Hackeo a NIC.PY

Sorry, this post is spanish only.

En la tarde de hoy jueves, un compañero de trabajo me comenta que la página principal del sitio www.google.com.py fue modificada. Descartando algún problema con Google en sí (en donde trabajan algunos de los mejores expertos en seguridad del mundo), mi primer sospecha fue que el servicio DNS a nivel Paraguay fue comprometido. Lo cual es evidente siguiendo el enlace a la página de los "hackers" iraníes, que relata el detalle del ataque realizado: http://ha.cker.ir/2014/02/www-nic-py-py-registrar-rce-vulnerablity/.

DN... ¿qué?

El sistema de DNS (Domain Name System o Sistema de Nombres de Dominio) es un componente crucial en el funcionamiento de Internet. Su tarea principal es la de poder traducir nombres legibles para seres humanos, como google.com, www.mibanco.com.py, etc, en direcciones numéricas de cuatro números separados por puntos, como 201.217.0.176 o 201.217.19.9.

Estos números tienen por nombre "dirección IP" y sirven para que una máquina pueda establecer una conexión con otra dentro de Internet. Básicamente, cada equipo conectado a la red tiene asignado una dirección IP. Cuando una computadora (de escritorio, tablet o celular) desea acceder a un sitio web por su nombre, si o si debe realizar una consulta DNS para convertir el nombre consultado en una dirección IP.

¿Y cómo me afectaría algo así?

La clave para entender la gravedad de lo que ocurrió, es que el sistema DNS funciona de manera jerárquica. La jerarquía comienza por los Servidores Raíz DNS, que delegan la respuesta de consultas por sitios con la terminación '.py', a los servidores DNS de NIC.PY, que pueden responder con autoridad por CUALQUIER sitio que termine en .PY. Esto hace posible que alguien que llegue a tener acceso a NIC.PY, pueda alterar a qué servidor físico se accede cuando se ingresa una dirección cualquiera que termine en .PY, simplemente respondiendo con una dirección IP diferente a la auténtica, para una determinada consulta.

Esto permitiría a un atacante realizar una copia de un sitio web de algún banco local y alojarlo en un servidor de su propiedad que automáticamente almacene las credenciales para los usuarios que intenten acceder a la banca web del mismo. Un usuario no técnico difícilmente tenga posibilidad de darse cuenta de que no está accediendo al sitio que desea, ya que la barra de direcciones del browser mostraría una dirección correcta. Lo del banco es sólo un ejemplo, pero practicamente cualquier sitio con la terminación .PY puede verse afectado por un ataque así.

Esto es alarmante, no sólo por el abanico de posibilidades que abre el ataque que se realizó, sino por lo relativamente sencillo que les fue a los atacantes realizar las alteraciones de dominio, evidenciados en los siguientes motivos:

Técnicamente hablando, el servidor de NIC.PY:

  1. Usa un Sistema Operativo muy desactualizado. Día a día se descubren errores en muchos componentes de software que forman parte de un servidor, desde el componente principal (kernel) del sistema operativo, y varios de los componentes que brindan servicios de red, como por ejemplo, la posibilidad de servir páginas Web. El sitio de los "hackers" mostraba claramente que varios de los componentes del servidor de NIC.PY no habían sido actualizados desde 2010.
  2. Utiliza una aplicación web vulnerable a ejecución remota de código. Esto significa que una persona, virtualmente desde cualquier parte del mundo, puede enviar una combinación especial de texto a la web del NIC.PY usando únicamente su navegador web, con lo cual se pueden ejecutar comandos que resulten en exposición de información confidencial del equipo de NIC.PY, alteración de datos, destrucción de información, y un sinnúmero de actos que ponen en riesgo el funcionamiento correcto de los servicios que brinda.
  3. No poseía un esquema mínimo de hardening. Se llama "hardening" a una práctica correspondiente a ocultar información de los servicios que se ejecutan en un servidor, y en el caso de una intrusión, dificultar que el atacante pueda lograr privilegios que le permitan alterar información en el equipo atacado. Por la facilidad con la que los intrusos detallan su ataque, nada de eso fue realizado.

A todos estos factores, hay que sumar a que ya fueron explotados previamente (al menos 5 años atrás!), y nuevamente en el 2012, sin siquiera tomarse la molestia de 'limpiar' el equipo de los rastros de ataque. Y que varias de las falencias técnicas comentadas aquí ya fueron expuestas en ocasiones previas: http://ticpy.blogspot.com/2008/11/el-cnc-y-una-nueva-negligencia_4917.html.

Para un país con una brecha digital inmensa, con deficiencias de infraestructura enormes en los servicios más básicos, esto constituye una muestra más de la desidia y falta de capacidad de quienes nos gobiernan, que con su inacción no solamente nos siguen sumiendo en el atraso, sino que también ponen en riesgo nuestras actividades diarias.

Comentarios

Comments powered by Disqus