tag:blogger.com,1999:blog-5399811056563385935.post7921987903353453985..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Análisis de la gestión de contraseñas en la UCMYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger17125tag:blogger.com,1999:blog-5399811056563385935.post-74386771083437858572010-08-25T16:24:19.663+02:002010-08-25T16:24:19.663+02:00Para el Anónimo de la UGR:
Lo de la UGR es de chi...Para el Anónimo de la UGR:<br /><br />Lo de la UGR es de chiste, ahora se han preocupado despues de tanto tiempo. El sistema de token para la VPN y el wifi es algo ridiculo, que hace circulando el /etc/passwd (Si, parece que el admin el shadow no lo conoce...) de VELETA para autenticar a todos los users? UpS! Esto me recuerda a los tiempos de "/bin/joseping"deltonos77https://www.blogger.com/profile/13168454981109439370noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-23131324951513607122010-08-25T00:11:39.119+02:002010-08-25T00:11:39.119+02:00@rusty73 Estoy con ariel en la Rama de estudiantes...@rusty73 Estoy con ariel en la Rama de estudiantes del IEEE - UPM<br /><br />Con respecto a la asignación, comentaré algo en el artículo :)Luisnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-33171535377062541282010-08-24T22:37:04.719+02:002010-08-24T22:37:04.719+02:00@Luis ¿Nos conocemos? Te acabo de agregar al twitt...@Luis ¿Nos conocemos? Te acabo de agregar al twitter y veo que tienes a ariel de común XD.<br /><br />Espero que reportes el del sistema de asignacion de contraseñas que tenia la UPM hara como unos 5 años, que ni fuerza bruta ni nada, con un poco de busqueda la tenias.rusty73noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-38069617414794067362010-08-24T20:23:47.941+02:002010-08-24T20:23:47.941+02:00Gracias por la info, la verdad tambien pienso que ...Gracias por la info, la verdad tambien pienso que la seguridad en las universidades, y en los intis por los que he pasado son lamentables.<br /><br />Mi profesor de redes se fia del switch y dice que yo nunca jamas recibire un paquete de su PC, no sabe lo que es un MitM. En la red de mi instituto soy dios, controlo trafico de compañeros, profesores, secretaria, otros departamentos, incluso tengo localizados a los gorrones que usan la red del insti ... no hay subredes, ni filtros, ni firewall, ni un proxy, ni restriccion de nada. <br /><br />Reportaré la situacion y les ayudare a aumentar la seguridad de mi instituto, pero ya cuando me valla con el titulo, por ahora me conviene mas seguir robando examenes imprimidos por una impresora en red.<br /><br />Les saluda un futuro White Hat.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-29729097353706759492010-08-24T16:23:52.190+02:002010-08-24T16:23:52.190+02:00@Luis:
Claro, la WIFI-UPM es abierta, la autentifi...@Luis:<br />Claro, la WIFI-UPM es abierta, la autentificación se hace a través de un portal cautivo, así que las tramas de datos no van cifradas y cualquiera (alumno de la upm o no) puede registrar el tráfico. <br />Por lo que veo hay más alumnos de la upm que se dedican a experimentar en materia de seguridad utilizando la uni como experimento, yo descubrí muchas cosas pero nunca se me ocurriría aprovecharlas con fines ilícitos, pero lo mismo otros sí lo han hecho y han aprobado algunas asignaturas sin tener ni idea de éstas. Vectores de ataque fáciles de llevar a cabo para esto último los había (ahora ya no se que cambios habrán introducido).<br /><br />Te mando mi correo por twitter entonces! Un saludo y felicidades por el artículo, estaré atento a los siguientes!.Mikeolliehttps://www.blogger.com/profile/02505522433901476749noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-86040597813604773952010-08-24T15:05:01.068+02:002010-08-24T15:05:01.068+02:00@Mikeollie
