Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
mayo
(Total:
22
)
- Nueva campaña de Ransomware suplantando factura de...
- Condenan a prisión al hacker eslovaco que avisó de...
- Desmantelada red española de distribución ilegal d...
- Análisis del hackeo al Sindicato de los Mossos de ...
- Roban 5.000€ a un Mosso de Esquadra después de la ...
- Phineas Fisher hackeó el Sindicato de los Mossos, ...
- Phineas Fisher filtra los datos personales de unos...
- El creador de VNC Roulette descubre y vende fallo ...
- Proyecto kickstarter quiere monitorizar tus pedos ...
- Habilita automáticamente HTTPS en tu sitio web con...
- La Policía oculta las caras de unos corderos para ...
- Al director del FBI no le gusta el cifrado de What...
- Usar un contenedor Docker de Metasploit Framework ...
- Chica de 19 años transmite su suicidio en directo ...
- El grupo turco Bozkurt hackea más bancos y publica...
- Nueva (para variar) vulnerabilidad crítica en Adob...
- PornHub también se suma al programa de recompensas...
- 3.000 estudiantes de Tailandia deberán repetir exa...
- No, Craig Wright ni es Satoshi Nakamoto, ni es el ...
- Un niño de 10 años obtiene una recompensa de 10.00...
- Múltipes y graves vulnerabilidades en ImageMagick
- Cifrar documentos, ficheros o carpetas con GnuPG e...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Phineas Fisher filtra los datos personales de unos 5.600 Mossos de Esquadra
jueves, 19 de mayo de 2016
|
Publicado por
el-brujo
|
Editar entrada
El Sindicato de Los Mossos de Esquadra ha sufrido un ataque informático al Campus Virtual que alberga la página web del SME alojado en OVH.net con Debian que ha permitido filtrar los datos personales (incluyendo DNI y tarjeta de identificación policial (TIP)) de unos 5.600 miembros, así como el robo de la cuneta de Twitter del Sindicato. La Policía de la Generalidad de Cataluña. (en catalán Mossos d'Esquadra) es el cuerpo de policía autonómica de Cataluña. El atacante podría ser Phineas Fisher, la misma persona que hackeó a a la empresa italiana de seguridad informática Hacking Team.
Un usuario con permisos de publicación (subida de documentos) en la web del Sindicat dels Mossos tenia como contraseña: 1094
En la madrugada de este miércoles, un ataque informático ha hecho públicos durante varias horas los datos privados de "más de 5.000" Mossos d'Esquadra pertenecientes al SME, sindicato que agrupa a prácticamente un tercio de la plantilla de la policía autonómica catalana.
La imagen de la cuenta de Twitter del Sindicato de Mossos d'Esquadra —@smemossos—SME también ha sido modificada con imágenes de Ester Quintana, la mujer que perdió un ojo por el impacto de una bala de goma disparada por los Mossos, del documental Ciutat Morta, donde se denunciaban abusos policiales en Barcelona, o de la detención que acabó con la vida de Juan Andrés Benitez.
No queremos más casos Ciutat Morta. No más homicidios como Juan Andrés Benítez. Queremos Justicia para Ester Quintana y tantos casos más. Queremos poner fin a la violencia gratuita en los cuerpos policiales»
La biografía del sindicato se ha cambiado por la de «Sindicato de los Mossos d'Esquadra por los Derechos Humanos. Aprendiendo de los errores, para refundarnos».
En total, la información confidencial referente a 5.540 policías -un tercio del total del cuerpo- ha estado expuesta a través de un enlace de Twitter durante 4 o 5 horas. Hasta que la Unidad de Delitos Informáticos de los Mossos d’Esquadra ha logrado neutralizar el ataque o los mismos 'hackers' han decidido borrarlo.
"Lo que más dolor nos causa -ha admitido el secretario general del SME, Toni Castejón- es que el ciberataque haya coincidido con un contexto de alerta yihadista", que se mantiene en el cuarto nivel de los cinco que miden el riesgo de sufrir un atentado terrorista. El Estado Islámico, según conocen los servicios de información de los Mossos d’Esquadra, tiene entre sus objetivos prioritarios a cualquier policía de una democracia occidental.
