Etiquetas
Se está hablando mucho, y condenando, el deface al web de Promusicae. Dado el historial de manipulación de información, dilapidación de dinero público, falsas acusaciones, mala fe procesal de estos lobbies no me acaba de convencer del todo que haya sido un deface, es el momento demasiado oportuno para demostrar a los medios cuán malos son los «piratas».
Así que me puse a mirar lo básico, descubrí que el deface era muy tonto. Esto es lo que encontré en la página principal (un fichero index.php):
La redirección hacia el fichero espanol.html (que tiene una copia del manifiesto) se hace en las primeras líneas, específicamente en:
<script type="text/javascript"> parent.location.href='espanol.html'; </script>
Es decir son dos líneas de JavaScript que las inserta un fichero PHP. Luego parecen estar los datos completos. Lo comparo con la versión actual del sitio ya «recuperado» y es el mismo código. Es decir, no se modificó el fichero index.php, sólo el espanol.html.
El fichero original (y actual) es sólo:
<html> <head> <title>Promusicae</title> <!-- revised Mar 5, 2007 - Powered by www.dasai.es --> <link rel="shortcut icon" href="favicon.ico" > <link rel="P3Pv1" href="/w3c/p3p.xml"> <meta http-equiv="P3P" content='CP="CAO PSA OUR" policyref="/w3c/p3p.xml"'> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> </head> <frameset rows="*,0" frameborder="NO" border="0" framespacing="0"> <frame src="flashpage_pruebas.php?lang=espanol" name="flashframe" frameborder="NO"> <frame src="0.html" name="historyframe" frameborder="NO"></frameset> <noframes><body bgcolor="#FFFFFF"> </body></noframes> </html>
Un fichero muy pequeño que sólo define los frames y llama a otros dos ficheros.
Es decir, el deface consistió en subir y cambiar el fichero espanol.html al directorio de la página principal. Para ello se necesita un método para escribir ficheros en el directorio, bien porque tiene un problema de seguridad o porque tiene acceso como usuario del sistema, con privilegios para escribir en el directorio correspondiente.
Pero, ¿por qué no grabar ese fichero como index.html o index.php? Es lo habitual en estos caso, y se obtiene el resultado deseado de forma muy rápida, en poco tiempo y pocas conexiones.
Otra duda. Como se hackeó un sistema propietario no se tiene acceso a scripts ya preparados para atacar, por lo que el que lo hizo debía saber ser un especialista que no quiso causar más daños (podría haber borrado los demás ficheros). Este tipo de gente suele dejar mensajes llamativos y además firmado (del tipo «Lo hizo el Hax0rs Turkish t34M«) para que sus colegas del ambiente pudiesen verificar su logro. Pero tampoco hay ningún mensaje, el HTML que se subió es muy mecánico, con errores (por ejemplo le falta <body></body>) y que por las etiquetas parece un copy&paste chapucilla del manifiesto desde algún blog (y además se tomó el trabajo de borrar el nombre del programa generator):
Otras duda. El servidor estuvo con ese fichero varias horas, hasta que cerca de las 23 hs lo han parado completamente, pocos minutos después ya estaba nuevamente en marcha. Es decir, en poco tiempo han podido analizarlo, estar seguros que no hay otros ficheros modificados ni problemas de seguridad que permitirían repetir el ataque rápidamente. Si ha sido tan rápido tienen buenos técnicos, ¿por qué han esperado tantas horas para arreglarlo?
Entonces, ¿podemos estar seguros que fue un deface externo? No. Es muy raro la forma en que se hizo, el que lo hizo tuvo la elegante y solidaria precaución de no eliminar ficheros más complejos a pesar que el fichero del manifiesto podría haberse grabado directamente con index.php o index.html, no tiene «firma» habitual y lo han podido recuperar rápidamente… después de un tiempo prudencial sin tomar ninguna medida correctiva (¿el necesario para que saliese en la prensa?).
Con esas rarezas y el historial de manipulación, falsas acusaciones, mala fe procesal, etc. etc. de estos lobbies tengo mis serias dudas que sea un deface «de verdad» y no una «broma interna» [*] que podría generarles muy buenos titulares a favor. Hasta que la policia no intervenga y encuentre a los culpables no me creeré que haya sido un haxor, y si lo fue deberían agradecerle, fue muy benevolente y sólo se cargó un fichero irrelevante de 10 líneas, quizás sea un buen amigo.
Por ello me resistía a condenar el deface, porque sí que se es una mala táctica y perjudica a nuestros intereses, pero también sé que es muy fácil fabricarse [**] uno para lograr los mismos objetivos. No me extraña nada que la prensa lo haya dado por cierto (o caer en la propaganda en varios sitios [***]) sin siquiera recabar un poco de información, pero nosotros no deberíamos ser tan incautos con tanta experiencia a nuestras espaldas.
