1 de enero de 2007

Diecinueve páginas web del Estado son víctimas de ataque informático por falla en software no libre del CNTI

Anoche, mientras la mayoría rumbeábamos y celebrábamos, un joven (o una joven, quien sabe) autodenominado J4iber violó la seguridad de no menos de 24 páginas web, de las cuales 21 son o están relacionadas con el gobierno bolivariano. Entre las más conocidas figuran la página de la Vicepresidencia, la Guardia Nacional, la Onidex y la Lotería del Táchira. Listas completas de las páginas hackeadas pueden encontrarse en Noticiero Digital o en el foro de Aporrea o en esta página donde ellos mismos están publicando sus ataques.

(Página web de la Vicepresidencia)


Casi todos los ataques son consecuencia directa o indirecta de usar software NO libre en estos sitios web. Para el momento de terminar esta nota (1 de enero a las 11.30 am), la mayoría de las páginas afectadas no habían sido arregladas a pesar de que el problema se conocía desde ayer a las 7 u 8 de la noche.

"J4iber" aparentemente descubrió un problema de seguridad en el software GP o GenPortal, el Generador de Portales del CNTI, y aprovechó la vulnerabilidad para atacar 19 de las 24 páginas hackeadas, incluyendo algunas hospedadas en el mismo CNTI. El hackeo en estas páginas se limitó a colocar mensajes de "Hacked by J4iber". Otras páginas, como la Vicepresidencia, la Onidex, la Lotería del Táchira y la Gobernación del Zulia, fueron víctimas de un ataque a los DNS de Cantv.net, que permitió que su dominio o dirección web apuntara hacia un servidor de los hackers con un mensaje como el mostrado en la imagen de arriba.

Quienes tienen tiempo en el mundo del software libre saben que la Comunidad ha criticado mucho a GenPortal debido a que, a pesar de la existencia del Decreto 3.390 para la Migración a Software Libre, sin embargo el CNTI se ha negado a publicar el código fuente. Entre otras cosas, han argumentado "razones de seguridad", afirmando que si el código se publicara, los errores del mismo se conocerían y eso ayudaría a los hackers a atacar sitios web del Estado.

Bien, "J4iber" acaba de probar eso es falso; él aparentemente no necesito tener acceso al código fuente de GenPortal para atacar 19 páginas web del Estado en una sola noche. Si se hubiera publicado el código fuente de GenPortal, muchas personas lo habrían bajado, lo habrían instalado, habrían encontrado errores o vulnerabilidades y las habrían reportado a sus programadores para que las corrigieran. Lamentablemente, se prefirió esconderse en el oscurantismo, rogando a Dios que nadie encuentre los errores que todo programa tiene en sus primeras etapas, y he allí el resultado.

(Página web de la Guardia Nacional)

Alternativas y sugerencias

Aún así, mi sugerencia a quienes vayan a instalar portales y software de gestión de contenido es: no se ciñan a una sola solución. En el mundo del software libre, existen CIENTOS de softwares de administración de contenidos que están disponibles para descargarse e instalarse gratuitamente. La página web OpenSourceCMS permite examinar y probar (sin necesidad de instalar) más de cien manejadores de contenidos distintos, todos siendo open source o Software Libre.

La ventaja de estos aplicativos es que llevan años siendo probados en miles de páginas web alrededor del mundo y sus principales problemas de seguridad ya fueron detectados y corregidos. Entre los más conocidos tenemos a Drupal, Joomla, MediaWiki (el que usa Wikipedia), Xoops, EZ Publish, Exponent y WebGUI.

A muchos no les gusta estos CMS porque tienen que construir un sitio web grande con necesidades muy específicas. En estos casos, existen "frameworks" o ambientes de desarrollo web con funciones y módulos ya creados, que simplifican mucho el desarrollo de una aplicación web claramente estructurada, tales como el famosísimo Ruby on Rails, o sus equivalentes en otros lenguajes, como Catalyst en perl, Django o Zope en Python. Yo particularmente estoy experimentando con Simfony en PHP, y sus resultados me han dejado bastante asombrado.

Lo mejor de estos frameworks es que ya vienen protegidos contra las vulnerabilidades más comunes, producto de tener años siendo utilizados por miles de personas alrededor del mundo. Ninguno de estos frameworks sucumbirá ante una inyección SQL, pero si usted contrata a un programador novato para que haga una aplicación web desde cero en PHP, seguro que sí tendrá esos problemas.

¿Y el hacker?

