lunes, mayo 18, 2015

Aprender seguridad informática hackeando el instituto

Tengo dieciséis años y soy estudiante en un centro de secundaria desde hace cinco años. Durante este tiempo, me he dado cuenta de que existe una cantidad grandísima de problemas relacionados con la seguridad informática en los institutos y que no se les presta la atención que merece, sobre todo en un organismo que que maneja tantísima información en el día a día. Para concienciar al profesorado de estos problemas creé la aplicación "#HackeaTuCole" de la que os vengo a hablar aquí.

Figura 1: Aprender seguridad informática hackeando el instituto

Realmente cree esta aplicación como una demostración sencilla y fácil para demostrar que cualquiera con un smartphone podría intentar cambiarse sus notas en su boletín a final de curso si el centro no tomase las medidas adecuadas. Sobre todo teniendo en cuenta que hay mucha gente con ganas de no estudiar para aprobar los exámenes del instituto.

Un ataque de Spear Phishing contra la plataforma Séneca

Lo que pretende realizar esta aplicación es un ataque de spear phishing - o suplantación de correo electrónico con phishing enviado a una víctima - de a la plataforma Séneca, que es la web que utiliza el profesorado andaluz para pasar lista en clase y poner las notas a final de trimestre.

Figura 2: App para hacer el spear phishing de Séneca

Para realizar el ataque debemos instalar y ejecutar la aplicación en el teléfono. Una vez abierta nos mostrará un campo de texto en el que debemos introducir la dirección de email de nuestra víctima. Tras pulsar el botón Enviar, un servidor PHP se encargará de redactar y enviar el correo a su destinatario.

Figura 3: Sitio de phishing de la plataforma Séneca.
Como es una prueba de concienciación avisa de ello.

La persona que recibe el email se encontrará con un mensaje que le pedirá que inicie sesión en Séneca debido a “unos movimientos desconocidos en sus servidores”, para ello en el correo se muestra un enlace que le redirige a una web casi idéntica. Cuando el usuario introduzca sus credenciales, la web se encargará de enviarlas a una base de datos MySQL.

Si todo va bien, nuestra víctima será redirigida a una web en el que se muestra un mensaje de error que dice que ha habido un “error durante la conexión”. La víctima pulsará el botón de reintentar y le redireccionará a la página verdadera dónde el usuario accederá a su cuenta sin darse cuenta del engaño.

Figura 4: Cuando el usuario pone sus datos, la web le redirige a la oficial

El ataque se podría dar casi por completo, ahora solo nos faltaría consultar la base de datos donde se encuentra la contraseña que nos llevará al "camino del éxito". Para ello abrimos de nuevo nuestra aplicación y pulsamos en el botón de abajo. Ahora si todo ha salido bien, nos debería de aparecer una tabla con el usuario y la contraseña. Contando con que nuestro profesor no se haya equivocado al escribir la contraseña, podremos acceder a la plataforma.

Figura 4: Las credenciales recogidas con al ataque de spear phishing

Qué fácil parece, sin embargo ahora es cuando se nos presentan los problemas. Afortunadamente Séneca cuenta con tres importantes medidas de seguridad que complican muchísimo cambiar la nota, aunque aún así podrían mejorar

Medidas de seguridad para evitar estos ataques en Séneca

La primera medida de seguridad de Séneca es que esta plataforma obliga a todo el profesorado a cambiar de contraseña cada cierto tiempo, por lo tanto descartamos la opción de tener una contraseña para poder usarla cuando nos plazca a lo largo del año. La segunda es que los profesores se reúnen el día de las evaluaciones cada trimestre para introducir las notas de los alumnos en la plataforma, y desde el momento en el que se suben quedan casi inamovibles. Son casi inamovibles ya que se pueden cambiar pero aquí es donde se encuentra el tercer problema, solo una persona es capaz de modificar las notas del alumno y es el director del centro, por lo que si realmente queremos aprobar esa asignatura que nos tiene en vela por las noches, debemos lanzar el ataque hacia el señor director.

Figura 5: Una simulación de La plataforma Séneca integrada con Latch

Al final cambiar las notas con un ataque de spear phishing en Séneca no es tan fácil como pudiera parecer, pero no es imposible del todo ya que podríamos buscar la ventana temporal adecuada o robarle la cuenta al director. Además, contar con las credenciales de un profesor puede ser un problema para la privacidad de todos, ya que con la contraseña de un profesor se pueden acceder a muchos datos. Sería más que necesario que para proteger esta cuenta el profesor contara con algún mecanismo de segundo factor de autenticación, como Latch, Google Authenticator o por medio de un SMS que le llegase a su número teléfono móvil.