Muy interesante todo lo que comentas! C...@Mikeollie<br />Muy interesante todo lo que comentas! Con respecto a las redes, actualmente ya están separadas.<br />Hace meses reporté como obtener acceso a las pantallas publicitarias y modificar su contenido (estuve a punto de poner los partidos de España del mundia pero sabrían quién era el responsable xD). Si quieres mandame por twitter tu correo y te comento.<br />Con respecto a la WIFI de la biblioteca, es un problema de toda la UPM, y es por culpa de la implementacion de WIFI-UPM (efectivamente, no hace falta ni estar autenticado). Por ejemplo en ETSIT-WLAN no se puede llevar a cabo la monitorización.Luisnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-54727005644271558382010-08-24T14:02:35.588+02:002010-08-24T14:02:35.588+02:00Felicidades por el artículo, ya iba siendo hora qu...Felicidades por el artículo, ya iba siendo hora que alguien se pronunciase sobre la seguridad en las universidades.<br /><br />@Luis:<br />Yo también estudié en la upm, y reporté hace cosa de un año y medio la facilidad con la que podían obtenerse las cuentas de los alumnos en el cdc, con lo cual tenías acceso a las prácticas y demás material que guardábamos los alumnos en dichas cuentas. <br />Toda los ordenadores de la red de la upm estaban en la misma red ip,, y tenías acceso desde un ordenador (además saqué la pass de la cuenta de administrador de los pc del cdc de manera muy sencilla), y podías hacer sniffing saltando los switch por arp spoofing de todo, ordenadores de los profesores en cada departamento, impresoras, ordenadores de las aulas, ordenadores de las garitas, de secretaría... con todo el peligro que eso entrañaba, por ej muchos profesores conectaban con los pc de clase a sus ordenadores en los despachos a través del escritorio remoto, con lo cuál se me ocurre que acceder a estos últimos no era una tárea muy difícil.<br /><br />Desde que reporté todo esto cambiaron algunas cosas, y separaron algunas redes en el nivel 3.<br /><br />No investigué mucho, al final me propuse investigar las pantallas publicitarias digitales que habían instalado por todas partes conectadas a través de la wifi a la que tenemos acceso todos los alumnos, a ver si podía de alguna manera meter imágenes y publicarlo en mi blog, pero ahora estoy con el curro y no tengo tiempo de nada.<br /><br />Ah, y en la biblioteca nueva que siempre está llena se puede hacer un sniffing pasivo en la wifi y sacar todo aquello que no va bajo protocolos que cifran lo transportado como son cookies de sesión del tuenti, de facebook, contraseñas que van bajo autentificación http, conversaciones del msn... Yo nunca me conectó allí por si las moscas las verdad.<br />Un saludoMikeolliehttps://www.blogger.com/profile/02505522433901476749noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-43534395325746888252010-08-24T13:44:14.757+02:002010-08-24T13:44:14.757+02:00@Anonimo (post anterior)
El proximo articulo, que ...@Anonimo (post anterior)<br />El proximo articulo, que se basa en el sistema de la UPM, tratará sobre fuerza bruta (recomiendo no hacer pruebas pues fué reportado y, a pesar de que no esté solucionado, está monitorizado para evitar ataques).Luisnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-78233204320304280852010-08-24T13:30:34.636+02:002010-08-24T13:30:34.636+02:00Interesante, en la UAM tampoco se preocupan demasi...Interesante, en la UAM tampoco se preocupan demasiado por la seguridad, al menos se puede atacar a fuerza Bruta el webmail, y la contraseña que dan por defecto tiene sólo 4 caracteres.<br /><br />./FacepalmAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-49937114418720693312010-08-24T12:56:38.079+02:002010-08-24T12:56:38.079+02:00La falta de seguridad en las Universidades no es n...La falta de seguridad en las Universidades no es nuevo, por ejemplo en la UGR(Universidad de Granada) es igual o más fácil sacar el pass de cualquier usuario que no lo haya modificado. La única traba es conocer el pass original de cualquiera y su fecha de nacimiento. Digamos por ejemplo pass:1500 y fecha de nacimiento: 20 de Febrero. Para sacar el pass de algun nuevo usuario tan solo hay que:<br />introducir su dni y calcular el nuevo pass calculado de la siguiente forma, si el usuario ha nacido el 10 de Marzo.