sábado, 10 de diciembre de 2011

¿El portal web de la Comunidad de Madrid "hackeado"?

Está circulando ampliamente un enlace por las redes sociales que lleva a una página del Portal de la Comunidad de Madrid que aparentemente habría sido atacada y suplantada por mostrarse una foto que por su contenido  evidentemente no habría sido puesta por órdenes de la Comunidad de Madrid.

¿Significa esto que hackers han  conseguido vulnerar la seguridad informática de los servidores de  la Comunidad de Madrid y acceder a algún servidor suyo de contenidos web de dicho portal de la Comunidad de Madrid, alterar las páginas legítimas e introducir este contenido fotográfico allí?

No.
Para empezar, como puede apreciarse claramente en la propia dirección web (URL) del enlace que circula, la imagen está alojada bajo la dirección de servidorimg43.imageshack.us que es totalmente ajena a la Comunidad de Madrid.

Realmente estamos ante un simple "ataque" XSS o "cross-site scripting"  que aprovechándose de una vulnerabilidad de la aplicación web, en este caso de madrid.org -desarrollada sobre el gestor de contenidos web comercial Content Server de Fatwire- , se consigue por ejemplo, suministrando un enlace hábilmente preparado como en este caso,  que la "víctima", en este caso el incauto que pincha en el enlace confiado en que le llevará sólo a contenidos propios de madrid.org o a los que en  su caso tuviera intencionadamente vinculados la página legítima, cargue un  recurso arbitrario, en este caso una imagen, de otro sitio web arbitrario, decidido por quien haya preparado el enlace (que pueda estar a su vez colgado en alguna página web maliciosa).

La descripción detallada de  esta técnica puede encontrarse por ejemplo en la entrada previa de este blog " El ataque de eu2010.es en otra web de la administración. [Descripción de la técnica XSS empleada]".

Es, por tanto, la misma tećnica que permitió el 'ataque' a la web de la presidencia del Gobierno del Estado que se hizo famoso hace un año. En aquél caso la búsqueda devolvía una imagen de Mr. Bean] . De hecho, en este caso, puede hacerse que se muestre la misma foto de Mr. Bean simplemente sustituyendo en el enlace que circula la cadena:
http://img43.imageshack.us/img43/2889/aznaguirre1.png
por ejemplo por:
http://blog.tmcnet.com/blog/tom-keating/images/mr-bean.jpg

El asunto pasa de anecdótico a preocupante cuando el recurso "inyectado" desde el sitio remoto ajeno se trata de algún "script" o programa diseñado para capturar información u otro tipo de intención maliciosa. Es por esto que en el campo de seguridad informática se considera vulnerable -es decir, con un fallo- a la página del primer sitio web - en este caso, la de madrid.org- que permite este tipo de "alteración dirigida a los usuarios de la web" (pero no de la web en sí misma). Se suele decir en estos casos que la aplicación web, en este caso del Portal de madrid.org, tiene un "fallo de seguridad" (pero no que haya tenido un incidente de seguridad de intrusión).


[ADDENDUM 11/12/2011] Al menos ya por la mañana de hoy domingo, la vulnerabilidad descrita del Portal de la Comunidad de Madrid ya no se encontraba disponible así como tampoco el propio recurso web  donde se había encontrado  la vulnerabilidad, el buscador del Portal.

[ADDENDUM 15/12/2011] Al menos desde ayer y posiblemente bastante antes el recurso web de búsqueda del Portal ha vuelto a estar disponible y ya sin la vulnerabilidad que se había encontrado (o al menos sin funcionar el vector de ataque exacto utilizado), es decir, que la Comunidad de Madrid habría corregido el problema XSS de seguridad con celeridad.

Entradas relacionadas:

4 comentarios:

Anónimo dijo...

jua,jua, ya no funciona el enlace pero tampoco la función de búsqueda completa de madrid.org

Anónimo dijo...

Me parece mal y tendencioso como todo en este blog que llaméis fallo de seguridad de madrid.org a un falso enlace al que no se puede llegar navegando desde el sitio web real de madrid.org y que encima apunta a una foto fuera del sito web. El fallo será del usuario que pique en el enlace que le llega, pero no de madrid.org, digo yo. Además es una idiotez vistosa pero idiotez como para armar tanto barullo que lo que se consiga es que salga una foto.

Anónimo dijo...

Esperemos que el comentario anterio no lo haya escrito alguien responsable de la web de marras, por que si no apaga y vámonos. Que la imagen sea idiota no significa que el fallo no tenga importancia. Al revés, en sitios web oficiales de la administración electrónica las vulnerabilidades XSS es algo que hay que cuidar y mucho ya que podría conducir a intentos de phising o estafas muy serias a ciudadanos.

En vez de una foto, seguramente se podría haber conseguido que saliera incrustado dentro de la dirección de madrid.org un formulario web de un tercer sitio malicioso que por ejemplo dijera que sirve para hacer un pago electrónico a la Comunidad de Madrid de alguna de sus tasas (da igual que en la actualidad las tenga o no). Se difunde un correo con el enlace preparado y tienes al día siguiente a gente escribiendo su número de Visa en lo que cree es la página web de la Comunidad de Madrid para pagar no se qué. Cuando más cuidadoso sea el usuario más difícil será que pique , pero...

Esto no es ciencia ficción, sustituir "sitios web oficiales de la administración electrónica" por "bancos" y tenéis hechos que, por desgracia, ha pasado ya muchas veces.

Y el responsable no sería sólo el delincuente que ha preparado el correo con el enlace y en cierta medida el incauto usuario que pica sino también los de la web que tenía el fallo XSS. Porque la web en estos casos SI que tiene un fallo de seguridad.

No es que tu pinches en un enlace que te llega en un correo que engaña a tu navegador y éste te presenta un fotomontaje, NO, no es eso. Tu navegador envía la petición al servidor web de madrid.org y este servidor realmente te devuelve una página que incluye una referencia de inclusión, como muchas otras veces, a un elemento de un tercer sitio. Normalmente se confía en las referencias de inclusión que me ha enviado una página que confío y el navegador las introduce automáticamente por tanto. Pero, por este fallo, me envía referencias totalmente ajenas a la intención del desarrollador del sito web y maliciosas en su caso.

El fallo de seguridad no tiene como perjudicado directo la misma web u organización sino sus visitantes, pero no por eso deja de ser un fallo de seguridad del sitio. Lo que en muchos casos, léase Facebook o bancos, acaba perjudicando a la organización por pérdida de prestigio.

Ahora bien hay que reconocer que no es fácil asegurar a priori que tu web no tenga fallos de esto, es algo muy común, que ante el conocimiento del hecho hay que reaccionar asumiendo el fallo y corrigiéndolo.

Anónimo dijo...

Asi nos luce el pelo, con profesionales de otros ámbitos que sin conocimientos profundos y sin ser profesionales titulados de la informática, están al mando, u "okupando" puestos TIC. Y no me refiero a la DGSIS, los de dentro saben a quién/es me estoy refiriendo.

"Zapatero a tus zapatos", y que cada uno se dedique a lo que ha estudiado, y no a practicar intrusismo profesional, como sucede en esta santa casa.

Tremenda lección la del comentario anterior.
Exhaustiva exhibición pública de ignorancia y desconocimiento de las TIC la del tercer comentario.