Buenas tardes (al fin publico en la tarde), estuve pensando en hacer un post sobre ‘como saber si una web esta asegurada’ y que más que usar una de las páginas que luego de los Crackeos del 2012 por miembros de Anonymous Panamá (no fue el index, pero si una sección de la web) han fortalecido el servidor hasta que hoy, me he dado cuenta la clase de seguridad que tienen…

Primero que todo, la presidencia de Panamá ha sido defaceada (al menos por mis ojos) 2 veces, en el 2009 y luego en el 2012. En el 2012 fueron unos Panameños o al menos eso dicen ser ellos. Luego de esto la web fue fortalecida con Incapsula y Checkpoint, es interesante conocer esto, ya que, en el 2013 intentaron atacar la presidencia y la asamblea, logrando tumbar la presidencia durante 4 horas y (según sus ingenieros) el checkpoint levanto la web y disipo el ataque, malo fue el ataque a la Asamblea de Panamá, estuvo 3 días down y luego tuvieron que cambiar la IP y el servidor.

Ya escuchamos la historia, ahora llega lo actual:

Definición de Honeypot: Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot. – Wikipedia

Hice un scanneo con nmap y me salió esto:

nmap -sS -sV -P0 presidencia.gob.pa

PORT STATE SERVICE VERSION
53/tcp open tcpwrapped
80/tcp open http
81/tcp open hosts2-ns?
82/tcp open ssl/xfer?
83/tcp open ssl/mit-ml-dev?
85/tcp open ssl/mit-ml-dev?
88/tcp open kerberos-sec?
443/tcp open ssl/https
444/tcp open ssl/snpp?
801/tcp open device?
843/tcp open ssl/unknown
1234/tcp open hotline?
1494/tcp open ssl/citrix-ica?
2006/tcp open invokator?
2048/tcp open dls-monitor?
2049/tcp open nfs?
2068/tcp open advocentkvm?
2100/tcp open ssl/amiganetfs?
2200/tcp open ssl/ici?
2222/tcp open ssl/EtherNet/IP-1?
2557/tcp open nicetec-mgmt?
3052/tcp open powerchute?
3551/tcp open apcupsd?
4000/tcp open ssl/remoteanything?
4443/tcp open ssl/pharos?
5222/tcp open xmpp-client?
5280/tcp open xmpp-bosh?
6000/tcp open ssl/X11?
6002/tcp open ssl/X11:2?
6100/tcp open ssl/synchronet-db?
6510/tcp open ssl/mcer-port?
6580/tcp open ssl/parsec-master?
6789/tcp open ibm-db2-admin?
7000/tcp open ssl/afs3-fileserver?
7001/tcp open ssl/afs3-callback?
7002/tcp open ssl/afs3-prserver?
7004/tcp open ssl/afs3-kaserver?
7070/tcp open ssl/realserver?
8000/tcp open ssl/http-alt
8001/tcp open ssl/vcom-tunnel?
8002/tcp open ssl/teradataordbms?
8031/tcp open ssl/unknown
8080/tcp open ssl/http-proxy
8081/tcp open ssl/blackice-icecap?
8082/tcp open ssl/blackice-alerts?
8083/tcp open ssl/us-srv?
8084/tcp open ssl/unknown
8085/tcp open ssl/unknown
8086/tcp open ssl/d-s-n?
8087/tcp open ssl/simplifymedia?
8088/tcp open ssl/radan-http
8089/tcp open unknown
8090/tcp open ssl/unknown
8093/tcp open unknown
8200/tcp open ssl/trivnet1?
8443/tcp open ssl/https-alt?
8888/tcp open sun-answerbook?
9090/tcp open zeus-admin?
9100/tcp open jetdirect?
9101/tcp open jetdirect?
9102/tcp open jetdirect?
9103/tcp open jetdirect?
9110/tcp open ssl/unknown
9111/tcp open ssl/DragonIDSConsole?
9200/tcp open ssl/wap-wsp?
9207/tcp open ssl/wap-vcal-s?
9220/tcp open ssl/unknown
16000/tcp open ssl/fmsas?
50000/tcp open ssl/ibm-db2?
60443/tcp open ssl/unknown

¡EXACTO! Que clase de prostíbulo tienen en esa presidencia… 

Examinando los DNS encontre 199.83.134.138.ip.incapdns.net (199.83.134.138) que son de incapsula, pero lo que más me dio curiosidad fue esto:

Captura de pantalla de 2014-09-14 19:33:45

Para los que no conocen que es el puerto 9090 con el servicio zeus-admin se los explico, Zeus es una de las Botnets mas grandes que existen, básicamente es un virus en forma de gusano que lo infecta todo, su puerto de ‘administración’ es el 9090, en la deep web está la nueva versión, su puerto ahora es el 16535, desde ese puerto TCP envía información, en la version 9090 no era cifrada, pero ahora han cifrado la conexión.

En fin, este post solo era para que los Black Hackers tengan MUCHO cuidado, los honeypots están por todos lados…

PD: Felicidades a los Ing. de la Presidencia, se que ustedes no crearon incapsula o Checkpoint, pero los felicito por al menos proteger una parte de la web y el servidor. ¡Saludos!

CISO en el lado del mal (Panamá Gov) - Ethical Hacker - CEDIIF - Pentester. Si nunca has estado del lado oscuro, jamás sabrás como combatir a la oscuridad, con esto ya sabes la mitad de la historia.

2 respuestas a “Presidencia de Panamá, El Honeypot mas grande del país…”

    • Si, Zeus… Como dice en el post, es solo un Honeypot, no son de la presidencia, ni siquiera son vulnerabilidades. Son del firewall (incapsula), son puertos ficticios, no son reales. Los honeypot son usados como carnada para saber quién es el que te esta intentando atacar, actúan como vulnerabilidades para advertir al administrador que ‘están intentando atacarlo’. ¡Saludos!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

6 − 4 =