Como "hackearon" al ICE(Posibilidad)

betokscr · 1 Oct 2011

Hola gente de ForodeCostaRica, como están?

Hace un rato viendo la tele, mas específicamente canal 7 (también hay un articulo de esto en la nación: nacion.com/2011-10-02/ElPais/-lsquo-hacker-rsquo--causa-fallas-en-internet-del-ice.aspx ), vi algo sobre un tal "hackeo" contra el ICE, curiosamente hace como 1 o 2 meses encontré una vulnerabilidad en los modems Tenda y D-Link (que da el ICE), que no seria explotable si la gente del ICE en las configuraciones hubieran desactivado el WAN...

Sin mas paja, aquí les dejo una aplicación que hice para explotar la "vulnerabilidad":
mediafire.com/?8of6875joyes7a6
Lo he probado en muchos Tenda y D-Link, ustedes también pueden probar, basándose en su ip van cambiando los números y observan como les saca el user y la pass de muchos modems, y con estos datos poder obtener el control total de los modems, borrar la configuración, reiniciar, cambiar el servidor DNS, también se puede empezar a flashear y reiniciar repentinamente por telnet dejando inutilizable el aparato, etc.

Ahora lo que yo pienso es que con algún algoritmo y esta vulnerabilidad u otra entraron a la configuración de muchos modems e hicieron un despiche, y si fueron vivos cabe la posibilidad de que hayan sustituido el servidor DNS por uno propio para robar contraseñas masivamente.

Casi al mismo tiempo que descubrí esto, trate de contactar al ICE, pero me trataron de loco :buffo4:

, así que aquí lo hago publico

Un saludo a todos y todas!
PD: Desactiven el WAN lo antes posible, si no tienen el usuario y la contraseña para entrar usen la aplicación que esta mas arriba, CORRAN LA VOZ!

guitar_god · 2 Oct 2011

Compa, el DNS nada tiene que ver con las contraseñas, solo resuelve nombres a IP o alrevez.

Para robar la contraseña lo mas comun es utilizar "ataques de diccionario", se escanea los puertos abiertos en la IP victima con programas como "nmap" y despues se utiliza una lista de usuarios y contraseñas comunes para tratar de loguearse al aparato hasta que tope con suerte, un programa muy comun utilizado es "hydra".

Yo tengo internet con ADSL del ICE y me pasan atacando a toda hora, no me extraña que los hacken en cualquier momento.

betokscr · 2 Oct 2011

guitar_god dijo:
Compa, el DNS nada tiene que ver con las contraseñas, solo resuelve nombres a IP o alrevez.

Para robar la contraseña lo mas comun es utilizar "ataques de diccionario", se escanea los puertos abiertos en la IP victima con programas como "nmap" y despues se utiliza una lista de usuarios y contraseñas comunes para tratar de loguearse al aparato hasta que tope con suerte, un programa muy comun utilizado es "hydra".

Yo tengo internet con ADSL del ICE y me pasan atacando a toda hora, no me extraña que los hacken en cualquier momento.

Al tener acceso a cambiar el servidor de DNS se puede dar un ambiente perfecto para el robo de claves de forma masiva por medio de un "phishing" mas elegante, se trataría de hacer paginas web exactamente iguales a las originales y con un servidor DNS propio asignar los dominios originales a los ip's de las paginas creadas por el atacante, al ser la pagina exactamente igual y tener el mismo dominio, es muy fácil caer en la trampa.

Aquí nadie habla de ataques de diccionario, escaneo de puertos ni nada de eso, es una vulnerabilidad que traen de fabrica los modems Tenda y D-Link(no todos, pero si muchísimos, he notado que de 50 ip's que pruebo en promedio 10 no son vulnerables), que es explotable porque la gente de el ICE dejo el WAN activado en las configuraciones, no dura ni 5 segundos en darte los datos la aplicación, con esto la suerte no tiene cabida si es vulnerable te tira los datos.

Saludos

guitar_god · 2 Oct 2011

betokscr dijo:
Al tener acceso a cambiar el servidor de DNS se puede dar un ambiente perfecto para el robo de claves de forma masiva por medio de un "phishing" mas elegante, se trataría de hacer paginas web exactamente iguales a las originales y con un servidor DNS propio asignar los dominios originales a los ip's de las paginas creadas por el atacante, al ser la pagina exactamente igual y tener el mismo dominio, es muy fácil caer en la trampa.

