Re: Hackean la BD de la RENIEC
690 views
Skip to first unread message
Julio Omar Santisteban Pablo
Mar 13, 2015, 3:35:34 PM3/13/15
to School of Computer Science-Professors, Sociedad Peruana de Computacion, School of Computer Science, Ciencia de la Computacion UNSA, EPIS UNSA, Maestria UCSP
Estimados,
Lamentablemente este tipo de información se a comercializado por los ultimo 10 años en los mercados de Lima y otras provincias (en algunos casos por S/.5 soles por CD), y no solo la Reniec pero de muchas empresas del estado [luz,agua,cofopri,..](planos, proyectos, bases de datos y otros).
Uno de las vulnerabilidades de seguridad es el personal en las empresas, Lamentablemente son empleados "renegados", SI, el personal es un de los huecos de seguridad mas difícil de controlar.
En el caso del Perú creo que es por la falta de valores y ética profesional.
NOTA: creo que el objetivo de Anónimos no es publicar este tipo de información, por el contrario dar ha conocer las vulnerabilidades que existen (Cuantas personas pueden ser afectadas, cuanto daño pueden causar a empresas y familias), creo que Anónimos fue creado para protestar por nuestros Derechos Civiles y no causar daño a la comunidad.
Atentamente,
MSc Julio Santisteban
On 13/03/2015 9:56 AM, "Ernesto Cuadros-Vargas" <ecua...@spc.org.pe> wrote:
--Anonymous PerúTenemos toda la base de datos de la RENIEC, no sabemos si publicarla o no, ya que son datos personales. Sin embargo, deberían exigir a la RENIEC mejorar la seguridad de sus servidores, cómo es posible que información de este tipo pueda ser obtenida tan fácilmente, esto significa que otros también pueden hacerlo, y esa información puede ya estar en el mercado negro de datos.Toda la información en texto plano pesa alrededor de 1GB.Donde esta la seguridad?Saludoser
You received this message because you are subscribed to the Google Groups "School of Computer Science - Faculty" group.
To unsubscribe from this group and stop receiving emails from it, send an email to scs-ucsp-profes...@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.
Ernesto Cuadros-Vargas
Mar 13, 2015, 3:35:34 PM3/13/15
to Sociedad Peruana de Computacion, School of Computer Science, School of Computer Science-Professors, Ciencia de la Computacion UNSA, EPIS UNSA, Maestria UCSP
Edson Chavez
Mar 13, 2015, 3:54:46 PM3/13/15
to Sociedad Peruana de Computacion
Considero que un mejor enfoque seria publicar las vulnerabilidades encontradas, en lugar de la informacion, de esta forma se hace conocido la forma en que se obtuvo y se fuerza a actuar sobre ello, decir que se publicara la informacion obtenida no ayuda necesariamente a resolver el problema desde que los responsables podrian no saber como se obtuvo, de la otra forma si, aunque si alguien maliciosamente quiere obtener la informacion podria hacerlo, (mismo resultado que publicar la informacion obtenida)
http://www.sindominio.net/ayuda/preguntas-inteligentes.html
http://soyfreakytambiengeek.blogspot.com/ <-- Mi Blog ^^
@Grubhart <-- Twitter!!
Saludos Cordiales
Edson 'Grubhart' Chávez about.me/grubhart |
 |
http://soyfreakytambiengeek.blogspot.com/ <-- Mi Blog ^^
@Grubhart <-- Twitter!!
--
--
Para enviar mensajes al grupo: sp...@googlegroups.com
Para retirarse del grupo: spc-l-un...@googlegroups.com
Para mas opciones: http://groups.google.com/group/spc-l?hl=es
---
Has recibido este mensaje porque estás suscrito al grupo "Sociedad Peruana de Computación (SPC)" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a spc-l+un...@googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.