Un saludo a todos y os invito a seguir estudiando,
(que aunque no sea fácil cambiar las notas, yo aprendí mucho con este proceso)

Autor: José Baena

20 comentarios:

  1. Mi colegio es concertado y no usan esa plataforma, las notas las ponen ellos mismos en el colegio, la clave de la WiFi la tenemos los alumnos, mas de una vez me ha dado por llevar me un móvil al colegio y capturar la pass okNo el problema es que la plataforma cifra por https y necesitaria un portátil para evadir el HSTS.

    Gran post un saludo!

    ResponderEliminar
  2. Yo también soy un estudiante de secundaria interesado por la seguridad informática y hace un par de meses también advertí a un profesor de la falta de seguridad que contemplaba ya no solo la plataforma escolar (no es "Seneca" pero conlleva el mismo procedimiento para hacer un ataque de robo de identificaciones), sino también la falta de seguridad en la red Wi-Fi del colegio, desde la cual, después de hacer un buen escaneo vi la forma de acceder a los ordenadores de los profesores y a todos los archivos que poseían, entre los más apetitivos los exámenes antes de que nos lo pusieran. Sinceramente, y aunque algunos me llamen tonto soy de las personas que prefieren suspender a hacer trampas y advertí de todos estos fallos y la forma de solucionarlos. ¿Que pasó? Meses después no se han preocupado de mejorar la seguridad y se sigue pudiendo acceder sin ninguna resistencia, espero que no sean tan burros y se preocupen más porque llegará el día de que alguien no tengas las mismas buenas intenciones y se dedique a aprovecharse del fallo.

    ResponderEliminar
  3. yo hace cosa de 2 semanas consegui acceder a la cuenta de mi profesor jeje, lo gracioso es que se hablabla con alumnas jejejeje. seria chevere publicarlo no??

    ResponderEliminar
  4. Sos groso pinche wey nomas. Es la entrada que nesesitaba para continuar con mi lucha contra el colegio, les hakeare a todos!!! Se ve pro el level de este post

    Nos vemos capo

    ResponderEliminar
  5. @anonimo, no creo que no se vayan preocupado, si no que normalmente un profesor le cuentas esto y no le da importancia ya que no lo entiende.

    ResponderEliminar
  6. En mi caso, recuerdo cuando estudiaba el grado medio de informática. Uno de los alumnos le comentó a la profesora que no tenía los contenidos visibles en la plataforma que utilizamos (Moodle), por lo que esta señora, en vez de encender su ordenador se dirijió al del alumno e intentó iniciar sesión desde el PC. Tan mala suerte que escribió nombre de usuario y contraseña en el campo de usuario, quedando visible. Se excusó diciendo: ui este usuario no es. Pero claro, luego probamos nombre y contraseña (no era nada más que el nombre de su hijo) y durante meses accedimos mediante proxy a la cuenta. Podíamos ver exámenes de varias asignaturas, trabajos de años anteriores, etc.
    Lo peor: esa profesora era la encargada de impartir la asignatura de "Seguridad informática" u_u'

    ResponderEliminar
  7. Tengo el doble de tu edad, jaja, pero cuando era chicho también era curioso.
    Googlee el sitio de tu colegio. A simple vista parece tener un sqlinjection.
    Si fuera vos pasaría la siguiente url: http://www.juntadeandalucia.es/averroes/~11700755/index.php?option=com_docman&task=doc_details&gid=abs(21)&Itemid=127 por el sqlmap.

    ResponderEliminar
  8. Pero por lo que veo, no es un problema específico de la plataforma Séneca, es simplemente un poco de ingeniería social... si consigues que alguien te de el usuario y la calve, el problema no es la seguridad del programa, es la preparación, en este caso, de los profesores. Es, como casi siempre, el factor humano el eslabón más debil de la cadena.

    En el ayuntamiento de mi pueblo, hice una consulta y la oficinista que se encontraba en la ventanilla ese día, tenía el monitor excesivamente girado, con lo que pude ver el nombre de usuario y a la hora de teclear la clave, tampoco me costó mucho ver como marcaba 4 simples numero en el teclado. La wifi del ayuntamiento, está protegida, pero tiene WPS y se tarda menos de 1 minuto en obtener la clave. Cual es el problema más gordo de seguridad? La moza que teclea el usuario y password delante de un desconocido y le da absolutamente igual.

    ResponderEliminar
  9. Aqui todo el mundo sabe de seguridad y ha sido en algun momento lamer o script kiddie.

