1 de enero de 2007

Diecinueve páginas web del Estado son víctimas de ataque informático por falla en software no libre del CNTI

Anoche, mientras la mayoría rumbeábamos y celebrábamos, un joven (o una joven, quien sabe) autodenominado J4iber violó la seguridad de no menos de 24 páginas web, de las cuales 21 son o están relacionadas con el gobierno bolivariano. Entre las más conocidas figuran la página de la Vicepresidencia, la Guardia Nacional, la Onidex y la Lotería del Táchira. Listas completas de las páginas hackeadas pueden encontrarse en Noticiero Digital o en el foro de Aporrea o en esta página donde ellos mismos están publicando sus ataques.

(Página web de la Vicepresidencia)


Casi todos los ataques son consecuencia directa o indirecta de usar software NO libre en estos sitios web. Para el momento de terminar esta nota (1 de enero a las 11.30 am), la mayoría de las páginas afectadas no habían sido arregladas a pesar de que el problema se conocía desde ayer a las 7 u 8 de la noche.

"J4iber" aparentemente descubrió un problema de seguridad en el software GP o GenPortal, el Generador de Portales del CNTI, y aprovechó la vulnerabilidad para atacar 19 de las 24 páginas hackeadas, incluyendo algunas hospedadas en el mismo CNTI. El hackeo en estas páginas se limitó a colocar mensajes de "Hacked by J4iber". Otras páginas, como la Vicepresidencia, la Onidex, la Lotería del Táchira y la Gobernación del Zulia, fueron víctimas de un ataque a los DNS de Cantv.net, que permitió que su dominio o dirección web apuntara hacia un servidor de los hackers con un mensaje como el mostrado en la imagen de arriba.

Quienes tienen tiempo en el mundo del software libre saben que la Comunidad ha criticado mucho a GenPortal debido a que, a pesar de la existencia del Decreto 3.390 para la Migración a Software Libre, sin embargo el CNTI se ha negado a publicar el código fuente. Entre otras cosas, han argumentado "razones de seguridad", afirmando que si el código se publicara, los errores del mismo se conocerían y eso ayudaría a los hackers a atacar sitios web del Estado.

Bien, "J4iber" acaba de probar eso es falso; él aparentemente no necesito tener acceso al código fuente de GenPortal para atacar 19 páginas web del Estado en una sola noche. Si se hubiera publicado el código fuente de GenPortal, muchas personas lo habrían bajado, lo habrían instalado, habrían encontrado errores o vulnerabilidades y las habrían reportado a sus programadores para que las corrigieran. Lamentablemente, se prefirió esconderse en el oscurantismo, rogando a Dios que nadie encuentre los errores que todo programa tiene en sus primeras etapas, y he allí el resultado.

(Página web de la Guardia Nacional)

Alternativas y sugerencias

Aún así, mi sugerencia a quienes vayan a instalar portales y software de gestión de contenido es: no se ciñan a una sola solución. En el mundo del software libre, existen CIENTOS de softwares de administración de contenidos que están disponibles para descargarse e instalarse gratuitamente. La página web OpenSourceCMS permite examinar y probar (sin necesidad de instalar) más de cien manejadores de contenidos distintos, todos siendo open source o Software Libre.

La ventaja de estos aplicativos es que llevan años siendo probados en miles de páginas web alrededor del mundo y sus principales problemas de seguridad ya fueron detectados y corregidos. Entre los más conocidos tenemos a Drupal, Joomla, MediaWiki (el que usa Wikipedia), Xoops, EZ Publish, Exponent y WebGUI.

A muchos no les gusta estos CMS porque tienen que construir un sitio web grande con necesidades muy específicas. En estos casos, existen "frameworks" o ambientes de desarrollo web con funciones y módulos ya creados, que simplifican mucho el desarrollo de una aplicación web claramente estructurada, tales como el famosísimo Ruby on Rails, o sus equivalentes en otros lenguajes, como Catalyst en perl, Django o Zope en Python. Yo particularmente estoy experimentando con Simfony en PHP, y sus resultados me han dejado bastante asombrado.

Lo mejor de estos frameworks es que ya vienen protegidos contra las vulnerabilidades más comunes, producto de tener años siendo utilizados por miles de personas alrededor del mundo. Ninguno de estos frameworks sucumbirá ante una inyección SQL, pero si usted contrata a un programador novato para que haga una aplicación web desde cero en PHP, seguro que sí tendrá esos problemas.

¿Y el hacker?

En cuanto a "J4iber", originalmente afirmé en este espacio que él es un "script kiddie" pero él nos dejó un comentario afirmando que no lo es, y que él descubre las vulnerabilidades por sí mismo usando sus propias herramientas. A "J4iber" le recomiendo que sea más profesional en el tratamiento de estos casos: él hubiera podido comunicarse con los dueños de las páginas web para avisarles del error (tal vez mediante email) y luego de darles dos semanas para arreglarlos, publicaba en un blog o en un sitio web reconocido un informe técnico de cuales eran las vulnerabilidades, así como los pasos necesarios para corregirlas. Eso lo hubiera podido hacer con su nombre y apellido, y se hubiera visto como algo muy profesional y que le hubierahecho ganar una sólida reputación.

"J4iber" podrá ser trazado con alguna facilidad a través de los organismos de seguridad del Estado... queda de parte de ellos ver si hay la voluntad para ubicarlo y castigarlo poniéndolo a pintar algunas paredes, o haciendo algún otro servicio comunitario.

En fin, fue muy lamentable este ataque contra páginas web del Estado. Pero es más lamentable que muchos de estos ataques hubieran podido prevenirse con políticas adecuadas, que para colmo han sido decretadas y reforzadas por el propio Presidente de la República y sugeridas por las comunidades de software libre.
Publicar un comentario