En todo caso, lo mío puede ser conspiranoia, sed escépticos y aplicad la Navaja de Occam (o recordad el Maine y la monja 🙂 )
[*] Uso la palabra «broma» sólo porque existe una posibilidad de que tengan informáticos muy cachondos que quisieron gastarle una broma a sus jefes… o echarles una mano.
[**] Mucho más fácil y limpio que otras suciedades procesales, conseguir cientos de miles de euros en subvenciones para un sitio web cutre, o meter modificaciones a un proyecto de ley.
[***] Ya estamos acostumbrados a que equiparen copiar con robar, o a la propiedad intelectual con la de elementos físicos, pero que equiparen el borrado de un fichero con matar policías ya se sale de toda escala.
Ricardo Galli, de software 
Vaya cagadas que han hecho con el código.
Cada segundo que pasa se les ve más la jugada.
Un millón de €uros bien vale un deface…
Pingback: Mis dudas sobre el deface de Promusicae | Espejo Tecnologico
Pingback: Mis dudas sobre el deface de Promusicae
Pingback: Mis dudas sobre el deface de Promusicae « Ricardo Galli, de software libre
No eres el único que tiene dudas, la verdad. Suena de risa que alguien sepa aprovechar un agujero de seguridad o en el peor de los casos, usar un exploit, y no tenga unas mínimas nociones de programación Web. Y respecto al tiempo de «respuesta» de los técnicos… Todo el mundo sabe lo complejo de borrar dos líneas con el notepad. Se tarda al menos un telediario (el de las nueve de la noche, más o menos). Un saludo,
Lo que más me llama la atención es que pese a tener conocimientos haga un redirect en javascript y se olvide el body. Y para atacar un sitio que no usa un CMS standard tiene que tener bastantes conocimientos, me llego a preguntar si es posible hacerlo. La gente que hace estas cosas bien suele ser tan purista que ni la sangría consiente que esté en su sitio.
Si haces algo así también intentas que la cosa dure unas horas. No poner tan fácil para que se restaure la web anterior.
Si, demasiado tiempo colgado y demasiado poco tiempo en «arreglarse». Lo habitual en estos casos es lo contrario. Tienes razón, cuando menos sospechoso.
Hola Ricardo, lo comenté con algún colega esta tarde/noche «Ya ni los hackers saben html…» y mirando mejor el html era el típico que copy&paste desde open office o word y además justificado!!! eso si que es un ataque a los usuarios
Pingback: Los ladrones van a la oficina… « Meterse por meterse
Siempre coincido contigo, je. Pero yo sería menos «bueno» a la hora de poner en duda este ataque. Como bien dices, pudiendo pisar index.php… para que narices tocar mas?. Lo de la NO existencia de firma lo dice todo. Interno y PREMEDITADO. No creo que sea una broma interna.
¡Plas plas plas! Felicidades. Simple, concreto y contundente.
Promusicae empieza a criticar a todos en general, por el hackeo que han sufrido… me lo esperaba…
http://www.elpais.com/articulo/cultura/Promusicae/denuncia/ataque/web/opositores/ley/antidescargas/elpepucul/20091204elpepucul_2/Tes
Pingback: ¿Presidente de Promusicae culpa del deface de su web a los impulsores del manifiesto?
Pingback: Mis dudas sobre el deface de Promusicae | El Noticiero
@juan carlos
Yo también me lo esperaba, pero no estaba seguro de quién lo haría. Cuando ví este deface tan naïve anónimo y anormal me generó más dudas.
Cualquier mente retorcida se haría algo así, ellos han demostrado ser muy retorcidos… 🙂
Muy interesante el análisis. Pero y si lo hizo un especialista ajeno a los «lesionados» con el fin de provocar precisamente esas dudas expuestas en el post … bueno quizas es pensar mas paranoicamente XD
Pingback: 4 artículos interesantes del Jueves 03 de Dec publicados en otros blogs » hombrelobo, una mente dispersa
Mas raro aun.. no existe ningún grupo adjudicandose el ataque.. En zone-h.org no existe mirror del defacement. Y vaya que es en zone-h.org donde guardan sus trofeos los defacers.
Aparte de estar de acuerdo contigo me sorprende que una Web como Promusicae siga utilizando Frames ¿esto no estaba totalmente en contra de todos los estándares de usabilidad?
A mi lo que me llamó la atención fue que hubiesen borrado el «generador» pero no la etiqueta.
Aparte de eso me parece que el código del index.php y el de espanol.html son igual de feos. Es una apreciación estética, pero no está de más tenerlo en cuenta.
Sería genial poder ver el registro de accesos de su servidor…
Pingback: jenesaispop.com » Hackeada la web de Promusicae con el manifiesto
Buen trabajo! Tenía la mosca detrás de la oreja, pero no había tenido tiempo de revisarlo. Lo difundo por Twitter.