Juan Carlos Romaina
Mar 16, 2015, 8:57:33 AM3/16/15
to sp...@googlegroups.com, scs-ucsp-...@googlegroups.com, scs-...@googlegroups.com, cs-...@googlegroups.com, epis...@yahoogroups.com, pg-cs...@googlegroups.com
La RENIEC lo niega:
Si tuviera que adivinar, diría que sí tienen algo, no todo (no pesaría 1GB), pero algo. Y no "hackearon" para "entrar", probablemente alguien sacó la información. Como que hace muchos años venden ese tipo de información en Wilson.
Saludos,
JC
Yonsy Solis
Mar 16, 2015, 8:58:54 AM3/16/15
to sp...@googlegroups.com, Sociedad Peruana de Computacion
On Fri, Mar 13, 2015 at 2:43 PM, Edson Chavez <edson...@gmail.com>
wrote:
> Considero que un mejor enfoque seria publicar las vulnerabilidades
> encontradas, en lugar de la informacion, de esta forma se hace
> conocido la forma en que se obtuvo y se fuerza a actuar sobre ello,
> decir que se publicara la informacion obtenida no ayuda
> necesariamente a resolver el problema desde que los responsables
> podrian no saber como se obtuvo, de la otra forma si, aunque si
> alguien maliciosamente quiere obtener la informacion podria hacerlo,
> (mismo resultado que publicar la informacion obtenida)
"Publicar" es la palabra delicada en este caso.
> encontradas, en lugar de la informacion, de esta forma se hace
> conocido la forma en que se obtuvo y se fuerza a actuar sobre ello,
> decir que se publicara la informacion obtenida no ayuda
> necesariamente a resolver el problema desde que los responsables
> podrian no saber como se obtuvo, de la otra forma si, aunque si
> alguien maliciosamente quiere obtener la informacion podria hacerlo,
> (mismo resultado que publicar la informacion obtenida)
Publicar las mismas sin coordinacion alguna haria que en poco tiempo
mucha gente con malas intenciones pruebe en brute force esas
vulnerabilidades en cualquier punto de comunicacion con la RENIEC, la
data final no es lo importante en ese caso sino el knowledge de los
caminos (vulnerabilidades).
Y entender que la informacion es algo mas que tu nombre y dni, todos
los datos relacionados con la persona y con RENIEC. Fecha de
Nacimiento, Ubigeo, Fechas de emision y caducidad del DNI actual,
direccion con la que apareces inscrito en la RENIEC, votos realizados,
si donaras tus organos o no, sexo, estado civil, etc. Toda esa
informacion no esta en los CDs que te venden en Wilson (que a veces
tienen mas bases de datos de emails para spam o numeros telefonicos
para promociones de productos).
Podria ser tambien un bluff, para llamar la atencion de lo que se puede
obtener por vulnerabilidades potenciales. En un escenario ideal, las
organizaciones que manejan informacion delicada tienen gente ,
coloquialmente mal llamados "hackers" sin siquiera entender el real
significado..., que se encarguen de ellos mismos ver posibles
vulnerabilidades, exploits, errores humanos, etc y cerrar las vias de
acceso no autorizadas. O cuentan con la colaboracion de otras empresas,
grey-hats/white-hats en el mercado que establecen periodos de espera
para la publicacion de la vulnerabilidad, informan primero a la
organizacion con problemas y luego de un plazo (30 dias por ejemplo)
publican la vulnerabilidad, asumiendo que la organizacion afectada en
esos 30 dias hizo todo lo que era necesario para cerrar
vulnerabilidades.
ojo, dije, en un escenario ideal ...
Yonsy Solis
José Antonio Aguilar
Mar 16, 2015, 8:59:38 AM3/16/15
to sp...@googlegroups.com
Estimo que no hubo mucho trabajo para conseguir esa base de datos, y también acredito que no hubo mucho trabajo en salvaguardar esa información por los encargados de seguridad del gobierno peruano, aun mas si solo se llenan de "profesionales" universitarios, que solo por tener la certificación a nombre de la nación y no ser especialistas en sus campos, son delegados de tal responsabilidad, lo que también encuentro dudoso que sea extendida esa información por facebook en donde cualquier gobierno puede pedir y obtener datos de los publicantes.
