U.A.H.
Arriba Último Nro. Índice Nros. Anteriores Índices Históricos

ISSN: 1575-2844

Revista Vivat Academia

 Histórico Año III
linea.gif (922 bytes)

Julio - Agosto 2001. Nº 27

Contenido de la página dedicada a la Universidad de Alcalá y su entorno:

Acerca de la "Guerra de Comunicados" en relación con los SI de la UAH (El Aprendiz")
Carta al Director del "Diario de Alcalá" (Pedro Enrique Gómez)

En el número anterior de Vivat Academia publicamos un conjunto de comunicados a toda la comunidad universitaria, enviados por la Sección Sindical de CC.OO. y el equipo de gobierno de la UAH, en relación con la falta de seguridad de nuestros sistemas informáticos. Un Hacker aficionado se había introducido en el dominio ALCALA y había modificado, sin consecuencias, la página principal del portal de la Universidad, al parecer con el ánimo exclusivo de alertar sobre esas deficiencias de seguridad denunciadas.

Ya hace tiempo que Vivat Academia viene informando sobre los problemas del servicio, sin que se hayan tomado medidas. Incluso el Prof. D. Julio Gutiérrez solicitó un punto del orden del día en Junta de Gobierno (con comparecencia del Director de los S.I.), sin que se tomara ninguna resolución al respecto. No hubo comparecencia del director y el vicerrector de Infraestructuras intentó minimizar el asunto, asegurando que se debía a la ignorancia del proponente del punto (?).

Ahora "El Aprendiz nos envía la siguiente carta, a la que adjunta la página de entrada al portal que él mismo modificó, junto con una serie de correos electrónicos enviados por la citada Sección Sindical al Rectorado. Recomendamos su lectura porque la comunidad universitaria entera está afectada por el problema.

Acerca de la "Guerra de Comunicados" en relación con los Servicios Informáticos de la UAH

"El Aprendiz"

Me pongo en contacto con ustedes a raíz de la publicación de un artículo en su revista "Vivat Academia" Nº 26 (Junio 2001): "Guerra de comunicados en relacióna los Servicios Informáticos".

Desearía que el personal, alumnos y profesores de la Universidad de Alcalá estuvieran bien informados respecto de la seguridad de su entorno. Es un tema de gran importancia y, desgraciadamente, son muchos los afectados por una mala administración de la red informática.

Les agradezco que hayan publicado dichos comunicados con distintas versiones sobre el tema de la seguridad en la Universidad, sin embargo, creo que la comunidad universitaria no está informada completamente de la gravedad del asunto y de que el problema les afecta individualmente como personal, profesorado o alumnado en distinta medida.

Les adjunto un mensaje de correo del que no he modificado nada y sobre el que se pueden sacar algunas conclusiones. La contraseña que se especifica en dicho mensaje ya ha sido cambiada gracias a mi aviso, pero hay muchísimas más en el mismo caso.

Lo único que ha cambiado desde entonces ha sido la instalación de un firewall que nuevamente está mal configurado, por no cubrir los accesos que debería, y, por tanto, se sigue pudiendo tener acceso total a todas las máquinas MS Windows del dominio ALCALA.

Quiero dejar claro también que la persona con dirección mgila@latinmail.com no tiene nada que ver conmigo, ni lo conozco, ni hemos contactado nunca y corrobora lo que expresé públicamente. Creo que fui el primero en ponerlo de manifiesto (aunque no en denunciarlo) y, como imaginaba, no soy el único que conoce cómo entrar en los sistemas MS Windows de la Universidad de Alcalá, con lo cual la gravedad es mayor.

De: "Sección Sindical de CC.OO" <ssco@uah.es

Para: "Rector de la Universidad de Alcalá" <rector@uah.es; "Gerente de la Universidad de Alcala" <gerente@uah.es; "Director Servicios Informaticos" <director.si@uah.es

Asunto: Contestación de "El Aprendiz" al Comunicado de CC.OO.