Los datos obtenidos de los alumnos del Campus incluyen:
En este contexto, la filtración de los datos de los Mossos por parte de Anonymous podría parecer un acto de venganza hacktivista, pero a medida que han pasado las horas se ha desmentido esta hipótesis. Nadie en Anonymous se ha atribuido la acción y La9deAnon aseguraba que ni han robado ni filtrado la base de datos.
Puestos en contacto con @ La9deAnon, aseguran que se enteraron de la filtración por un mensaje privado en Twitter: "Puede haber sido cualquiera, el servidor del Sindicato de los Mossos llevaba años siendo vulnerable".
Efectivamente no es la primera vez que se filtran datos de los Mossos, sacadas de las máquinas inseguras del sindicato y difundidas por personas vinculadas a Anonymous, pero nunca en tal cantidad ni con datos tan personales como en esta ocasión.
Uno de los tuits, se hacía referencia a otra cuenta, @gammagroupPR también conocido como Hack Back! El tuit, ahora retirado, decía así: "Atención mañana a la explicación de esta refundación a @gammagrouppr:
Este jueves por la mañana, la cuenta de Twitter @gammagroupPR ha publicado unos enlaces relacionados con el ataque informático a los Mossos, que terminó con la filtración de los datos de más de 5.000 agentes desde la web del Sindicato de Mossos de escuadra (SME).
Entre otros, había un vídeo, publicado en YouTube, que muestra todo el proceso hecho para acceder y robar los datos. Ayer, Mercè Molist, periodista especializada en ciberseguridad, ya apuntó la relación entre la cuenta @gammagroupPR y el posible autor del ataque.
En el vídeo subio de nuevo a Youtube por el medio catalán NacioDigital (ahora sin música por temas de copyright) se han recortado las escenas o imágenes que incluyen datos sensibles o personales:
En el video se puede apreciar como la cuenta del usuario utlizado en Kali Linux es chemaalosono y el nombre del host elladodelmal. Lógicamente Chema Alonso no ha sido el autor del vídeo.
El atacante accede la dirección de un campus virtual alojado en la web del sindicato (con IP 46.28.110.136). Una vez allí, se registra en el campus virtual utilizando una dirección de correo electrónico temporal y utiliza la plataforma de los cursos (Campus) para buscar alguna página donde pueda haber vulnerabilidades del tipo SQL Injection usando OWASP Zap (Zed Attack Proxy) en el parámetro ID de los cursos.
En una de las páginas, el atacante detecta un patrón que se podría utilizar para atacar la web y utiliza la herramienta sqlmap para obtener más información del servidor. Se puede comprobar como usan
Después de buscar un usuario con permiso para acceder a la subida de archivos, encuentra que las contraseñas los usuarios están cifradas con md5(sha1) es demasiado simple una contraseña de 4 caracteres (1094) y puede ser crackeada por fuerza bruta usando un diccionario en cuestión de minutos. Con esto y el DNI, también visible para el atacante, ya puede acceder como administrador del campus.
Una vez subida la web shell Weevely
En este momento, con acceso a los datos de los usuarios inscritos, cuelga un archivo como información de uno de los cursos, pero que en realidad se trata de un código que le permite ejecutar comandos en el servidor a distancia. Esto le sirve para varios objetivos: primero se descarga la base de datos entera de la web y, además, inyecta código en las páginas para capturar los nombre de usuario y contraseña en texto plano que envían los usuarios que pueden acceder, en vez de crackearlos por fuerza bruta.
Después de esperar que haya usuarios que lo utilicen, ya tiene suficientes datos y descubre que la contraseña que utiliza el administrador de la web es la misma que la de la cuenta de Twitter.
Finalmente, comprime todos los archivos de datos que se ha guardado y ubica la descarga en un directorio del servidor accesible desde Internet para bajárselo.
