El defacement de la web de Donald Trump y la "competi" por hacer grafitis en sitios web

Hacía mucho tiempo que no entraba a Zone-h a ver algunos Defacement de páginas web. Durante años visitaba todos los días para ver qué habían publicado nuevo, pero desde que comenzaron los ataques masivos a servidores DNS para hacer defacements con técnicas de redirect por miles, lo fui dejando de visitar poco a poco. Hoy la noticia ha sido el Defacement de la web del ex-presidente Donald Trump, y he entrado otra vez a primera hora de la mañana para ver "cómo iba la competi".

Figura 1: El defacement de la web de Donald Trump y

la "competi" por hacer grafitis en sitios web

Si has visto charlas mías antiguas, seguramente me habrás escuchado hablar de Zone-h y los defacement. El arte del "Defacement" consiste en modificar la apariencia de una web controlando lo que se pinta en un determinado dominio, en el caso de hoy, el dominio de la web personal del ex-presidente Donald Trump. 

Figura 2: Defacement a la web de Donald Trump

Esto se puede hacer de muchas formas, desde hackeando el servidor DNS y haciendo que apunte a otra servidor web controlado, hasta hackeando el servidor web y cambiando los archivos que sirve, modificando la base de datos de dónde se cargan los datos o, como se hizo en la web de la popular conferencia de seguridad informática, hackeando un servidor tercero desde el que se carga algo de contenido - es decir, un ataque a un proveedor -.

Figura 3: Lista de sitios recientes defaced relevantes en Zone-h

El defacement es un arte muy similar al grafiti, consiste en hacer una pintada en una web en forma de mensaje escrito, de diseño gráfico, de simple firma para saber que el artista ha sido capaz de firmar en la web, pero que podría haber hecho algo mucho más sibilino y sutil. Hay que tener en cuenta que, por ejemplo, si alguien hubiera visitado la web hackeada de "juantaextremadura.net" - reportada la semana pasada - podría haber sito atacado si el atacante hubiera querido poner algo malicioso para los visitantes. Pero a él le ha bastado con poner un archivo de texto con su firma.

Figura 4: Defacement de firma aún activo en juntaextremadura.net

Entrar a Zone-h siempre es darse cuenta de cómo funciona el mundo de Internet, de lo fácil que sigue siendo para los atacantes entrar en los servidores expuestos a la red de empresas y administraciones públicas. Por ejemplo, ese ejemplo que os acabo de poner de Junta de Extremadura, aún se encuentra sin ser detectado y reparado, a pesar de que esta dado de alto y publicado en la web más famosa de defacements.

Figura 5: Defacement de la Biliboteca Forestal del Gobierno de México

Por supuesto, siempre quedarán ya en el mirror - la copia que hace el sito Zone-h del defacement para que perdure después de que sea arreglado, así que es también una buena medida para conocer el nivel de protección o no que tiene una determinada organización, ya que se pueden buscar dominios, direcciones IP, defacements, etcétera.

Figura 6: Mirror de defacement Homepage en dominio .FR

Además siempre es curioso ver los defacement destacados, con especial interés con los que han sido en la Homepage, que vienen marcados con la H. Este es otro fresco, de un dominio en Francia que aún está "caliente" ya que es de ayer mismo. Supongo que hoy tendrán trabajo los equipos de CSIRT, el CISO, los pentesters, etcétera, para saber qué ha pasado, a qué ha afectado, cuánto hay que notificar a los clientes, cómo lo arreglamos, cómo hacemos que no vuelva a pasar.... es decir, hoy es día para que casi todos los roles de seguridad en esa organización trabajen un poco más nerviosos debido a la exposición pública... como los de la web de Donald Trump.

Figura 7: Defacement de Homepage aún "caliente" en domino .FR

Entra un rato a Zone-h, curiosea por allí a ver qué encuentras, que siempre hay cosas curiosas, por lo artístico de los defacers rusos, turcos y chinos, por las víctimas que te vas a encontrar, o por la cantidad de sitios que es capaz de hacerse un solo defacer o un grupo de ellos. Te va a dar una curiosa impresión de cómo es la seguridad del mundo de la web, para que navegues por sitios web al tuntún en tu día a día... Imagina que todos esos sitios hackeados en lugar de grafitis y firmas se dedicaran a distribuir ransomware... oh, wait!

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Revisa las amenazas de la red WiFi de tu casa en la tele con SmartWiFi en Movistar+

Todos los meses actualizamos todas nuestras plataformas, y periódicamente añadimos nuevas características en los productos en las que llevamos trabajando un tiempo. La última que hemos puesto en producción y en la que hemos estado trabajando mucho para llevar a toda la planta de clientes ha sido la de poner las amenazas de Conexión Segura en la Living App de SmartWiFi para que puedas saber qué esta pasando en la red de tu casa.

Figura 1: Revisa las amenazas de la red WiFi de tu casa en la tele con SmartWiFi en Movistar+

Está disponible para todos los clientes de Movistar + que tengan el desco UHD, el router SmartWiFi y puedan acceder a las Living Apps. Para ello, en la sección de Apps de tu televisión puedes entrar en la living App de SmartWiFi y revisar la configuración de seguridad de tu red.

Figura 2: Activación de Conexión Segura en Living App de SmartWiFi

Desde la Living App de SmartWiFi puedes activar Conexión Segura, una protección de red gratuita para todos los clientes de Movistar Fusion que puedes activar directamente desde tu televisión, como ya vimos tiempo atrás. 

Figura 3: WiFi protegida con Conexión Segura sin amenazas

Esta protección revisará las conexiones a Internet de todos los equipos, evitando que te conectes a sitios peligrosos de phishing, de distribución de malware, con kit de exploits, o utilizados para realizar estafas a personas, que nuestros equipos de seguridad se ocupan de detectar y bloquear.

Figura 4: Estadísticas de bloqueos de Conexión Segura

Una vez que tengas activada la protección, desde tu televisión podrás ir revisando el detalle de tus amenazas desde la Living App de SmartWiFi, y podrás saber si estás teniendo comportamientos de riesgo, qué tipos de amenazas han sido las que se han bloqueado, y tomes, por tanto, nota de cómo mejorar tu seguridad personal.

Figura 5: Lista detallada de sitios bloqueados 

Como puedes ver, es posible acceder a la lista detallada de sitios a los que tus dispositivos se han conectado y han sido bloqueados para que tengas toda la información de lo que está sucediendo en tu red. Tú tienes el control.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)