Fecha: lunes, 28 de mayo de 2001 13:04

Esta Sección Sindical de CC.OO. ha recibido un correo electrónico del hacker denominado "El Aprendiz" en contestación al Comunicado que sobre la falta de seguridad de los servicios informáticos de nuestra Universidad, se envió el pasado 24 de mayo de 2001 (se reenvía el texto al final de este escrito).

Como se puede comprobar, en el citado correo electrónico se facilitan, no sólo los datos relativos a la cuenta de correo de esta Sección Sindical, sino incluso la contraseña.

Es evidente que hasta la fecha no parece que se hayan tomado medidas efectivas para salvaguardar la seguridad de los datos, así como de las comunicaciones informáticas, cuya responsabilidad les corresponde a ustedes.

Esta Sección Sindical de CC.OO., ante la gravedad de estos hechos, estudiará en profundidad las posibles medidas a adoptar frente a la dejadez de quienes son responsables de la seguridad de los servicios informáticos de nuestra Institución.

SECCIÓN SINDICAL DE CC.OO. DE LA UNIVERSIDAD DE ALCALÁ

-----Mensaje original-----

De: el_aprendiz@flashmail.com [mailto:el_aprendiz@flashmail.com]

Enviado el: sábado, 26 de mayo de 2001 23:45

Para: ssco@uah.es

Asunto: Acerca de su comunicado sobre SS.II.

Hola:

Me pongo en contacto con ustedes para aclarar ciertos aspectos de la modificación de la página inicial de la Universidad de Alcalá y realizar algún comentario sobre su comunicado.

Quiero dejar claro que no pretendo nada más que se arreglen los fallos de seguridad existentes en la red de la Universidad de Alcalá. No culpo a nadie ni pido responsabilidades de ninguna persona en lo referente a la administración de la red. No persigo la dimisión de nadie, ni tampoco desprestigiar ninguna institución. Únicamente pretendo que se arregle esta situación (que se puede) antes de que ocurra algo grave.

Respecto de la dimensión del problema, ya lo comenté en la página web modificada y puedo afirmar rotundamente que: toda información almacenada en cualquier máquina con sistema operativo Microsoft Windows que pertenezca al dominio ALCALA es susceptible de ser accedida, modificada y eliminada por cualquier persona.

Asimismo, cualquier proceso ejecutado desde dichas máquinas hacia otras es susceptible de ser interceptado y, además, se puede suplantar la identidad de cualquier máquina MS Windows del dominio ALCALA.

Sin duda alguna, son muchos los perjudicados: alumnos, profesores, personal administrativo, etc. Todos los que pertenecen al dominio ALCALA.

Como muestra, les comento qué se puede obtener sin ni siquiera tener cuenta alguna en la Universidad de Alcalá:

Nombre completo: Sección Sindical de CC.OO.

Login: ssco

Pertenencia a grupos: RAS y usuario del dominio ALCALA

Días que hace que se cambió la contraseña: 1048

Veces que se ha utilizado la cuenta: 0

Y lo peor, contraseña: nhs609

Como puede ver, el sistema es bastante vulnerable. Y no crean que se tarda mucho en obtener su contraseña: conociendo que son 3 letras minúsculas y 3 dígitos, el diccionario a emplear es bastante pequeño desgraciadamente.

No obstante, quiero que quede claro que no he utilizado su cuenta de usuario ni lo haré, pueden estar seguros.

Perdón por transmitir su contraseña en texto claro. Borren este mensaje para que nadie la pueda leer, aunque han podido comprobar que es bastante fácil obtenerla.

Hasta ahora no he recibido respuesta alguna de ningún responsable de Servicios Informáticos.

Todo sigue EXACTAMENTE IGUAL.

