23 OCT 2017

El ensañamiento de los hackers para Rosseau, la plataforma del Movimento 5 Stelle

La primera semana de agosto no fue fácil para el “Movimento 5 Stelle” (un partido político italiano) porque la plataforma “Rousseau” sufrió 2 ataques hacker en pocos días.

El sombrero blanco en la plataforma Rousseau del MS5 por parte de Evariste Gal0is

El primer ataque fue cometido por Evariste Gal0is, un “sombrero blanco”, hacker ético, cuya finalidad era avisar a los inscritos de la plataforma que sus informaciones sensibles podían estar en riesgo debido a una vulnerabilidad en el sitio. Evariste Gal0is, de hecho, descubrió 2 vulnerabilidades: una variable vulnerable a una inyección SQL y una vulnerabilidad relativa a las contraseñas.

La Inyección SQL nació en 1998 cuando Jeff Forristal la documentó en la revista web Phrack. Forristal escribió que el ataque consistía en la introdución de código no ejecutable por un usuario no autorizado. SQL – acrónimo de “Structured Query Language” – es un lenguaje de programación usado para administrar y ejecutar comandos en las bases de datos. Sencillamente, SQL funciona en esta manera: si el URL de la noticia 1 es “id=1”, sin duda la noticia número 2 tendrá “id=2”. Con un ataque inyección SQL, el hacker manipula el id del URL con un parámetro que obliga el servidor a hacer algo que no tendría que hacer, como ofrecer datos reservados que están en la base de datos.

El ataque es repetido más veces para sacar el mayor número de fragmentos de datos de la base de datos y para acelerar la operación, se usan instrumentos que automatizan una parte de estos procesos, como “Havij”, disponible para Windows con una interfaz gráfica y usado a menudo por los principiantes o “SQLmap”. SQLmap explora los sitios web exactamente como hace el Googlebot, a la búsqueda de formularios web de entrada, una vez encontrados los vuelve a enviar con las entradas que podrían generar un error de sintaxis SQL. La Inyección SQL es una de las maneras más sencillas para atacar, pero propio por su simplicidad es igualmente fácil contrastarla, como vamos a ver dentro de poco.

Volviendo al ataque de la plataforma del Movimento 5 Stelle, el hacker tuvo acceso al sistema sin nigun permiso y pudo visualizar y en su caso descargar una serie de informaciones, contenidas en la base de datos, de los inscritos en el sitio. Estas eran informaciones sensibles de los usuarios como nombre, apellido, correo electrónico, ciudad de residencia, importe abonado y el servicio de pago usado.

Atacada la plataforma Rosseau del MS5 a través de las contraseñas

La segunda vulnerabilidad estaba relacionada con las contraseñas: estas no podían ser más largas de 8 carácteres que son exactamente aquellos de las fechas de nacimiento en el formato día/mes/año. Evariste Gal0is quiso probar desencovar estas contraseñas usando una lista de números de 00000000 a 99999999 y usando el programa gratuito “John The Ripper” En 21 horas, en una muestra aleatoria de 2.571 cuentas de usuarios, logró piratear 136 contraseñas, con un resultado positivo del 5,40%, afirmando que se trata de: “Un porcentaje no irrisorio que podría cambiar el resultado, por ejemplo, de las votaciones online”.

En seguida Evariste Gal0is trató de avisar a los responsables del sitio del Movimento 5 Stelle. Con el breve intercambio de correos electrónicos que tuvo con el estaf, supo que este de inmediato se prodigó para resolver la vulnerabilidad. Aprovechado de este intercambio, Evariste Gal0is subrayó que había otras vulnerabilidades en el sitio. Después dedició dar a luz un sitio llamando #Hack5Stelle en el que exponía lo que había pasado sin, pero, dar a conocer la variable vulnerable. La finalidad del sitio era simplemente la de avisar a “los inscritos de una dicha, potencial, pérdida de datos e informaciones reservadas” precisando desde el principio que no se trataba de “un ataque político”. En el sitio, además, Evariste Gal0is sugirió a los usuarios inscritos en la plataforma Rousseau cambiar la contraseña de su propia cuenta de usuario del sitio web y de todas las cuentas de usuario para no incurrir en el riesgo de un robo de datos o en el riesgo profiling, es decir ver su proprio nombre en una lista de los donantes del Movimento.

Después de 2 días, la plaforma Rousseau sufrió otro ataque hacker, esta vez con finalidades muy diferentes y pocos nobles por un “sombrero negro”, un hacker malo, R0gue_0, que una vez sacados datos como nombres, apellidos, DNI e importe de la donación, los publicó en Twitter añadiendo poseer miles de páginas robadas al sistema operativo y que es “demasiado simple jugar con vuestros votos [del Movimento 5 Stelle]”. A finales de septiembre, R0gue_0, volvió por más escribiendo en su cuenta Twitter: “Tranquilos, Luigi di Maio ya ha ganado, os lo aseguran docenas de mis votos certificados” publicando capturas de pantallas en las cuales cada vez figuraba como un usuario diferente. Prácticamente parece haya votado por algunos inscritos del sitio aprovechando de otra vulnerabilidad de la plataforma. Parece que el Movimento 5 Stelle haya notado estos ataques, pero afirmió haber logrado rechazarlos y Beppe Grillo, en su blog, garantizó a los usuarios que: “A raíz de las verificaciones, podemos asegurar que la votación se desarolló regularmente y ningun voto fue manipulado”.

Estos ataques, de todas formas, señalan que en términos de seguridad informática la plataforma Rousseau tiene que ser revisionada porque los datos de lo inscritos no parecen estar realmente a salvo, los sombreros negros están siempre al acecho para aprovechar de las vulnerabilidades y además luchar contra un ataque inyección SQL es fácil. Por ejemplo se pueden usar unos “prepared statement” que establecen la semántica de una query string para que los datos en entrada no sorprendan la base de datos y el servidor o las líbrerias Inyección SQL que permiten modificar automáticamente las partes potencialmente nocivas de las entradas malévolas.

Las soluciones para prevenir estos tipos de ataques existen, la pregunta es por qué no son utilizadas o implementadas. La respuesta es fácil: a menudo quien trabaja en el ámbito seguridad, irónicamente, no tiene mucha experiencia en el campo y puesto que tiene que entregar en seguida el producto ordenado, ignora los aspectos de seguridad. Se espera que quien se ocupe de la seguridad de la plataforma Rousseau, en este caso, no subestime otra vez este aspecto y ojalá siga también otro consejo de Evariste Gal0is, el de crear un programa de “bug bounty” que consiste en el invitar a quien note una vulnerabilidad a señalarla a cambio de una recompensa. De esta manera el hacker vendría recompensado por su información, el sitio podría ser en seguida más seguro y los inscritos en la plataforma podrían estar más tranquilos de la seguridad de sus propias informaciones sensibles.

Elaborado por Lucia D’Adamo, en colaboración con Andrea Petriglia, supervisado por Marco Pirrone

Últimas Noticias