Saludos
Jorge Luis Prado Anci
Mar 16, 2015, 9:00:14 AM3/16/15
to SPC
Disculpen la ignorancia pero que datos personales tiene la RENIEC? que el común de los mortales no publicara ya en su FaceBook o que la SUNAT brinda gratuistamente, pues si quiero saber la dirección de alguien de quien se sus nombres y apellidos fácil me voy a la SUNAT y busco por su nombre y me da su dirección y su número de RUC, con el RUC puedo ir a la página del seguro social y busco con su DNI y se más datos y así sucesivamente puedo ir buscando los datos de una persona, ahora quiero saber su teléfono fijo pues lo busco en las páginas blancas, si no sale vuelvo a su FaceBook y de seguro le ha mandado saludos en el cumpleaños su mamá, papá, tía o abuelos y así se los nombres de sus familiares y sus cuentas en FaceBook y con eso los vuelvo a buscar en las páginas blancas y de seguro encuentro su número telefónico y su dirección, no se que datos aparte del nombre, edad, sexo, número de DNI (que lo proporciona la SUNAT), si es casado o no pudiera tener la RENIEC que ya no sean públicos.
Jorge Prado
Date: Fri, 13 Mar 2015 14:43:29 -0500
Subject: Re: [spc-l] Re: Hackean la BD de la RENIEC
From: edson...@gmail.com
To: sp...@googlegroups.com
Jorge Prado
Date: Fri, 13 Mar 2015 14:43:29 -0500
Subject: Re: [spc-l] Re: Hackean la BD de la RENIEC
From: edson...@gmail.com
To: sp...@googlegroups.com
Ernesto Cuadros-Vargas
Mar 16, 2015, 9:00:29 AM3/16/15
to EPIS UNSA, Sociedad Peruana de Computacion, School of Computer Science, School of Computer Science-Professors, Ciencia de la Computacion UNSA, Maestria UCSP
Holas,
Como puede RENIEC probar que Anonymous no tiene su BD?
Seguro quieren que la publiquen para recien aceptar ...
Saludos
er
On Fri, Mar 13, 2015 at 8:28 PM, benavides Esquivel jbenav...@yahoo.com [episunsa] <epis...@yahoogroups.com> wrote:
__._,_.___
Reply via web post • Reply to sender • Reply to group • Start a New Topic • Messages in this topic (2) ![Yahoo! Groups]()
.![]()
![]()
__,_._,___
**************************************************************
Ernesto Cuadros-Vargas. PhD
Head of the School of Computer Science
San Pablo Catholic University, Arequipa-Peru (www.ucsp.edu.pe)
http://socios.spc.org.pe/ecuadros
(+51)958.339.127 (+51)(54)608020 Ext 326 (Office)
(+51)(54)281517(Fax)
*************************************************************
Ernesto Cuadros-Vargas. PhD
Head of the School of Computer Science
San Pablo Catholic University, Arequipa-Peru (www.ucsp.edu.pe)
http://socios.spc.org.pe/ecuadros
(+51)958.339.127 (+51)(54)608020 Ext 326 (Office)
(+51)(54)281517(Fax)
*************************************************************
Rogelio Sihuayro
Mar 16, 2015, 9:00:35 AM3/16/15
to EPIS UNSA, Sociedad Peruana de Computacion, School of Computer Science, School of Computer Science-Professors, Ciencia de la Computacion UNSA, Maestria UCSP
Holas,
Para muchos es conocida esa BD y de fácil acceso en el mercado negro por una módica cantidad de Soles desde hace años. Mas aún mucho del software realizado a pequeña escala(grifos, farmacias, centros educativos) las usan para agilizar sus procesos propios, por ejemplo registrar un cliente.
Saludos.