Para evitar que esto suceda, en mi humilde opinión y sirva como propuesta, se deberían tomar estas medidas a grandes rasgos:

1) Sustituir todos los sistemas operativos de Microsoft de todos los servidores y máquinas importantes del dominio ALCALA. Cualquier tipo de Unix es una buena opción y, si el presupuesto es un problema, la opción de cualquier GNU/Linux sería la más acertada ya que son de libre distribución, más estables y más seguros que los sistemas operativos de Microsoft. Sin duda alguna, todas las máquinas existentes serían más que suficientes ya que no consumen la excesiva cantidad de recursos que Microsoft Windows NT.

2) Si se sigue con el empecinamiento de mantener los sistemas operativos de Microsoft, estar al día en los múltiples parches de seguridad que se deben aplicar continuamente para estos sistemas operativos y establecer una configuración adecuada a la seguridad y no permitir acciones que vienen por defecto en estos sistemas operativos.

3) Aplicar una política de contraseñas con un planteamiento claro. Ocultar las máquinas importantes detrás de un cortafuegos. Establecer una política coherente de acceso y control a dichas máquinas e incluso impedir que se pueda acceder a ellas remotamente, ello implica configurar adecuadamente los puntos de acceso y los procesos encargados de mantener la seguridad. Para ello, basta con leer la ayuda que viene con los distintos Unix y los procesos encargados de ello se adquieren conjuntamente con el tipo de Unix elegido, cosa que no ocurre con Microsoft que, además, posee una exigua ayuda.

4) Por intentar tener control absoluto sobre todas las máquinas en una red tan amplia sin tener unas reglas preestablecidas claras, se ha invertido totalmente la situación: ahora cualquiera puede tener control sobre el total. Convendría distribuir el control en subcontroladores para cada área / edificio / facultad / departamento de manera jerárquica y tener un férreo control sobre dichos subcontroladores a los que se pueden delegar muchas funciones que no tendrían que realizar los encargados del nivel más alto y podrían dedicarse al control exclusivamente.

5) A medio plazo, sustituir la descontrolada asignación de IPs actual por una coherente con un poco más de previsión: la red privada existente de clase B es insuficiente y no sirve para nada si coexiste con direcciones públicas de manera bastante confusa y desordenada, debería asignarse un mayor control sobre los routers y cortar ahí el acceso desde fuera a las determinadas subredes internas, que deberían ser de otra clase para impedir el acceso y suplantación de identidad entre las subredes internas de la Universidad, que se pueden aislar perfectamente con los routers internos. Es decir, que se traspasaran las distintas subredes a través de los tramos ya existentes entre los routers internos mediante filtrado NAT hasta conseguir direccionamiento público en el acceso con RedIRIS.

También les remito la página modificada original.

Sin otro particular, un cordial saludo.

"El aprendiz".

 

¡¡¡ATENCIÓN: esta página no es la original!!!
La página inicial de la Universidad de Alcalá
ha sido modificada por la siguiente razón:

    Antes de todo, advertir que una copia de la página original se encuentra aquí:
http://www.uah.es/inicio_sin_modificar_por_el_aprendiz.asp

    La intención de este acto no es la de crear ningún perjuicio (se ha hecho copia de la página original y no se ha realizado ninguna modificación más), sino de advertir de algunos de los muchos fallos de seguridad de la red de la Universidad de Alcalá. Se trata de demostrar que la seguridad en la Universidad de Alcalá es vulnerable y notificar porqué y cómo solucionarlo.

    El principal problema es que la administración de la red es llevada a cabo desde máquinas con MS Windows NT 4.0 Server y MS Windows 2000 Server con prácticamente todas las configuraciones que vienen por defecto. Además, lo que es peor, la mayoría de las máquinas en las que se debería guardar la seguridad con más ímpetu si cabe, por la función que desempeñan, pertenecen al mismo dominio (ALCALA) con lo que si se consiguen privilegios para administrar el dominio, se puede acceder a los recursos de dichas máquinas: desde el humilde PC de un conserje hasta los ordenadores de vicerrectorados, pasando por secretarías, servidores de correo, servidores web, etc.

