Bugs y Exploits

La Asociación de Internautas investiga el tema.
Estos últimos días ha saltado un gran escándalo en la Comunidad de Madrid por unas supuestas irregularidades detectadas en la oposiciones de Auxiliar Administrativo a la que se presentaron más de 18400 candidatos para optar a 364 plazas.

06-07-2004 - Todo normal, en España se celebran miles de oposiciones anualmente, pero no todos los candidatos tienen la "fortuna" o la "desgracia" de ver publicadas en Internet las preguntas del examen antes de realizarlo. Esta "supuesta" filtración de las preguntas por parte de algún funcionario o bien debido a un "posible robo", está creando un clima de confusión y malestar entre los opositores y la CAM. Gran parte de los opositores llevan mucho tiempo, esfuerzo y dinero invertido en preparar esta oposición y ven frustrado todo su esfuerzo.

¿Cómo es posible que ocurra este "supuesto fraude" y las preguntas estén publicadas en Internet?

Esta pregunta puede que también se la haga Miguel Angel López, Director General de Función Publica, que ha mandado una investigación para intentar aclarar esta posible filtración de las preguntas en el foro www.opositor.com por un usuario llamado "Beatben12" donde publicó 31 preguntas del examen.

Desde la Asociación de Internautas nos ponemos a investigar el tema.

Contamos con estas pistas;
- Juan Carlos Fraile, presidente del tribunal calificador, escogió los formularios desde su ordenador pero con la precaución de una "previa desconexión de la red". Nos sorprende el Sr. Fraile, es un experto psicólogo, pero ¿es a su vez un buen experto en seguridad informática?. En principio parece que procedió correctamente desconectándose de la red a la hora de realizar los exámenes, pero cuando terminó ¿se conectó? ¿Borró de su disco duro todo lo referente al tema? Hay programas que se encargan de capturar todo lo tecleado y luego más tarde enviarlo a un destino, ¿en este ordenador se realizó un estudio forense de seguridad al notificarse lo ocurrido?

- Cuatro inspectores y técnicos de los Servicios informáticos de la Comunidad de Madrid están investigando el asunto y pronto emitirán un informe técnico indicando si hubo manipulación en las preguntas y fechas en el foro donde se publicaron, www.opositor.com.

- Comprobamos que dicha web no es muy segura y realizamos un volcado de la misma;

- La web www.opositor.com no guarda logs de IPs.

Con estos datos queremos ver en este artículo de investigación hasta dónde podemos llegar, si se pueden manipular los datos de la web sin ser su Administrador usando técnicas hechas públicas por los descubridores de estos fallos de seguridad.
Advertimos que no vamos a meternos a hackers y si encontramos algún fallo que pueda provocar un daño a la web avisaremos al webmaster. Si se demuestra que se pueden manipular las fechas de las preguntas la oposición no puede ser impugnada, dichas preguntas fueron escritas el día antes del examen de la oposición.

Miramos los mensajes del usuario que publicó las preguntas de la oposición, "BEATBEN12";

Nos damos de alta en el foro y queremos ver si se puede suplantar al usuario "BEATBEN12", con poco esfuerzo lo realizamos y tenemos nuestro propio usuario "BEATBEN12" que suplanta al mismo usuario causante de las "posibles irregularidades", una imagen vale mas que mil palabras;

Realizamos algunas pruebas y muchos internautas se percatan porque el tema está muy caliente.

Manipulamos la cookie del usuario creado, para cambiar valores de usuario y probar una posible "escalada" de privilegios de usuario.

usuarioCRMID95008www.opositor.com/15362618878336XXXXXXXX8*

Comprobamos algún pequeño fallo de SQL y de CGI.

Destacamos que cualquier usuario puede "suplantar" a otro sin mucho esfuerzo y puede escribir con su nick, únicamente hace falta teclear un conocido fallo de seguridad en cualquier navegador;

http://www.opositor.com/foros/alta_pregunta.php?autor=NICK-A-SUPLANTAR&subject=&--ELIMINADO POR SEGURIDAD--

Después de varias comprobaciones vemos que un usuario de nivel bajo/medio en temas informáticos no está suficientemente capacitado para realizar una manipulación mayor en la web ni el foro de www.opositor.com y la mejor forma de manipular las fechas de las preguntas es por medio de una entrada de escalada de privilegios de usuario ya que la inyección de datos sería un poco más costosa y debería tener un acceso a la base SQL para la modificación; esto no es imposible, en la seguridad informática no hay nada al seguro al 100%.

Falta saber si realizaron análisis "periciales" en los ordenadores por los que pasaron los exámenes; esto es muy importante pare esclarecer este enigma de filtración de datos en Internet.


La decisión final la tiene que tomar la CAM, si hubo o no fraude en las oposiciones de Auxiliar Administrativo y anular por irregularidades dando como pruebas válidas las preguntas sacadas a la luz por el usuario "BEATBEN12".

Todo sea que después de tomar una decisión final salgan a la luz más datos. La Asociación de Internautas sigue investigando el caso.

Realizado por;
José María Luque miembro del equipo de seguridad de la Asociación de Internautas.

1ª Campaña Mundial de Seguridad en la Red

http://seguridad.internautas.org

Asociación de Internautas