Disclaimer: en este post no daré nombres de personas ni empresas. Peeeeero, si se lo sabe cante! (y deje un comentario)
Este fin de semana, cierta empresa que entrega dosis diarias de tecnología en español sufrió un ataque que tuvo sus sistemas por el sueño un buen tiempo. Segun yo, impresentable. No puede ser que una compañía que se dice seria tenga sus sistemas abajo todo un fin de semana, más aún teniendo en cuenta las razones y/o explicaciones que dieron los encargados.
Si le interesa el tema, follow the white rabbit…
Las personas que realizaron el ataque, para dejar huella de sus actos, escribieron un post en la página de en cuestión para que el mundo supiera lo que estaba pasando. Como no leí dicho post, no puedo opinar al respecto, asi que centraré este artículo en las explicaciones que dieron los encargados que, a decir verdad, son muy estupidas.
“El ataque que recibimos tiene una morfología bastante clara, corresponde a un ataque de recopilación de información privada habiendo vulnerado las credenciales a una cuenta de acceso personal de uno de nuestros miembros. Con la información obtenida en esa cuenta lograron acceder a un repositorio privado de contraseñas que dejaron de ser utilizadas en enero de 2009.“
Pregunta: Si las contraseñas dejaron de ser utilizadas, cómo pudieron acceder a los sistemas de administración de la plataforma?
“Mediante los datos anteriores lograron acceder a un antiguo servidor de produccion lugar en el cual alcanzo a estar contenida la aplicación Beta ID, una vez dentro de este servidor el atacante realizo una copia del código fuente de la aplicación Beta ID, ademas de lograr obtener un dump de las credenciales cifradas (SHA256) de los usuarios. Luego mediante un ataque de colission hash lograron desencriptar algunas de las contraseñas criptograficamente más débiles basándose en diccionarios.”
Preguntas: Si el servidor aquel, el que tiene la BetaID, también es antiguo, por qué esas contraseñas todavia servian?! Cuánto te demoras en decifrar SHA256? Desencriptar basando en diccionarios? Ok…
“Adicionalmente a esto lograron acceder a los paneles de administración de uno de nuestras comunidades (FayerWayer) lugar desde el donde fue publicado un articulo en el CMS Wordpress dejando a disposición del publico general toda la información rescatada desde las cuentas personales que fueron accedidas de forma no autorizada previamente.”
A ver si entendí: Con contraseñas que dejaron de ser usadas en Enero de este año lograron vulnerar este sistema? De ser así, aún tienen información relevante en antiguos servidores de producción?
Personalmente tengo solo dos explicaciones para esto: O es todo mentira, o el sysadmin de la compañia esa es muy pelotudo. Creo que el error que cometiero es inacpetable y no puede ser que una compañia que se dedica a la tecnología no tenga procedimientos claros para solucionar estos inconvenientes, que siempre ocurren. Es inaceptable tener los sistemas abajo por dos dias mientras investigan qué paso. Es inaceptable tener servidores que alguna vez estuvieron en producción aún conectados a internet. Si vemos la seguridad como una cadena, esos antiguos servidores serían el eslabón que esta medio roto y por el cual podemos romper dicha cadena.
Ahora, hay mucha gente que piensa que esto fue un auto-hack para aumentar el tráfico en el sitio. De ser así, pasaria de ser inaceptable a patético. Y prefiero no creer eso.
Por suerte estos tipos no están encargados de administrar servidores que realmente son importantes: bancos, impuestos internos, aeropuertos, etc. Ya lo dije en un Twitt: Están caros hasta para administrar los servidores de la junta de vecinos