En cuanto a "J4iber", originalmente afirmé en este espacio que él es un "script kiddie" pero él nos dejó un comentario afirmando que no lo es, y que él descubre las vulnerabilidades por sí mismo usando sus propias herramientas. A "J4iber" le recomiendo que sea más profesional en el tratamiento de estos casos: él hubiera podido comunicarse con los dueños de las páginas web para avisarles del error (tal vez mediante email) y luego de darles dos semanas para arreglarlos, publicaba en un blog o en un sitio web reconocido un informe técnico de cuales eran las vulnerabilidades, así como los pasos necesarios para corregirlas. Eso lo hubiera podido hacer con su nombre y apellido, y se hubiera visto como algo muy profesional y que le hubierahecho ganar una sólida reputación.

"J4iber" podrá ser trazado con alguna facilidad a través de los organismos de seguridad del Estado... queda de parte de ellos ver si hay la voluntad para ubicarlo y castigarlo poniéndolo a pintar algunas paredes, o haciendo algún otro servicio comunitario.

En fin, fue muy lamentable este ataque contra páginas web del Estado. Pero es más lamentable que muchos de estos ataques hubieran podido prevenirse con políticas adecuadas, que para colmo han sido decretadas y reforzadas por el propio Presidente de la República y sugeridas por las comunidades de software libre.

16 comentarios:

Anónimo dijo...

Saludos a Todos, Soy J4iber, queria hacer una aclaracion, no soy ningun Script Kiddie, yo mismo busco vulnerabilidades en los sistemas informaticos, yo mismo programo el xploit para explotar el bug, yo mismo lo exploto, luego publico el bug... a eso se le llama... Defacer.... Busquen En Google que significa... Bye!!
Msn: J4iber@diosdelared.us

luigino dijo...

Gracias por escribir J4iber. Si yo hubiera sido tú y hubiera descubierto esas vulnerabilidades, primero hubiera tratado de comunicarme con los dueños de esas páginas web para avisarles del error... y luego de algunos días, hubiera publicado las vulnerabilidades detalladamente (tal vez en un blog o un sitio web serio), incluyendo cual era el error, cómo se solucionaba y como prevenir futuras amenazas.

Eso lo hubieras podido hacer con tu nombre y apellido porque no es ilegal, y te hubiera ayudado a ganarte una buena reputación y a conseguir empleo, aún siendo un bachiller. De hecho, así se ganan la vida muchos asesores de seguridad.

Anónimo dijo...

Este J4iber es lo mismo de siempre, pierden la oportunidad de ser alguien beneficioso para las comunidades por dejarse arrastrar por la enfermedad política, ojala cambie esa actitud, la aptitud si puede que la tenga, amanecerá y veremos.

rafaelitop dijo...

Epale Luigino, Feliz Año.

Sabes que yo también publiqué esta noticia en mi blog y al rato me agregó a msn Hanowar (del mismo grupo que j4iber e incluso el hackeo la web del Ministerio de Finanzas).

Me comentó que lograron acceder a todas estas webs del Estado gracias a un fallo de CANTV, pero se guardo los detalles del mismo. También me dio un link donde aparecen todos los atques que han realizado desde la lotería del Tachira hasta la gobernación del Zulia.

Aquí te dejo el link directo al post por si lo quieres ver..

http://rafaelitop.blogspot.com/2006/12/regalo-de-fin-de-ao-hackeada-onidex.html

saludos!

Damián dijo...

Aunque él diga que no es un script kiddie, es lo que utilizó para entrar a aquellos sitios donde la vulnerabilidad se encuentra en los foros del generador de portales del CNTI. Con respecto al sitio de Vicepresidencia y el de la Onidex son servidores basados en Windows 2000, la cual llueven vulnerabilidades.

Bruno dijo...

Tampoco es que sea un genio, el o ella lo que hizo lo hizo por publicitarse y para cobrar sus quince minutos de fama.

No obstante, hay que corregir esas fallas de seguridad, y hay que migrar TODA la plataforma tecnológica del Estado a Open Source, pero para ayer !!!

luigino dijo...

Algunos de los hackeos, como el de la Vicepresidencia, Onidex y LoteriaDelTachira, fueron aparentes ataques al servidor DNS de Cantv, pero otros, como el de GenPortal, fueron vulnerabilidades de este software.

fpalm dijo...

Pienso que no deberíamos dedicar tanto tiempo en pensar sobre las
hazañas bastante simplonas de un script kiddie
(http://es.wikipedia.org/wiki/Script_Kiddie), y nos nos hayamos detenido
a revisar el trabajo enormemente productivo y útil de varios miembros de
la comunidad.

