Hackean a Televisa y Esmas
Una vez más una Empresa Hackeada
Esta tarde, 27 de diciembre de 2011 alrededor de las 3:30 p.m., un grupo de Hackers denominado Safety Last Gruop & ISLAM-47, hackeo los servidores de Televisa y Esmas; comprometiendo los servicios de esta empresa.
Lo mismo le sucedió a TV Azteca, pero esta vez, el sitio de Televisa y Esmas no se ha restablecido al 100%, ya que hay secciones que aun no están funcionando.
El mensaje que apareció tras el ataque textualmente dice:
” Nosotros buscamos detras del conocimiento … y ustedes nos llaman criminales. Nosotros existimos sin color, sin nacionalidad, sin prejuicios religiosos … y ustedes nos llaman criminales. Ustedes construyeron bombas atómicas, ustedes hicieron la guerra, ustedes asesinaron, engañaron y nos mintieron y trataron de hacernos creer que era por nuestro bien, ahora nosotros somos los criminales. Si, somos entonces criminales. nuestro crimen es la curiosidad. nuestro crimen es el juzgar a las personas por lo que dicen y piensan, no por lo que aparentan. The Mentor
Para anonymous:
Hay muchas Formas de protestas incluso vimos el comunicado en el cual nos muestran su respeto y como dicen ustedes su “humilde admiracion”, pero definitivamente esta la equivocada cuando nos enteramos que la diferencia entre el nivel intelectual por la labor que practicamos a grandes rasgos se nota en los medios de los cuales no estamos de acuerdo con que se visualice o interprete, la manera en la que un grupo busca la fama a costillas de los que verdaderamente se entregan a una cultura y ven las cosas de otra forma. Si nosotros Safety Last Group e ISLAM-47 estamos mirando como se dan el credito ustedes que no realizan ningun esfuerzo y se hacen llamar ANONYMOUS donde esto que es nada para nosotros y creo que para nadie o es que acaso un admin admin tiene un nivel de complejidad alto? o quizas imaginamos que para ustedes buscar ese admin tiene una complejidad de C^n(E x C)= F x I / S x 1.2^i
ustedes estan siempre esperando para buscar un significado real que no se merecen. esperando que otros hackeen y ustedes hacer un Redefacement en menos de 5 dias buscando una fama idiota a la cual llaman operacion colombia ustedes mismos se encargan de cada vez demostrar mas que son una partida de niñatos lamericos y citando su mismo comunicado les diremos:
ustedes no son y nunca seran nada para nosotros siempre estaran detras de las armas de esta cultura desconocida, de las verdaderas armas del mundo subterráneo que subyace en las entrañas de la Red, las cuales nos cubren de gloria…
nuestra gloria es el conocimiento no buscamos fama o acaso la fama en el anonimato sirve para algo. somos safety last group e islam-47 en su orden les desean que allah los guarde y su Dios los bendiga
Respice post te! Hominem te esse memento! “¡Mira tras de ti! Recuerda que eres un hombre” y no un dios.
El principio organizador de cualquier sociedad, se basan en la guerra. La autoridad del estado, por encima del pueblo, se apoya en los poderes bélicos, los políticos son los que han plantado toda esta mierda. Dicen que esta guerra es un cielo de nubes negras, pero ellos provocan la tormenta y luego se quedan bajo la lluvia gritando ‘mierda… está lloviendo’…
Somos Safety Last Group, nuestros nombres no importan, no queremos fama, se nos conoce por nuestros actos… O a caso de que sirve la fama bajo el anonimato… Safey Last Group e Islam-47 EN SU ORDEN les desean que allah los guarde y su Dios los bendiga”
y la imagen es esta:
Esto es solo un ejemplo de lo que grupos con grandes conocimientos en las áreas de seguridad, programación, TCP/IP, Protocolos de Comunicación y diversas herramientas, puede efectuar ataques contra empresas como esta vez le sucedió a Televisa.
Es por ello que las áreas de sistemas y de seguridad de toda empresa, debe estar consciente y al pendiente, de cada movimiento en la red de sus empresas, tanto en las redes internas como en las externas.
Aquí mi análisis:
Pensando positivamente, que toda la infraestructura de seguridad está bien configurada, los únicos puntos de acceso a una red interna, son los usuarios o terminales dentro de la misma red.