<br />el nuevo pass será = 1500+(dias diferencia)=1500+(10 dias marzo)+(8 dias febrero)=1518<br /><br />Los dni de los nuevos alumnos están públicados al alcanze de todo el mundo en los tablones de anuncios de la UGR y la fecha de nacimiento es un dato que se puede encontrar fácilmente, siendo de esta forma muy sencillo acceder al acceso identificado...desde donde se puede cambiar la propia clave del correo electrónico... y asi etc etc...vaya todo un desastre.<br /> <br />Como en el articulo, no me hago responsable del uso que se haga de ésta información, la intención del comentario es concienciar a los usuarios y a las universidades.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-85885809904842806412010-08-24T12:50:19.842+02:002010-08-24T12:50:19.842+02:00Y que hay de la accesbilidad?¿No está reñida con l...Y que hay de la accesbilidad?¿No está reñida con los captcha?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-18975614508302583062010-08-24T11:56:33.005+02:002010-08-24T11:56:33.005+02:00La UCM ya se ha puesto en contacto conmigo y me ha...La UCM ya se ha puesto en contacto conmigo y me han comunicado que ya están trabajando en ello.<br /><br />Por cierto, con respecto al apartado del código de activación, son 10^3 combinaciones, no 103.Luisnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-57464926443997584472010-08-24T10:49:17.571+02:002010-08-24T10:49:17.571+02:00El tema de la pregunta secreta viene de lejos... R...El tema de la pregunta secreta viene de lejos... Recuerdo hace años, cuando Hotmail aún no pertenecía a Microsoft, era irrisorio. Por ejemplo:<br /><br />Pregunta: color favorito?<br /><br />Como no había límite de reintentos no tenías nada mas que probar colores.<br /><br />XDDcaicnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-21408987401963825272010-08-24T10:32:31.728+02:002010-08-24T10:32:31.728+02:00@Adrian
Efectivamente, la mayoría de las universid...@Adrian<br />Efectivamente, la mayoría de las universidades son vulnerables.<br /><br />Los próximos artículos serán sobre la UPM (universidad en la que estudio), el primero como acceso a una cuenta (alumno/personal) el cual fue reportado hace 2 meses y ¡aun no está arreglado!<br /><br />@Anonimo<br />Es cierto que es más comodo que sea a través de un servicio online bien implementado, como captchas, bloqueos preventivos por número de peticiones, etc, pero, ¿cuántas veces se usan éste tipo de servicios? La mayoría de las veces nada o un par de veces a lo largo de la vida universitaria. Por eso, es más recomendable hacerlo en la secretaría de tu centro, eso sí, ¡que te pidan el DNI! :)Luisnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-3016803564301140152010-08-24T10:11:17.760+02:002010-08-24T10:11:17.760+02:00Interesante articulo, pero el problema (uno de ell...Interesante articulo, pero el problema (uno de ellos) es la implementacion como bien has dicho. Quiero decir, el hecho de que tengas que ir a secretaria no te hace "invulnerable". En un master de una "uni" publica te hacian ir y luego no te pedian el DNI. No estoy de acuerdo en que el proceso deberia ser off-line. Lo unico, el proceso deberia estar correctamente implementado. Un saludo, Ricardo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-60575070623553929612010-08-24T09:52:19.133+02:002010-08-24T09:52:19.133+02:00Jeje, si esto fuera lo peor que la pasa a la segur...Jeje, si esto fuera lo peor que la pasa a la seguridad de la UCM... <br />Comprometer todo el tráfico de la red te lleva lo que tardas en tomarte una caña. Lo peor es que les da lo mismo, puedes hablar con ellos y te dan respuestas como "no se puede arreglar"... <br /><br />En cualquier caso, seguro que la mayoría de las universidades están igual o parecido.Adriánhttps://www.blogger.com/profile/05930185256221295755noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-46652340334722604262010-08-24T09:39:37.621+02:002010-08-24T09:39:37.621+02:00Lo mejor es que para la activación de la cuenta sí...Lo mejor es que para la activación de la cuenta sí se manda en la carta de admisión un código aleatorio. Pero claro, por si lo pierdes o no la recibes, puedes acceder con el código de estudios y el postal. Demasiado fácil.<br /><br />Un saludo!Pedro Luisnoreply@blogger.com