Aquí nadie habla de ataques de diccionario, escaneo de puertos ni nada de eso, es una vulnerabilidad que traen de fabrica los modems Tenda y D-Link(no todos, pero si muchísimos, he notado que de 50 ip's que pruebo en promedio 10 no son vulnerables), que es explotable porque la gente de el ICE dejo el WAN activado en las configuraciones, no dura ni 5 segundos en darte los datos la aplicación, con esto la suerte no tiene cabida si es vulnerable te tira los datos.

Saludos

Así si, pero afectaría si la persona tiene la compu pegada directamente al modem o el router lo tiene con el DNS que lo agarre del DHCP que le da el ICE (muy comun), lo mejor es utilizar un DNS estatico que no sea el del ICE (que es una basura de por si, es el DNS que trae Windows Server, al chile :jajaja:

). Yo en mi caso utilizo un DNS propio local con Bind que utiliza Onion Network con Tor, de forwarder utilizo un DNS en Holanda saber de quien putas, la vara es que nadie sabe de donde salgo :zorro:

betokscr · 2 Oct 2011

guitar_god dijo:
Así si, pero afectaría si la persona tiene la compu pegada directamente al modem o el router lo tiene con el DNS que lo agarre del DHCP que le da el ICE (muy comun), lo mejor es utilizar un DNS estatico que no sea el del ICE (que es una basura de por si, es el DNS que trae Windows Server, al chile ). Yo en mi caso utilizo un DNS propio local con Bind que utiliza Onion Network con Tor, de forwarder utilizo un DNS en Holanda saber de quien putas, la vara es que nadie sabe de donde salgo

Así es!, es mejor estar prevenidos por cualquier cosa :emot62:

, aunque en veces nos veamos muy paranoicos xD.

Saludos y Buenas Noches!

_hermit_ · 2 Oct 2011

guitar_god dijo:
Compa, el DNS nada tiene que ver con las contraseñas, solo resuelve nombres a IP o al revez

Thumb up!

carlos45 · 2 Oct 2011

betokscr dijo:
Hola gente de ForodeCostaRica, como están?

Hace un rato viendo la tele, mas específicamente canal 7 (también hay un articulo de esto en la nación: nacion.com/2011-10-02/ElPais/-lsquo-hacker-rsquo--causa-fallas-en-internet-del-ice.aspx ), vi algo sobre un tal "hackeo" contra el ICE, curiosamente hace como 1 o 2 meses encontré una vulnerabilidad en los modems Tenda y D-Link (que da el ICE), que no seria explotable si la gente del ICE en las configuraciones hubieran desactivado el WAN...

Sin mas paja, aquí les dejo una aplicación que hice para explotar la "vulnerabilidad":
mediafire.com/?8of6875joyes7a6
Lo he probado en muchos Tenda y D-Link, ustedes también pueden probar, basándose en su ip van cambiando los números y observan como les saca el user y la pass de muchos modems, y con estos datos poder obtener el control total de los modems, borrar la configuración, reiniciar, cambiar el servidor DNS, también se puede empezar a flashear y reiniciar repentinamente por telnet dejando inutilizable el aparato, etc.

Ahora lo que yo pienso es que con algún algoritmo y esta vulnerabilidad u otra entraron a la configuración de muchos modems e hicieron un despiche, y si fueron vivos cabe la posibilidad de que hayan sustituido el servidor DNS por uno propio para robar contraseñas masivamente.

Casi al mismo tiempo que descubrí esto, trate de contactar al ICE, pero me trataron de loco, así que aquí lo hago publico

Un saludo a todos y todas!
PD: Desactiven el WAN lo antes posible, si no tienen el usuario y la contraseña para entrar usen la aplicación que esta mas arriba, CORRAN LA VOZ!

Que miedo!!! tenian razon los del ICE al tacharlo de loco

X-MEN2 · 2 Oct 2011

Hoy salió en La Nación, parece que si fue una vulnerabilidad en algunos modem. Yo no tuve problema, mi modem es de los primeros de otra marca menos conocida y uso un router.