Roger
Enviado desde Correo de Windows
De: Ernesto Cuadros-Vargas ecua...@spc.org.pe [episunsa]
Enviado el: sábado, 14 de marzo de 2015 10:42
Para: EPIS UNSA
CC: Sociedad Peruana de Computacion, School of Computer Science, School of Computer Science-Professors, Ciencia de la Computacion UNSA, Maestria UCSP
Enviado el: sábado, 14 de marzo de 2015 10:42
Para: EPIS UNSA
CC: Sociedad Peruana de Computacion, School of Computer Science, School of Computer Science-Professors, Ciencia de la Computacion UNSA, Maestria UCSP
Holas,
Como puede RENIEC probar que Anonymous no tiene su BD?
Seguro quieren que la publiquen para recien aceptar ...
Saludos
er
On Fri, Mar 13, 2015 at 8:28 PM, benavides Esquivel jbenav...@yahoo.com [episunsa] <epis...@yahoogroups.com> wrote:
El Viernes, 13 de marzo, 2015 9:05:12, "Ernesto Cuadros-Vargas ecua...@spc.org.pe [episunsa]" <epis...@yahoogroups.com> escribió:
Anonymous PerúTenemos toda la base de datos de la RENIEC, no sabemos si publicarla o no, ya que son datos personales. Sin embargo, deberían exigir a la RENIEC mejorar la seguridad de sus servidores, cómo es posible que información de este tipo pueda ser obtenida tan fácilmente, esto significa que otros también pueden hacerlo, y esa información puede ya estar en el mercado negro de datos.Toda la información en texto plano pesa alrededor de 1GB.Donde esta la seguridad?Saludoser
--
**************************************************************
Ernesto Cuadros-Vargas. PhD
Head of the School of Computer Science
San Pablo Catholic University, Arequipa-Peru (www.ucsp.edu.pe)
http://socios.spc.org.pe/ecuadros
(+51)958.339.127 (+51)(54)608020 Ext 326 (Office)
(+51)(54)281517(Fax)
*************************************************************
Ernesto Cuadros-Vargas. PhD
Head of the School of Computer Science
San Pablo Catholic University, Arequipa-Peru (www.ucsp.edu.pe)
http://socios.spc.org.pe/ecuadros
(+51)958.339.127 (+51)(54)608020 Ext 326 (Office)
(+51)(54)281517(Fax)
*************************************************************
.
__,_._,___
Arnao Jose
Mar 16, 2015, 11:01:05 AM3/16/15
to sp...@googlegroups.com
Sentido común a este tema, fue una acción de hacker o robo impune mediante una sentencia select u otro método.
Por lo que sabemos la acción del hacker consiste en seguir un procedimiento poco convencional para lograr el objetivo…, de ser así la información está bajo el control total del hacker y sujeto a cambios.
Por el tipo de nota “Anonymous Perú” da la impresión de ser un “equipo” dócil… lo ideal sería que den a conocer la vulnerabilidad del sistema de la RENIEC, como lo haría un verdadero Hacker.
Saludos
Arnao
Ernesto Cuadros-Vargas
Mar 16, 2015, 11:01:06 AM3/16/15
to Sociedad Peruana de Computacion, Jorge Prado
Hola Jorge,
dos cositas ...
1.- Esta informacion de la fuga de informacion en le a RENIEC la recibi de alguien dentro de la propia RENIEC asi que es confiable y se contradice con la noticia que han publicado ...
2.- Es cierto que mucha de esta informacion esta en la web pero si tienes acceso a todo eso junto facilita mucho la vida de alquien que quiera disponer de dicha informacion.
Saludos
er
--
Er
Er
Carlos Eduardo Sotelo Pinto
Mar 16, 2015, 11:35:22 AM3/16/15
to sp...@googlegroups.com
Buen día Jorge, Lista
Creo que le problema no es la información, finalmente, hay muchas formas de conseguirla, el tema es que si se puede acceder a información común, se puede acceder a todo tipo de información.