Salud!!
Yo también tenía mis dudas al respecto. De hecho he visto este post mientras charlaba por tel. con el Director de Efe Eme. Le estaba comentando mis dudas al respecto y sopesabamos si incluirlas en mi artículo de mañana. Al no tener concimientos técnicos descarté la opción. Ahora al leer este post empiezo a pensar que fue un «inside job» (un topo para entendernos).
Me dedico a la seguridad y la entrada me parece un poco conspiranoica.
«¿podemos estar seguros que fue un deface externo? No.» Me parece una afirmación interesada, porque tampoco podemos estar seguros de que ningún deface sea externo si no tenemos acceso a los logs (y ni aun así…).
Sobre los «script preparados para atacar», no son necesarios exploits si tienes una buena herramienta de auditoría web (las hay, y libres) y sabes usarla contra una vulnerabilidad de file upload o cualquier otra que te permita subir ficheros. Además, se pueden subir ficheros explotando el servidor, y no la aplicación web (y ese no creo que sea un sistema propietario (bueno… IIS es propietario, pero me se entiende, no? :-P)
Sobre el tiempo de respuesta, no me parece exagerado. No creo que Promusicae tenga su propio equipo de desarrollo web y/o administración de sistemas. Entre que te enteras, hablas con el proveedor y con los desarrolladores, pueden pasar varias horas.
Yo también apoyo el manifiesto y creo que esta acción, aunque puede «hacernos gracia», es perjudicial para la imagen del «movimiento». Pero hay mucha gente que seguro que no piensa así. Hoy en día ya no se ven grupos en la escena hacker española haciendo defacements y reclamando autoría en Zone-h. Hay gente muy buena, pero se dedican profesionalmente a la seguridad y me cuadra que alguno decida pasar a la acción de forma totalmente anónima. Nadie quiere ir a la cárcel y la motivación ideológica puede ser suficiente con todo este jaleo.
En conclusión, ¿podría ser un «inside job»? Perfectamente. ¿Hay indicios razonables para pensar que lo fue? IMHO, no lo creo.
Pingback: Conspiranoia sobre el defacement de Promusicae | Mind overflow
@Morgg
En los medios (están los enlaces en el apunte) salieron acusaciones de Promusicae culpando a los organizadores del manifiesto.
Te repito la pregunta ¿estás seguro que no han sido ellos ni algún «amigo»? Además en El País salió que necesitaron dos horas, me consta que ha sido menos de una hora.
> ¿Hay indicios razonables para pensar que lo fue? IMHO, no lo creo.
Yo lo que no veo son indicios fuertes que haya sido cosa de un «hax0r», y hemos visto a Promusicae hacer y mentir en cosas peores. Así que antes de nada, pongo en dudas de quién lo ha hecho, porque lo han usado muy rápidamente a su favor.
PS: El servidor es una Apache + PHP, si tuvo problemas de vulnerabilidades demasiado rápido han hecho la «auditoria» (menos de una hora entre que lo han parado 23:55 hs +- hasta que estuvo en marcha otra vez, antes de las 01:00 h)
@gallir
Está claro que los de Promusicae van a intentar aprovecharlo, tanto si fueron ellos como si no.
Entiendo tus dudas y nada de lo que dices es falso.
Repites la pregunta, y yo repito la respuesta: No, no estoy seguro. Y tampoco de lo contrario. Cuidado con sacar la conclusión de que «si no puedes demostrar que no han sido ellos, es que han sido ellos». (p=>q no implica -p=>-q)
Tú no lo haces, sólo planteas las dudas, pero habrá gente menos razonable que utilice tu post para justificarse en sus afirmaciones de que «han sido ellos»
Simplemente me parece que el post está más completo con otro punto de vista, que no necesariamente es el acertado (larga vida a los comentarios :-). Que el lector extraiga conclusiones.
¿Se sabrá algún día, por parte del juez, la conclusión de la investigación?
Eso si realmente llega a haber investigación (no será por falta de conocimientos o medios, ya no estamos en los 90).
@Morgg, un par de cosas que parece que aunque «te dediques a la seguridad», has dejado de lado, los ataques, se dirigen al default no importa cual sea, .html,.php,.asp,.phtml, etc etc, etc, el ataque se hace sobre TODOS, los default y no solo sobre uno, que puede haber sido un script kiddie, calaro y viendo por ejemplo que puedo inventar urls en la web
http://www.promusicae.es/mira-como-me-invento-urls.html
Me da a pensar que cualquier persona con conocimientos medios en informática puede reventar el sitio y/o servidor, pero, si fue un script kiddie es muy muy facíl cazarlo.
Ahora bien, si no fue un script kiddie, entonces quien realizo el ataque o
a) estaba totalmente drogado
b) era un miembro de la organización.