    Los sistemas operativos de Microsoft adolecen de importantes fallos de seguridad y se ha hecho uso extensivo de ellos en la mayoría de los sistemas importantes en detrimento de otros sistemas operativos muchísimo más seguros, estables y fiables. Además, los aspectos relacionados con la seguridad son pobremente configurados.

    Otra cuestión importante es que de los más de 31 mil usuarios registrados en el dominio, el 95% de sus passwords se pueden obtener por fuerza bruta en menos de 24 h. El hecho de que se emplee el método de establecer una contraseña de 6 caracteres (3 alfabéticos y 3 numéricos) para la mayoría de los usuarios es un gran fallo de seguridad. Además, el usuario y clave coinciden tanto para el dominio, como para el servicio de correo, servicio ftp, etc. lo que amplía las posibilidades del acceso por fuerza bruta. La mayoría de usuarios mantiene la contraseña que se le asigna principalmente porque no tienen conocimiento de la manera de cambiar su clave. Es más, dichas contraseñas deberían tener un periodo de caducidad y obligar a cambiarlas o deshabilitar el acceso pues muchas de estas cuentas llevan bastante tiempo sin utilizarse.

    Pero sin duda alguna, la gota que colma el vaso es incluir a los alumnos en el dominio ALCALA. Si resulta difícil administrar un dominio con tantos usuarios y máquinas, encima se añade a los alumnos para que tengan una cuenta de acceso al dominio.

    En general, los principales fallos en la administración, según mi criterio, se deben a lo siguiente (ordenado de mayor a menor importancia):

  1. Administrar la red con productos de Microsoft.
  2. Utilizar para casi todas las máquinas sistemas operativos de Microsoft, instalarlos con casi toda la configuración por defecto y no tapar las características más comunes causantes de fallos de seguridad (fáciles de encontrar en internet) en los sistemas NT importantes.
  3. Incluir en muchos de los sistemas Internet Information Server (IIS) de Microsoft y establecer por defecto acceso web y ftp a través de IIS.
  4. La política de contraseñas utilizada.
  5. Utilizar el mismo usuario y contraseña para el dominio, intranet, correo, ftp, etc.
  6. El escaso control de los sistemas importantes del dominio.
  7. La gestión de usuarios y máquinas centralizada en un gran dominio, multiplicándose los posibles puntos de acceso y complicando en extremo la auditoría y control de los componentes de dicho dominio.
  8. El escaso control de acceso a los recursos.

    Y otros fallos específicos (algunos muy graves) de determinadas máquinas (MS Windows 2000, por supuesto) que comprometen la seguridad de la red al encontrarse en el mismo dominio y que no expongo, por razones obvias, para que nadie pueda utilizarlos tan fácilmente, aunque sean bastante sencillos de encontrar.

    Esta universidad posee bastantes medios humanos y técnicos para asegurar una buena administración de sus sistemas; confío en que, a partir de ahora, se utilicen adecuadamente para no comprometer la seguridad de la red informática de la Universidad de Alcalá.

    Desgraciadamente, el tema de la seguridad informática no es tratado como debería en los programas de las asignaturas de esta universidad. La mejor forma de prevenir los errores en la seguridad de los sistemas informáticos se basa en una buena formación académica. Creo que se debería hacer hincapié en este tema en la docencia impartida a las ingenierías relacionadas con la informática.

    Quiero también aclarar los siguientes términos:

HACKER: persona con un conocimiento importante de sistemas operativos, redes, protocolos, lenguajes de programación, etc. y con dominio de la seguridad en redes. Conoce muchos de los agujeros de los sistemas operativos, y lo más importante, conoce el porqué de esos agujeros. Los hackers buscan fallos de seguridad en programas y los hacen públicos cuando los encuentran. Nunca dañan la información contenida en un ordenador intencionadamente, ni causan perjuicio alguno, sino que comunican los errores y fallos de seguridad. También ayudan a reparar errores en los programas que pueden afectar a la seguridad de un sistema.
CRACKER: esta palabra tiene dos acepciones: por un lado se denomina cracker a la persona que entra a un sistema con fines malvados (destruir datos, obtener información privilegiada, etc.); por otro lado, es la persona que desprotege programas y los modifica para obtener determinadas ventajas.
PIRATA INFORMÁTICO: persona dedicada a la copia y distribución de software ilegal, tanto software comercial crackeado, como shareware registrado, etc.
LAMER: persona que únicamente quiere acceso a algún sistema para su propio beneficio. Normalmente ejecuta algún programa que se aprovecha de algún fallo de seguridad sin saber porqué ni cómo lo hace. Son detestados entre los hackers.
NEWBIE: novato, aprendiz de hacker.