    ResponderEliminar
  10. Es un simple phising, no veo nada nue o

    ResponderEliminar
  11. Todos hakers y se acabo el mundo xddd

    ResponderEliminar
  12. Chema: publicando estas entradas luego no te quejes de que te llegan peticiones para cambiar notas.

    ResponderEliminar
  13. Este artículo me parece una barbaridad.

    Yo soy profesor de un instituto y me encargo de la informática. con 400 ordenadores, mil alumnos, 100 profes, diferentes sistemas operativos, decenas de aplicaciones y tres duros de presupuesto tenemos unas horas disponibles a la semana para hacernos cargo de todo (no llega ni a una media jornada). Por supuesto, no hay un duro para nada, estamos en precario.

    Os aseguro que no hace falta que me rompan cosas en el centro para saber que la seguridad es importante. ¡Ojalá tuviese más recursos para dedicarle!

    Por otro lado, y esto también es muy importante, está animando a chavales a realizar acciones que, además de perjudiciales para el buen funcionamiento del centro, son constitutivas de delito.

    Comprendo que el autor es un chico joven de 16 años y no creo que tenga mala intención, pero debe reflexionar sobre lo que está proponiendo.

    Quiero dejar claro que, si un alumno cacharreando detecta que tengo un fallo de seguridad, le doy mil gracias. Pero no me parece aceptable que perjudique gravemente el trabajo de los profesores y las clases de sus compañeros para "concienciarnos" de ello.

    ResponderEliminar
  14. Esto que comentas aquí NO es un problema de seguridad de la plataforma Séneca como intentas hacer ver en tu artículo, esto es un procedimiento de fraude contra una persona concreta (el profesor al que logres hacer que pique en la trampa), ya que lo que haces es enviar un correo a una persona, con un enlace que se hace pasar por la plataforma Séneca. Esto es un delito, y te puedes meter en un lío muy serio si esto llega al conocimiento del departamento de delitos informáticos de la Guardia Civil. Porque por mucho que lo intentes enmascarar como que es una demostración, la realidad es que estás publicando una herramienta de fraude. Y te aseguro que esto está corriendo como la pólvora, porque una vez llegado a foros de educación ... llegará a alguien que directamente lo denuncie por vía legal.
    Suerte.

    ResponderEliminar
  15. @Anónimo, aquí tienes un vídeo en el que explico cómo se puede hacer esto con cuentas de Apple.

    Cómo hackear una cuenta de iCloud

    Por si quieres denunciar también esta demostración mía.

    Saludos!

    ResponderEliminar
  16. Avisar de algo con métodos instructivos no es llamar a los cybercriminales a actuar.
    Sino, prácticamente no habría videos en youtube que te enseñan cómo hacer jailbreak, como instalar un chip para piratear videoconsolas, cómo crackear programas, etc, etc, etc ...
    Al menos aquí se avisa del peligro que existe.
    Salu2

    ResponderEliminar
  17. No le veo nada nuevo, esto es un phishing clásico con redireccionamiento a la página principal, esto se puede hacer con cualquier herramienta hoy en día.

    Lo ideal hubiese sido plantear un ataque con Botnets y Javascript o con SSLStrip o con algo similar.

    La única entrada de este blog que no me ha gustado (y eso que me he leído todas eh?)

    ResponderEliminar
  18. Joder jaja acabo de escribir un post en mi blog hablando de hackear mi instituto y justo me encuentro esto. Buen post pero por desgracia en mi insti el phishing no cuela. Si alguno quiere leer mi post es este: http://thebega.net/blog/mis-proyectos/hackeando-el-instituto/

    ResponderEliminar
  19. Yo soy estudiante de informatica y desde hace tiempo me llamaba la seguridad, debido a la falta de contenidos sobre este tema y que me resultaba un poco dificil aprender sin tener a nadie que me enseñara y me resolviera las dudas, decidi por apuntarme a hacer un curso especifico en hacking y he de decir que es lo mejor que he hecho nunca.

    He aprendido un monton sobre la ciberseguridad, tanto que he podido analizar la red del centro donde estudio junto con un profesor y pudimos encontrar cantidad de agujeros y amenazas que el profesor se preocupo por contactar con el responsable de la red.

    Todo al que le guste el tema de la seguridad le recomiendo no solo que estudie y practique mucho sino tambien que siga este blog donde se aprenden un monton de cosas nuevas y mucho animo a todos.

    Por cierto si a alguien le interesa saber el curso que hice fue el de Hacking Etico de Cibersecurity.

    ResponderEliminar