El blog de Sebastian Firtman

Como ustedes sabran (o no) ademas de dedicarme a emprendimientos tambien me apasiona la seguridad en las telecomunicaciones (o mas vulgarmente llamado “hack”). Al estar en el ambiente underground(como se le llama) me entero no solo de los actos de los hackers cuando suceden, sino muchas veces antes.

El 28/06/09 hubo elecciones en Argentina y nuestro (prender sarcasmo) QUERIDISIMO  (apagar sarcasmo) ex presidente Nestor Kirchner queria imponerse mediante sus secuaces(politicos), en las diferentes provincias… Pero no le resulto y perdio. Esta eleccion era muy importante porque si no ganaban los que ahora estan en el gobierno, sufririan una herida narcisista muy profunda.

El deface (asi se le llama cuando se modifica la fachada de una pagina web) se realizo el dia despues, el 29/06/09 pero la penetracion en su sistema fue cuidadosamente planeada y ejecutada el mismo dia de las elecciones.
La noticia salio en todos los medios de comunicacion, aqui pueden ver una nota del diario Infobae.

Para ir al grano a los curiosos en saber como se perpetro el acto:
El sitio web en cuestion www.pj.org.ar estaba alojado en un hosting compartido llamado “elservidor.com” que le daba servicio(y aun lo hace) a unos 300 sitios(en ese server al menos). Los sitios estaban separados por 7  “resellers” que podian manejar las 300 paginas webs que se encontraban configuradas y para que ellos pudieran administrarlas tenian obviamente un acceso mediante usuario y password. El sistema que usaban para ese cometido se llama VHCS (Virtual Hosting Control System) y se encuentra en el /vhcs2/ ¿Como supieron esto los hackers? pues a cada link incorrecto que se ingresaba, el vhcs tenia una pagina predeterminada que informaba que no existia:

Y una vez obtenido el nombre del sistema, el proximo paso es averiguar su version para buscar fallas(por cada actualizacion que existe en cualquier programa, en general al menos una vulnerabilidad fue arreglada). Para hacer esto o bien buscamos en google el directorio por donde se accede o bien miramos el codigo fuente a ver cual es la url a la cual nos llevo. Y nos damos cuenta que es en /vhcs2/:

Si miran la imagen, en el margen inferior izquierdo no solo podran ver el numero de version sino que se podran asombran por la fecha en la que fue creada: 2006!. Eso significa que podemos buscar en nuestro amigo Google a ver que informacion nos puede dar al respecto. Como era de esperar se encontraron varios exploits, uno de ellos es el siguiente EXPLOIT 1. Para el que no sepa, un exploit es un programa realizado especificamente para aprovechar una vulnerabilidad. Dicho exploit ejecuta un post contra la pagina interna add_user.php, o sea en palabras “normales” se le esta diciendo al servidor del pj, “hey, ya estoy logueado agregame el usuario y password que te voy a decir y dale privilegios de administrador”. Pero este exploit no resulto y fue extraño porque pareciera que alguien le cambio el nombre del archivo a ese add_user.php entonces no era posible explotar ese bug(una forma de llamar a la vulnerabilidad).

Entonces aparecio el EXPLOIT 2 que basicamente lograba varias cosas, entre ellas dar acceso root, pero por cuestiones de privilegios no se pudo llegar a esa etapa (con ese exploit). Lo que si se logro con ese exploit es cambiarle la password a un reseller y asi por fin poder entrar al sistema en nombre de un cliente (aun no se obtenia administracion).

Una vez dentro, se obtuvo acceso a varias paginas web que eran manejadas por el reseller que se le habia cambiado la password y ninguno de esos sitios correspondia con el que se queria hackear. Entonces se decidio colocar una pagina php escondida en uno de esos sitios, para intentar escalar privilegios y asi poder llegar a ser “adminsitrador” o sea.. Dios (o root para los que entienden).

Luego de varios intentos fallidos probando exploits que dieran shell (acceso) se logro encontrar el indicado y era factible ejecutar comandos en todo el servidor (mas alla de que se estaba dentro de un reseller) asi que ya era posible entrar al directorio donde se hospedaba el pj. Pero si bien parecia trabajo terminado habia quedado una duda ¿Por que el exploit 1 no habia funcionado? entonces los hackers fueron hasta la carpeta donde tenia que estar el add_user.php y efectivamente no existia! pero habia otro llamado add_user.aquenopodes.php. Si bien el hacker que me conto esto, no recuerda exactamente como era el nombre del archivo, cree que era algo asi o add_user.nomejodas y eso presupone que antes lo habian querido hackear y el admin de elservidor.com modifico el nombre del archivo y le puso “aquenopodes”. Lamentablemente como se descubrio eso, se logro ejecutar el exploit modificando el mismo y efectivamente se logro entrar con privilegios de administrador. ¿A que no podes?, claro que si .

Luego el resto, es historia.. Se tuvo acceso a mas de 300 sitios, ftps, datos de clientes, sql y un monton de datos sensibles mas pero SOLAMENTE se hackeo la pagina en cuestion. De los 300 sitios, habia entidades financieras, paginas de seguridad, etc…
Demas esta decir que para ejecutar los exploits y para acceder a las paginas, todo se realizo desde “otras computadoras” usandolas de puente.

Como se dejo un mail de contacto se recibieron cerca de 250 mails y el 90% a favor de lo que se hizo

Y si… yo creo que se puede conseguir lo que uno quiera