Edson, no coreo que, publicar las vulnerabilidades, sea una buena idea, ya que, seria publicar en una red social las claves para asaltar por completo a reniec, croe que con lo que se hizo de informar, que se pudo acceder a información común y publica, que puede ser accesible por cualquiera, pero desde las bases de datos de reniec, que se suponen deben ser seguras, ya es bastante,
saludos
Creo que le problema no es la información, finalmente, hay muchas formas de conseguirla, el tema es que si se puede acceder a información común, se puede acceder a todo tipo de información.
Edson, no coreo que, publicar las vulnerabilidades, sea una buena idea, ya que, seria publicar en una red social las claves para asaltar por completo a reniec, croe que con lo que se hizo de informar, que se pudo acceder a información común y publica, que puede ser accesible por cualquiera, pero desde las bases de datos de reniec, que se suponen deben ser seguras, ya es bastante,
saludos
El 13/03/15 a las 23:43, Jorge Luis
Prado Anci escibió:
--
Carlos Eduardo Sotelo Pinto
GNU Linux System Admin | Senior Software Developer
Mobil: Claro(RPC) +51983265994 | Mov +51957543442 (#957543442)
GTalk: carlos.so...@gmail.com | Skype: csotelop
GNULinux RU #379182 | GNULinux RM #277661
Carlos Eduardo Sotelo Pinto
Mar 16, 2015, 11:35:26 AM3/16/15
to sp...@googlegroups.com
Ernesto
Creo que nuevamente se esta atacando el problema por el lado equivocado, no croe que el problema sea que información tiene o no annonymous, es el ¿cómo la recolecto?, ya que esta información, la que ellos dicen o no publicar, no afectaría mucho a los ciudadanos mayores de edad ( en caso de los menores de edad ya es un peligro ), ya que es información publica, que con un poco de paciencia y seguimiento, se puede obtener en la web. El problema principal es ¿comó es que la consiguieron?, ya que si se puede acceder a esta información, se puede acceder a cualquier información, y eso si es un riesgo, por que, solo por ser benevolente, podría hasta alterarse la información, cambiar estados civiles, nombres, sexos, estados de fallecimiento y muchas otras cosas más. Hasta ahora este grupo solo ha dado una alerta para notificar que la información que guarda reniec, no es segura, y eso, si es peligroso.
saludos
Creo que nuevamente se esta atacando el problema por el lado equivocado, no croe que el problema sea que información tiene o no annonymous, es el ¿cómo la recolecto?, ya que esta información, la que ellos dicen o no publicar, no afectaría mucho a los ciudadanos mayores de edad ( en caso de los menores de edad ya es un peligro ), ya que es información publica, que con un poco de paciencia y seguimiento, se puede obtener en la web. El problema principal es ¿comó es que la consiguieron?, ya que si se puede acceder a esta información, se puede acceder a cualquier información, y eso si es un riesgo, por que, solo por ser benevolente, podría hasta alterarse la información, cambiar estados civiles, nombres, sexos, estados de fallecimiento y muchas otras cosas más. Hasta ahora este grupo solo ha dado una alerta para notificar que la información que guarda reniec, no es segura, y eso, si es peligroso.
saludos
El 14/03/15 a las 09:44, Ernesto
Cuadros-Vargas escibió:
--
--
Para enviar mensajes al grupo: sp...@googlegroups.com
Para retirarse del grupo: spc-l-un...@googlegroups.com
Para mas opciones: http://groups.google.com/group/spc-l?hl=es
---
Has recibido este mensaje porque estás suscrito al grupo "Sociedad Peruana de Computación (SPC)" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a spc-l+un...@googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.
Christian Paz-Trillo
Mar 16, 2015, 12:39:45 PM3/16/15
to Sociedad Peruana de Computacion
Un detalle adicional. Reniec vende estos datos, es decir, Reniec ofrece un servcio en el cuál, a través de un usuario/password, se pueden consultar estos datos. Esos servicios lo puede contratar una empresa común y corriente. Lo mismo con las partidas de nacimiento, tu las puedes solicitar en una PVM.
