres (1094) y puede ser crackeada por fuerza bruta usando un diccionario en cuestión de minutos. Con esto y el DNI, también visible para el atacante, ya puede acceder como administrador del campus.

Una vez subida la web shell Weevely

En este momento, con acceso a los datos de los usuarios inscritos, cuelga un archivo como información de uno de los cursos, pero que en realidad se trata de un código que le permite ejecutar comandos en el servidor a distancia. Esto le sirve para varios objetivos: primero se descarga la base de datos entera de la web y, además, inyecta código en las páginas para capturar los nombre de usuario y contraseña en texto plano que envían los usuarios que pueden acceder, en vez de crackearlos por fuerza bruta.

Después de esperar que haya usuarios que lo utilicen, ya tiene suficientes datos y descubre que la contraseña que utiliza el administrador de la web es la misma que la de la cuenta de Twitter.

Finalmente, comprime todos los archivos de datos que se ha guardado y ubica la descarga en un directorio del servidor accesible desde Internet para bajárselo.

In Spain, freedom of speech doesn't exist, at least when it comes to criticizing the police.

El que comparte lo que aprende, es peligroso


Fuentes y referencias:
https://twitter.com/mercemolist
http://www.naciodigital.cat/noticia/108729/qui/atacat/mossos/esquadra
http://www.naciodigital.cat/noticia/108764/aixi/es/va/fer/atac/informatic/mossos/esquadra
http://www.economiadigital.es/es/notices/2016/05/el-hackeo-al-sindicato-de-mossos-filtra-los-datos-de-miles-de-agentes-83874.php

2 comentarios :

Miquel Caballe dijo...

Es tindria que formar els mossos en materia de sentit comu i humanitats. Ja que solen ser gent amb poca perspectiva en estés materies, solen ser gent problemática i amb un perfil molt moldejable per actuar i no preguntarse si esta be el que fan o no... No esta be que els que posin ordre' siguin gent curta de mires..faria falta que fosin gent mes culta,no monjes

Miquel Caballe dijo...

Es tindria que formar els mossos en materia de sentit comu i humanitats. Ja que solen ser gent amb poca perspectiva en estés materies, solen ser gent problemática i amb un perfil molt moldejable per actuar i no preguntarse si esta be el que fan o no... No esta be que els que posin ordre' siguin gent curta de mires..faria falta que fosin gent mes culta,no monjes

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.