Fuentes y referencias:
https://twitter.com/mercemolist
http://www.naciodigital.cat/noticia/108729/qui/atacat/mossos/esquadra
http://www.naciodigital.cat/noticia/108764/aixi/es/va/fer/atac/informatic/mossos/esquadra
http://www.economiadigital.es/es/notices/2016/05/el-hackeo-al-sindicato-de-mossos-filtra-los-datos-de-miles-de-agentes-83874.php
La contraseña de adminstrador de la web y del twitter del Sindicat dels Mossos eran la misma
Un usuario con permisos de publicación (subida de documentos) en la web del Sindicat dels Mossos tenia como contraseña: 1094
En la madrugada de este miércoles, un ataque informático ha hecho públicos durante varias horas los datos privados de "más de 5.000" Mossos d'Esquadra pertenecientes al SME, sindicato que agrupa a prácticamente un tercio de la plantilla de la policía autonómica catalana.
La imagen de la cuenta de Twitter del Sindicato de Mossos d'Esquadra —@smemossos—SME también ha sido modificada con imágenes de Ester Quintana, la mujer que perdió un ojo por el impacto de una bala de goma disparada por los Mossos, del documental Ciutat Morta, donde se denunciaban abusos policiales en Barcelona, o de la detención que acabó con la vida de Juan Andrés Benitez.
No queremos más casos Ciutat Morta. No más homicidios como Juan Andrés Benítez. Queremos Justicia para Ester Quintana y tantos casos más. Queremos poner fin a la violencia gratuita en los cuerpos policiales»
La biografía del sindicato se ha cambiado por la de «Sindicato de los Mossos d'Esquadra por los Derechos Humanos. Aprendiendo de los errores, para refundarnos».
En total, la información confidencial referente a 5.540 policías -un tercio del total del cuerpo- ha estado expuesta a través de un enlace de Twitter durante 4 o 5 horas. Hasta que la Unidad de Delitos Informáticos de los Mossos d’Esquadra ha logrado neutralizar el ataque o los mismos 'hackers' han decidido borrarlo.
"Lo que más dolor nos causa -ha admitido el secretario general del SME, Toni Castejón- es que el ciberataque haya coincidido con un contexto de alerta yihadista", que se mantiene en el cuarto nivel de los cinco que miden el riesgo de sufrir un atentado terrorista. El Estado Islámico, según conocen los servicios de información de los Mossos d’Esquadra, tiene entre sus objetivos prioritarios a cualquier policía de una democracia occidental.
Los datos obtenidos de los alumnos del Campus incluyen:
- Nombre y Apellidos
- DNI
- TIP
- Ayuntamiento
- Ciudad
- Dirección
- Código Postal
- Profesión
- Provincia
- Teléfono Fijo
- Teléfono Móvil
- País
Además los datos filtrados de los afiliados incluyen datos bancarios.
¿Quién ha hecho el ataque a los Mossos de Esquadra?
- Anonymous se ha desvinculado de la acción de forma clara
- Varios indicios apuntan a Phineas Fisher, la misma persona que hackeó a la empresa italiana Hacking Team y reinvidicó en un texto en Español cómo lo hizo.
En este contexto, la filtración de los datos de los Mossos por parte de Anonymous podría parecer un acto de venganza hacktivista, pero a medida que han pasado las horas se ha desmentido esta hipótesis. Nadie en Anonymous se ha atribuido la acción y La9deAnon aseguraba que ni han robado ni filtrado la base de datos.
Puestos en contacto con @ La9deAnon, aseguran que se enteraron de la filtración por un mensaje privado en Twitter: "Puede haber sido cualquiera, el servidor del Sindicato de los Mossos llevaba años siendo vulnerable".
Efectivamente no es la primera vez que se filtran datos de los Mossos, sacadas de las máquinas inseguras del sindicato y difundidas por personas vinculadas a Anonymous, pero nunca en tal cantidad ni con datos tan personales como en esta ocasión.
Uno de los tuits, se hacía referencia a otra cuenta, @gammagroupPR también conocido como Hack Back! El tuit, ahora retirado, decía así: "Atención mañana a la explicación de esta refundación a @gammagrouppr:
No hay justicia en obedecer leyes injustas - Aaron Swartz
Este jueves por la mañana, la cuenta de Twitter @gammagroupPR ha publicado unos enlaces relacionados con el ataque informático a los Mossos, que terminó con la filtración de los datos de más de 5.000 agentes desde la web del Sindicato de Mossos de escuadra (SME).