?Hacker? causa fallas en Internet del ICE - EL PAÍS - La Nación

[h=2]El servicio de Acelera sufre problemas desde el viernes[/h] [h=1]‘Hacker’ causa fallas en Internet del ICE[/h] [h=3]Pirata informático desconfiguró módems de clientes en la GAM[/h] [h=3]Instituto detectó violación al sistema por reportes de avería de usuarios[/h]El servicio de Internet Acelera, del Instituto Costarricense de Electricidad (ICE), presenta fallas desde el viernes tras ser hackeada por un pirata informático, confirmó ayer el director de la división de servicios, Adolfo Arias

El problema se detectó tras numerosos reportes de averías por parte de usuarios en la Gran Área Metropolitana (GAM).

“Hay una afectación debida a un hackeo por parte de alguna persona que está haciendo daño en la red y que nos perdjudica porque desconfigura los modems que utilizan los clientes de Acelera en su casas”, aseguró Arias.
“Esto nos había sucedido hace alrededor de un año y medio, y ocurre porque a los hackers les gusta generar problemas en la red para su propia satisfacción”, agregó.
Arias explicó que los piratas informáticos rastrean los módems e ingresan con usuarios y contraseñas que logran extraer previamente. Una vez que ingresan al sistema, desconfiguran los aparatos.
El ICE no suministró datos sobre la cantidad de reportes que había recibido.
Tampoco se tiene información sobre quién es la persona responsable de hackear la red, aunque hay una investigación en curso para determinar la cuenta de origen.
De obtenerse esa información, la operadora procedería a poner una denuncia judicial.
El año pasado, el ICE pidió a la Fiscalía investigar los hechos relacionados con la activación del sistema de alarmas contra incendios que dañó la red celular de tercera generación y dejó sin servicio a miles de usuarios.
A diferencia de la situación actual, aquel incidente implicó un daño físico a los equipos.
Reconfiguraciones. Para resolver el problema, los técnicos del ICE pueden reconfigurar los módems afectados de manera remota; sin embargo, dependen de los reportes de los clientes para poderlo hacer.
Por ello, si usted es usuario de Internet Acelera y tiene problemas de conexión, debe reportar el problema al 1119.
Asimismo, Arias aseguró que la operadora está en proceso de implementar equipos nuevos que sirvan contra violaciones informáticas de este tipo.
“Tenemos algunas adquisiciones en curso para asegurar la red, no solo en términos de la red avanzada de Internet, sino también de los equipos en las casas de los clientes”, dijo Arias.

===========

cvargas24 · 3 Oct 2011

carlos45 dijo:
Que miedo!!! tenian razon los del ICE al tacharlo de loco

Mae ud no conoce!!! :buah:

flacox · 3 Oct 2011

???

Einsteincillo · 5 Oct 2011

Al decir "desactiven la WAN" a qué se refiere, mae? Sea más específico.

cace · 6 Oct 2011

Buena herramienta !!

Ya

rapertt · 6 Oct 2011

1 - ip publica

user : supportt
cotraseña suportt

o

admin
admin

yo intente cambiar las dns del ice por otras pero solo me reconozia 128 y no un mega que es lo que tengo
solo poniendo las dns del ice puedo tener la velocsidad real :S

cace · 7 Oct 2011

Dns opcionales

Cuando los del ICE no me sirven yo utilizo estos:

208.67.222.222 / 208.67.222.220 ----> son de opendns

:pirata:

rapertt · 7 Oct 2011

cace dijo:
Cuando los del ICE no me sirven yo utilizo estos:

208.67.222.222 / 208.67.222.220 ----> son de opendns

al rato checo esa dns yo ponia otras las de google pero de 1000 solo me rekonozia 128 :S pfff
se me cae el internet por ratos hackers lols

betokscr · 10 Oct 2011

Einsteincillo dijo:
Al decir "desactiven la WAN" a qué se refiere, mae? Sea más específico.

i.imgur.com/ueFA7.png :emot62:

Saludos

rapertt · 11 Oct 2011

hace un rato me quede sin internet moden fire cambie las dns por las ke puzo el kompañero i listo

Como "hackearon" al ICE(Posibilidad)

betokscr

guitar_god

betokscr

guitar_god

betokscr

_hermit_

carlos45

X-MEN2

Invitado

cvargas24

flacox

Einsteincillo

cace

rapertt

cace

rapertt

betokscr

rapertt

Posts recientes

Nuevos temas