Esto quiere decir que de por si, el acceso a esos datos es "permitido" a un costo. Entiendo que si un banco quisiera podría bajarse un snapshot de la "BD de Reniec" formatearla y guardarla en sus servidores locales. El tema de la ley de datos personales por ese lado no sé como queda, se prohibirá a Reniec ofrecer este tipo de servicios?
El tema es como lo hicieron, puede ser
- una vulnerabilidad de seguridad de personas: alguien de dentro se sacó una copia de la BD, o
- una vulnerabilidad de servicios: alguien accesó a un servicio REST/SOAP o Web que está en la Web y que no tiene (o tiene algo muy básico) seguridad.
- una vulberabilidad de tipo SQL-Injection
- una vulnerabilidad de seguridad en sus firewall, q permite que se accese a su BD.
- otros que yo seguramente desconozco.
Hasta que Anonymous no diga cómo lo hicieron, todo queda en el campo de la especulación.
Saludos,
Christian
Yonsy Solis
Mar 16, 2015, 2:25:44 PM3/16/15
to sp...@googlegroups.com, Sociedad Peruana de Computacion
On Mon, Mar 16, 2015 at 11:08 AM, Christian Paz-Trillo
<cpazt...@gmail.com> wrote:
> Esto quiere decir que de por si, el acceso a esos datos es
> "permitido" a un costo. Entiendo que si un banco quisiera podría
> bajarse un snapshot de la "BD de Reniec" formatearla y guardarla en
> sus servidores locales. El tema de la ley de datos personales por ese
> lado no sé como queda, se prohibirá a Reniec ofrecer este tipo de
> servicios?
encontraras sera que para un tramite electronico en este pais, se exige
legalmente que la aplicacion consulte la base de datos deL Reniec en el
tramite, no que use un cache previo. el Reniec cobra por calls o
periodos por ese servicio a las instituciones que lo soliciten.
> Hasta que Anonymous no diga cómo lo hicieron, todo queda en el campo
> de la especulación.
usar esa informacion. Y el como en un caso ideal seria manejado por
Reniec y los greyhats/whitehats involucrados, de manera profesional
(repito ... dije ... en un caso ideal ...)
ahora claro, hasta el que lo digan o no lo digan podria ser un
ejercicio de ingenieria social de un grupo que se complace al ver como
un e-mail listing y demas grupos arman una discusion al respecto.
Yonsy Solis
Andres Silva
Mar 17, 2015, 12:14:29 PM3/17/15
to sp...@googlegroups.com
Creo que Eduardo ha hecho enfasis en lo más grave del asunto. Que puedan leer la información es malo, pero si el método que usaron les permite cambiar datos es un riesgo gravísimo. Sólo imaginar que podria hacerse si se pueden crear identidades fantasma totalmente oficiales...
Jhon Richard Huanca Suaquita
Mar 17, 2015, 2:06:40 PM3/17/15
to sp...@googlegroups.com
Saludos a todos apreciados amigos, soy de la idea que mediante la presente podamos sugerir algunos alcances y recomendaciones para evitar este tipo de eventualidades.
si hay alguna otra recomendación seria importante darlo a conocer.
Saludos...
ATTE, JHON RICHARD HUANCA SUAQUITA,
Date: Tue, 17 Mar 2015 05:11:33 -0700
From: silvan...@gmail.com
To: sp...@googlegroups.com
Subject: Re: [spc-l] Re: [episunsa] Hackean la BD de la RENIEC
ATTE, JHON RICHARD HUANCA SUAQUITA,
Date: Tue, 17 Mar 2015 05:11:33 -0700
From: silvan...@gmail.com
To: sp...@googlegroups.com
Subject: Re: [spc-l] Re: [episunsa] Hackean la BD de la RENIEC
Reply all
Reply to author
Forward
0 new messages