Deberíamos estar hablando en detalle de los casos exitosos de migración,
de desarrollo de nuevas soluciones, de difusión en las comunidades, etc.
etc.

Suscribo las recomendaciones de Lubrio, la política de andar haciendo paginitas en PHP desde cero es absurda. Del mismo modo estar usando el IIS (con las configuraciones por defecto!!). En todo caso podrían tomar algo como Drupal y estudiar línea-por-línea lo que tienen allí y entenderlo. Pero el problema no son los desarrolladores sino quienes toman las decisiones por encima de estos.

Saludos

Nelson Nieto dijo...

agrega esta a la lista

http://www.cicpc.gov.ve/

luigino dijo...

Eso sí que es una provocación... casi que "A QUE NO ME ATRAPAS, LERO LERO"

Bruno dijo...

Luigino, de pana y todo, cómprale los derechos de la historia a J4iber... no vaya a ser que Dream Works y Spielberg quieran hacer la película... xD

El CICPC debería darle la tarea de descubrir a ese script kiddie al pana de CANTV Rafael Nuñez, ese pana si es un hacker y no un script kiddie.

Aunque hay que reconocer que el chamo se tomó muy en serio el slogan de "A3VT", je je je.

Jeanfreddy dijo...

Gracias por hacer referencia a la entrevista hecha a los dos chicos... parece que ninguno de los que publicamos la noticia supo mucho del otro jejeje (Rafaelito, Egg, tú, yo y finalmente algún forista de NoticieroDigital). Hanowar me dijo que no sabe nada de J4iber y qué pasando por su casa sólo escuchó gritos e insultos.

r4str0 dijo...

¿Te contrataron para hacer dichas pruebas de seguridad?, hmmm, es que en Venezuela está la "Ley Especial contra Delitos Informáticos", que justamente, penaliza ese tipo de actividad.

Anónimo dijo...

"el hacker": Niño inmaduro, que quiere atencion.

NATALY dijo...

j4iber, que tal te fué en delitos informáticos? le contaste a ellos lo que hiciste con el acceso a boss que te dieron? ah no! dijiste que habías descubierto un bug!!! me imagino tu super ego junto con el de juano (el bobotron de hanowar) te dieron el empleo luego de la super mendigada que hiciste? jajaja ya tienes 7 millones de personas que de seguro te van a querer contratar!!! por cierto, leyeron lo que escribió? el programa sus propios xploits (JAJAJAJA, no son EXPLOITS?? creo que necesitarás buscar en google mejor para que aprendas a diferenciar) o sea que usas fake mails html pillin!, en fin, mi nombre es Nataly, deberías de preguntarle a juano el otro super juaquer elite american defacers no sé que vaina por mi, lo conozco desde hace tiempo y dejame decirte que solo es un hazme reir. por cierto, te suena ANGELESDAM??? curioso login no? como no te ví en cicpc para yo misma enseñarte a respetar, que bien que te decomisaron tus pcs, que bien que estas más que fichao, que bien que tienes tremendo rayon en tu expediente, felicitaciones por tu super juackeo, pobre diablo!

Anónimo dijo...

ok...para los chavistas y escualidos......no se ofendan..solo pienso que.....de toda esta porqueria de cruse de informacion, nosotros el glorioso pueblo de venezuela salimos perjudicadisimos y rayadisimos...no se porque se dedican algunos a sabotear las cosas, como por ejemplo el ataque a la pagina web de la onidex. o es que acaso como he escuchado de otros blog que es un movimiento para que la gente desista de sacar los pasaportes....me tienen cansado de verdad de todo eso..yo soy un perjudicado ya que tengo desde el 20 de febrero tratando de tener un cupito para optar a sacar mi pasaporte. pero la gente me suguiere por la ineficiencia del sistema que le pague a un gestor para que me solicite el cupo....¿? queee no joda yo no le pago a nadie por hacer mis huevonadas...pienso que es que existe corrupcion dentro de las filas del gobierno o de verdad hay un grupo de infelices que les encanta sabotear las cosas (no me consta) pero me da la impresion de que es una mescla de ambas.....por favor....ayudenos ,ayuden a que este pais no se caiga a pedasitos, ayuden al projimo,a su pueblo....al que le gusta trabajar y hacer las cosas como lo manda la ley.....y tengan la seguridad que viviremos en el mejor pais del mundo....el pais grande que soño una vez un caraqueño..ya sabes cual....