Porque ? como ya dijieron, además de que los crakers son en muy puristas (vamos que conozco gente que programa usando nano como IDE -.- ). Suelen ser impecables, ademas usar tags javascript directamente ??? no flipes… si se quiere ejecutar javascript se ejecuta desde el CSS, desde declaraciones en atributos o de cualquier otra forma, para evitar que limpien todos los archivos del server con una simple expresion regular. Los ultimos ataques que pude presenciar, ademas de incrustar codigo, destruyen todo lo que sige al codigo malisioso, y bla bla bla, que yo tambien soy especialista en seguridad y podria darte mil millones de argumentos de porque el ataque tiene el doble de pinta de ser un engaño a un ataque real.
Como dije, si hubiese sido alguien con conocimientos, hubiese llevado más tiempo recupararse del ataque, hubiese sido firmado, y etc.
Si hubiese sido un script kiddie ya lo hubiesen cazado.
este tema no tiene nada que ver conmigo, vivo en otro pais, entonces porque comento ? nada que ni bien ver el codigo es obio que no fue un ataque externo !! AMI con mis conocimientos (vamos que me eh pasado todo 2009 neutralizando ataques y atacando racks de prueba) … ya yaya no hablo mas se entendio el punto
No conozco ningun hacker que no modifique el index.html
No conozco ningun hacktivista (no confundir con los primeros) que en sus acciones de protesta no haga una denegacion de servicio.. al caso… rm -rf / o sobre escritura con basura de todo el site.
Solo me caben 2 acciones racionales.. chapuzas interno que modifica el fichero menos importante pero suficientemente llamativo para beneficio propio (sabeis como llego esto a los medios?¿ enviaron una nota de prensa desde Promusicae?¿ Seria la bomba que se la colaran al estilo «Se lo que hicisteis», jejeje)
chapuzas informatico que se aburre.. vease script kiddie (y estos como aspiran a hackers tb solo saben modificar el index.html).. informatico en paro que quiere un canon para las visitas de las paginas web… jajaja vamos una coña marinera.
Hay un procedimiento judicial.. que viene a decir que si hay muchas pruebas circustanciales de que eres culpable.. lo eres.. aunque no haya ninguna prueba feaciente.. mas claro.. agua! 🙂
Lo comenté en Twitter a gallir, pero como veo que se ha animado la discusión por aquí, lo suelto nuevamente:
Mientras el deface estuvo visible, me interesé en hacer un pequeño pentesting y lo único relevante que obtuve fue un puerto 21 corriendo proftpd 1.3.1 en abierto. Después de que tiraran el servidor y restauraran, ¿adivináis qué ocurrió con el ftp? Sí, efectivamente, apareció cerrado 😉
Estoy con Morgg en que el ‘inside job’ es perfectamente posible, pero no existe ninguna prueba ni indicio para pensar en ello. ¿rm -rf, firma, zone-h? Estáis aplicando un modus operandi arcaico. Los defacements han dejado de existir prácticamente a la par que las empresas han empezado a prestar atención (económica) a la seguridad informática. Quien puede hacer un deface hoy en día, lo profesionaliza y rentabiliza en forma de pentest.
Pensar «script kiddie o inside job» es pensar en blanco y negro. Lo más lógico es, como apunta Morgg, que el deface provenga de algún profesional (o no) del medio, pero con algo de cabeza, que pensó (y se equivocó, obviamente) que sería positivo aportar su granito de arena a la causa de esta forma, anónima y con el menor perjuicio posible.
Y la teoría del :21 accesible con una pass chorra que cae de diccionario es bastante posible en mi opinión. Por eso la celeridad con la que solucionaron el problema. La empresa X (seguramente la misma que les hizo la página, en estos casos no suelen tener ningún «equipo técnico») ve el acceso en el log, chapan ftp, restauran y abren el canuto de nuevo. Navaja de Occam, como apuntaba gallir.
@no se ni me importa: ¿cómo es eso de «atacar racks»? ¿Te presentas en el data center con una palanca a lo Gordon Freeman? Sólo curiosidad, tú eres el experto.
Suelen ser impecables, ademas usar tags javascript directamente ??? no flipes… si se quiere ejecutar javascript se ejecuta desde el CSS, desde declaraciones en atributos o de cualquier otra forma, para evitar que limpien todos los archivos del server con una simple expresion regular.
¿Alguien puede aclararme eso de que sea más díficil limpiar el servidor metiendolo en el CSS que en los archivos directamente? ¿Es simplemente porque cueste un «pelin» más de encontrar?
Pingback: ¿Presidente de Promusicae culpa del deface de su web a los impulsores del manifiesto? | Revista Concepto
Pingback: Promusicae. Ejercicio de manipulación, cinismo e hipocresía. | Por una verdadera democracia