    Yo me considero en el nivel más ínfimo de un aprendiz de hacker. Precisamente en eso (en que soy un cualquiera) radica la gravedad del problema. Lo extraño es que nadie haya observado estas deficiencias de seguridad y haya obrado malintencionadamente. Si les aviso es precisamente para impedir que nadie pueda causar perjuicios.

    Las opiniones expuestas son apreciación personal sobre lo que se ha indagado, pero los hechos relatados son verídicos.

    Sirva este aviso (y no es otra mi intención) para que se corrijan estos problemas y por un mejor funcionamiento de la Universidad de Alcalá.
 
      Si desea realizar algún comentario,  déjelo en el_aprendiz@flashmail.com.

    Gracias por su atención.
  (C) "El aprendiz"
Página modificada por "El aprendiz" y que algunos usuarios pudieron contemplar estupefactos, al entrar una mañana en el portal de la UAH.

COMUNICADO DE LA SECCIÓN SINDICAL DE CC.OO. DE LA UNIVERSIDAD DE ALCALÁ EN RELACIÓN CON LA FALTA DE SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS DE NUESTRA INSTITUCIÓN

Recientemente se ha tenido conocimiento de la escasa seguridad que ofrecen los sistemas informáticos de la Universidad de Alcalá al haber irrumpido en la red informática de la misma una persona que ha llegado a modificar la página WEB de nuestra Institución, sustituyéndola por una nota en la que señalaba detalladamente los defectos y deficiencias de seguridad que presenta la administración de la red y las posibles soluciones. Estos hechos ha tenido eco incluso en el Semanario "Puerta de Madrid" (nº 1715 de 19 de mayo de 2001).

La Sección Sindical de CC.OO. de la Universidad de Alcalá, dada la gravedad de los hechos, considera imprescindible manifestar lo siguiente:

1. Es imprescindible dimensionar la gravedad de lo ocurrido en su justa medida, y esto nos lleva a cuestionar si los gestores de la Universidad de Alcalá han adoptado las medidas de seguridad necesarias para preservar la confidencialidad de todos los datos que manejan (actas y notas académicas, títulos, datos personales de alumnos y trabajadores, datos económicos de los mismos, etc.).

2. A pesar de que los hechos detallados anteriormente se han producido, según parece, entre los días 5 y 6 de mayo de 2001, no se ha tomado ninguna medida hasta el momento, y esta circunstancia se ha podido constatar tras haber vuelto a ser sustituida la página WEB de la Universidad el día 21 de mayo de 2001.

3. Esta Sección Sindical de CC.OO. ha denunciado en reiteradas ocasiones la caótica situación de los Servicios Informáticos de la Universidad de Alcalá por carecer de un modelo definido, propio de una Institución dedicada a la docencia y la investigación, así como por la falta absoluta de planificación y objetivos básicos a medio y largo plazo; las consecuencias de todo ello las sufren todos los miembros de la Comunidad Universitaria día a día. Hoy añadimos a esta situación el bochorno, la vergüenza y el ridículo en el que se deja a nuestra Institución gracias a la dejadez de los responsables de estos servicios (Rector, Vicerrector de Infraestructuras y Gerenta) por no garantizar la seguridad de nuestros sistemas y dejar patente la vulnerabilidad de nuestra red informática.