Entre otros, había un vídeo, publicado en YouTube, que muestra todo el proceso hecho para acceder y robar los datos. Ayer, Mercè Molist, periodista especializada en ciberseguridad, ya apuntó la relación entre la cuenta @gammagroupPR y el posible autor del ataque.
En el vídeo subio de nuevo a Youtube por el medio catalán NacioDigital (ahora sin música por temas de copyright) se han recortado las escenas o imágenes que incluyen datos sensibles o personales:
En el video se puede apreciar como la cuenta del usuario utlizado en Kali Linux es chemaalosono y el nombre del host elladodelmal. Lógicamente Chema Alonso no ha sido el autor del vídeo.
El atacante accede la dirección de un campus virtual alojado en la web del sindicato (con IP 46.28.110.136). Una vez allí, se registra en el campus virtual utilizando una dirección de correo electrónico temporal y utiliza la plataforma de los cursos (Campus) para buscar alguna página donde pueda haber vulnerabilidades del tipo SQL Injection usando OWASP Zap (Zed Attack Proxy) en el parámetro ID de los cursos.
query("select * from cursos where id=".$_POST['id']);El parámetro ID se recoge directamente del formulario, sin filtrar, ni limpiar la variable....
En una de las páginas, el atacante detecta un patrón que se podría utilizar para atacar la web y utiliza la herramienta sqlmap para obtener más información del servidor. Se puede comprobar como usan
- Apache con PHP 5.4.45
Después de buscar un usuario con permiso para acceder a la subida de archivos, encuentra que las contraseñas los usuarios están cifradas con md5(sha1) es demasiado simple una contraseña de 4 caracteres (1094) y puede ser crackeada por fuerza bruta usando un diccionario en cuestión de minutos. Con esto y el DNI, también visible para el atacante, ya puede acceder como administrador del campus.
Una vez subida la web shell Weevely
En este momento, con acceso a los datos de los usuarios inscritos, cuelga un archivo como información de uno de los cursos, pero que en realidad se trata de un código que le permite ejecutar comandos en el servidor a distancia. Esto le sirve para varios objetivos: primero se descarga la base de datos entera de la web y, además, inyecta código en las páginas para capturar los nombre de usuario y contraseña en texto plano que envían los usuarios que pueden acceder, en vez de crackearlos por fuerza bruta.
Después de esperar que haya usuarios que lo utilicen, ya tiene suficientes datos y descubre que la contraseña que utiliza el administrador de la web es la misma que la de la cuenta de Twitter.
Finalmente, comprime todos los archivos de datos que se ha guardado y ubica la descarga en un directorio del servidor accesible desde Internet para bajárselo.
In Spain, freedom of speech doesn't exist, at least when it comes to criticizing the police.
El que comparte lo que aprende, es peligroso
Fuentes y referencias:
https://twitter.com/mercemolist
http://www.naciodigital.cat/noticia/108729/qui/atacat/mossos/esquadra
http://www.naciodigital.cat/noticia/108764/aixi/es/va/fer/atac/informatic/mossos/esquadra
http://www.economiadigital.es/es/notices/2016/05/el-hackeo-al-sindicato-de-mossos-filtra-los-datos-de-miles-de-agentes-83874.php
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
catalunya
,
datos
,
datos personales
,
españa
,
filtración
,
hackeo
,
mossos
,
phineas fisher
,
policia
2 comentarios :
Es tindria que formar els mossos en materia de sentit comu i humanitats. Ja que solen ser gent amb poca perspectiva en estés materies, solen ser gent problemática i amb un perfil molt moldejable per actuar i no preguntarse si esta be el que fan o no... No esta be que els que posin ordre' siguin gent curta de mires..faria falta que fosin gent mes culta,no monjes
Es tindria que formar els mossos en materia de sentit comu i humanitats. Ja que solen ser gent amb poca perspectiva en estés materies, solen ser gent problemática i amb un perfil molt moldejable per actuar i no preguntarse si esta be el que fan o no... No esta be que els que posin ordre' siguin gent curta de mires..faria falta que fosin gent mes culta,no monjes
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.