La forma de acceso remoto a una red interna es por vía de un usuario con acceso a Internet y que utiliza redes sociales o mensajería instantánea externa, puede comprometer la red interna al exponer su conexión a spyware o malware.
Ya que esto abre una puerta de acceso a los atacantes de forma directa a la red interna y le permite tener acceso a los servicios de la empresa, y si este usuario tiene acceso a algún servidor, este se verá comprometido.
Esto puedo haber sido el problema en Televisa.
Revisando el Código de la página que colocaron, encontré que el Favicon de Televisa se encuentra en otro servidor comprometido como es http://www.acofartes.org.co/favicon1.ico Acofartes es una Asociación Colombiana la cual ya está comprometida (Ha sido hackeada), el favicon es la imagen que aparece en la barra de direcciones del navegador junto a la dirección de la página.
El fondo de la página lo extrajeron de http://www.ashiyane.ir/images/tilesash.jpg, un sitio persa de Seguridad, el cual también está comprometido o hackeado
.
La imagen animada del fondo, la colocaron en http://i868.photobucket.com/albums/ab246/arvaent/9491f83a0a.gif el cual es un servidor protegido sin una página web de frontend, solo el comercial de almacenamiento de fotos, el cual está comprometido también, creando un subdominio dentro del servidor.
La foto de Televisa y TV Azteca la colocaron en http://www.everyoneweb.es/WA/DataFilesnocreastodoloqueosdigan/televisa.jpg el cual es un sitio para la creación de sitios web gratuito.
La foto al final con las píldoras de The Matrix las colocaron en http://4.bp.blogspot.com/-e8tu3zohXcY/Tm9vgpy5XTI/AAAAAAAAAN0/i1PYlyrYafg/s1600/Matrix_pills_by_YPT_Love_Me_Dead.jpg este sitio, también comprometido como todos los anteriores, es de un blog de Blogspot; que como es gratuito, cualquier persona mal intencionada puede hacer mal uso del mismo.
La música de fondo que se escucha, varía entre dos seleccionadas por los atacantes, la primera
de Final Fantasy 8 y
de música islámica de Allah
Este tipo de ataques no se da de un momento a otro, se lleva su tiempo y pudo haberse estado gestando desde el mismo tiempo que el de TV Azteca, la diferencia es la paciencia de encontrar la brecha de seguridad perfecta para poder atacar, desde ingeniería social e investigación hasta ataques directos y encontrar alguna vulnerabilidad, que en la mayoría de los casos es por una brecha de seguridad humana.
Que es lo que se debe realizar cuando se han presentado este tipo de ataques:
- Recuperar el servicio y evaluar el daño o afectación; ó en caso de llevarse más tiempo, implementar el DRP (Plan de Recuperación en caso de desastres).
- Cambiar todas las contraseñas de servidores, servicios, bases de datos, etc. (TODO)
- Revisar bitácoras y log’s para encontrar que y cuantos servidores se vieron afectados.
- Realizar un análisis forense para identificar a los atacantes y/o cómplices en caso de que esto fuera.
- Revisar las políticas de firewalls, IDS, IDP, appliances de filtrado de contenido y redefinir nuevas políticas en ellos.
- Si fue por causas de una brecha humana, implementar nuevas medidas en los accesos a Internet; en mi caso opinaría, por dar solo acceso a los que realmente lo requieren y con sus políticas de filtrado y bloqueos pertinentes por niveles y categorías.
- Implementar cifrados en las bases de datos y file servers.
- En caso de no existir, implementar una normatividad de Seguridad de la Información creada por los dueños de la Información y usuarios.
- Si no existe, crear un área de Seguridad Informática que no dependa de Sistemas, si no de la Dirección General, ya que no se puede ser Juez y Parte.
Esta es mi opinión a lo sucedido a Televisa, no quisiera estar en los zapatos de los responsables ya que fue un ataque con una sola finalidad, mostrar quienes son los verdaderos Hackers y de otra forma exponen a los responsables de las áreas de sistemas y seguridad en sus habilidades y conocimientos en la materia.
Quedo a sus órdenes y me gustaría tener su comentario al respecto.
Reciban un cordial Saludo.
Victor Miranda
Victor Miranda
Professional Ethical Hacker, Pentester & Forensics Investigator MPCS, CEH v8, CSSP, CICP-CICAP HTCIA Member & ISECOM Member Twitter: @victormirandamx