4. Por último, desde la Sección Sindical de CC.OO. exigimos al Rector que informe a la Comunidad Universitaria de cuál es la dimensión real del problema, así como de las medidas adoptadas para evitar que hechos como éste vuelvan a suceder.

Alcalá de Henares, 22 de mayo de 2001.

LA SECCIÓN SINDICAL DE CC.OO. DE LA UNIVERSIDAD DE ALCALÁ.

Volver al principio de la carta             Volver al principio

Carta al Director del "Diario de Alcalá"

Reproducimos esta interesante carta enviada al director del "Diario de Alcalá", publicada en su edición del lunes 2 de julio de 2001

LO QUE NOS ECHEN

Me libre el "Padre" de la tentación del "distack". Sabios, sesudos, inteligentes y glamurosos profesionales dirigen, editan y hacen este periódico todos los días, lo que no es pequeña cosa. Al fin y al cabo, los lectores a lo nuestro, a leer lo que nos echen.

Por ejemplo, la crónica precriticada de la fiesta de Gran Hermano, que saltando de la sección de televisión se viene hasta página noble de la ciudad para dar noticia gráfica y referenciada de lo acontecido en nuestra multifuncional Plaza de Toros por imperativo de adjudicación y cesión de parcela ¿a eso se referían? Pues vale. Ya se sabe que la noticia consiste en que un hombre muerde a un perro, o a un moldavo, por mucha filosofía que se editorialice.

Salta también a página noble, desde la no menos noble sección de "Universidad" que desde hace algún tiempo acoge todo el protocolo rectoral y algún que otro evento periférico de nuestra querida y bien ponderada universidad local, y este tramo de semana desaparecida, la firma ¡por fín! del convenio que abre paso al Parque Científico Tecnológico. Ese mismo que se anuncia desde hace décadas y que con un poco de suerte, y cuando entre en funcionamiento, ya se habrá descubierto el misterio de la materia oscura del Universo. Pero justo es que ocupe lugar privilegiado en nuestro "nodo" local.

Y aquí la cuestión epistolar que para empezar va de encuestas: esa que Rafael Simancas dice, en los noticiarios madrileños, haber realizado en toda la Comunidad ¡cielos! ¿ y la jefa de prensa de la FSM qué dice? Porque aquí se negó tres veces y nadie cuenta nada ahora.

Y otra cosa ¿Qué pasa con el proyecto de macrovertedero en Los Santos de La Humosa? Porque vale la crónica social de un evento-debate del recientemente constituido Foro del Henares, pero al grano…algo más se sabrá o se habrá informado…en la web oficial del susodicho se cuentan cosas más perentorias que el ya clausurado y exitoso "Clásicos en Alcalá" que también se propala en la red. Les supongo a los promotores del tal Foro la mínima capacidad informativa.

Y la última de la misiva: el topetazo en la bonita y gráfica sección de "gente" con un concurrido debate sobre la Ley Orgánica de Universidades, con presencia in corpore del Director General de Universidades ministerial entre otros ilustres. Esperaba uno algo más de información sustantiva, y en lugar correspondiente – la flamante sección Universidad por ejemplo – de un acontecimiento singular. Y también muchos universitarios de esta ciudad universitaria que se cuentan por miles. Al caso, somos ciudad patrimoniada, con vocación cultural y educativa, y el tema anda en danza mediática de primer nivel…pero así tendrá que ser…El Gran Hermano manda. Seguirá uno, eso sí, adquiriendo y leyendo este periódico que cuenta con mi máximo aprecio y respeto a mis colegas – lo que nos echen claro -. Y con ojo crítico que es lo divertido.

Pedro Enrique Gómez

Volver al principio de la carta            Volver al principio
linea.gif (922 bytes)
Vivat Academia, revista del "Grupo de Reflexión de la Universidad de Alcalá" (GRUA).
Tus preguntas y comentarios sobre este Web dirígelos a vivatacademia@uah.es
Copyright © 1999 Vivat Academia. ISSN: 1575-2844.  Números anteriores. Año III
Última modificación: 11-10-2001