El pasado martes, aproximadamente al mediodía, durante unos minutos se podía ver que la portada de la edición digital de El Día fue «defaced». Es decir, alguien la suplantó por otra imagen. En este caso una reivindicación indonesia, o algo así. Me han dicho que la música que puso era buena. Como tengo una copia será cosa de comprobarlo.
Obviaré detalles técnicos, nombres y tecnologías. Los que sepan de seguridad y sistemas sabrán a qué me refiero. De paso evito que alguien que tenga más tiempo que yo se dedique a fastidiar. Como decía un profesor universitario al que aprecio: “el que te quiere joder, te jode”. Este texto ha sido escrito el mismo día del ataque y si hay novedades, se añadirán al final con su fecha. El título del post es por un comentario que me hicieron del «defaced».
Ataques a diario
Una web como eldia.es sufre ataques todos los días prácticamente a todas horas. En 2012 y 2013 consiguieron aprovechar una vulnerabilidad del servidor de publicidad. Aunque la edición digital estaba intacta, ese servidor se vio afectado y por lo tanto no se podía cargar correctamente el medio digital. No ha sido la única vez. De forma menor hemos recibido ataques de Tailandia, Polonia, China, Rusia, Turquía y otros países que no recuerdo de memoria. El más curioso fue una reclamación saharaui que utilizó un servidor intermedio tailandés para realizar el ataque. En verano es habitual que se incrementen los intentos de ataques, los foros dedicados a estos temas incrementan su tráfico con decenas de miles de jóvenes que quieren experimentar.
Es importante estar suscrito a boletines en los que informan de vulnerabilidades de los aplicativos utilizados, así como incorporar los últimos parches/updates que evitan estos problemas. En ocasiones la prudencia requiere esperar un día o dos si no es de extrema urgencia. Así aquellos que lo prueban primero podrán detectar si se generan nuevas vulnerabilidades o todo va bien.
Primeras medidas
En esta ocasión, tras recibir la primera notificación lo más importante es evitar males mayores a las personas que estuviesen consultando la edición digital en ese momento. La primera parte del análisis de seguridad mostró que solo estaba afectando a la portada principal de la versión de escritorio. Ni las secciones, ni las noticias, ni los smartphone experimentaban nada a pesar de que en ese momento el ataque hacker seguía su curso de forma intensa. Por ese motivo muy pocas personas supieron de esta incidencia. El objetivo de lo malicioso es replicarse y extenderse. En este caso se generaron literalmente decenas de miles de ficheros intentando aprovechar cualquier acceso a la web para mostrar su logro. El hecho de que solo se mostrase en la portada principal para escritorio fue la primera pista. La observación del paciente, desde ordenadores seguros.
Sin entrar en detalles, se realizó una traza completa de los diferentes servicios en la que se pudo comprobar porqué solo afectaba a la portada principal y de escritorio. También se buscó que se hubiera podido modificar servicios sensibles. No fue así. Se modificó el servicio a un proveedor interno alternativo (se explica más tarde) y localizó el problema: el artefacto que provocaba el «defaced». Tras eliminarlo y tras reiniciar el servicio para identificar que no hubiese algún código durmiente y comprobar el grado de ataque se procedió al siguiente paso: localizar exactamente la fuente que utilizó el hacker y quién fue.
La fuente
Solo estaba afectada la portada y algún servicio menor… El resto, limpio. Esto se debe a como está construída la edición digital. Desde el primer momento se ha buscado evitar los ataques de inyección de código, modificación de urls, y otras medidas que se pueden llamar de segundo grado. Por ese motivo los pdfs de cobro de la edición impresa solo se puede obtener tras el pago, a diferencia de otros medios nacionales que tuvieron este tipo de problemas.
El acceso se realiza sobre proveedores de servicio a los que la web pide el recurso. Esto permite escalar el rendimiento de eldia.es, siempre que se cuente con ancho de banda suficiente y máquinas donde tener estos proveedores. Una solución que da respuesta por encima de las necesidades de un medio regional europeo. Por este motivo apenas hubo lentitud en el aluvión de accesos con las tormentas del pasado mes de enero. El deploy de estos servicios no ha incrementado la complejidad ni la vulnerabilidad. De ahí que…. a priori la fuente no podía ser lo que utilizan los internautas.
La rendija
Sin embargo, por las características de la propia plataforma había un punto que no se puede obviar, de momento. El intruso intentó realizar de las suyas con una rendija que encontró para tras dotarse de más «equipamiento» en el servidor y así poder encontrar porqué no pudo cambiar la portada de eldia.es. En este caso el equipamiento es un script de los que los expertos en seguridad conocen, no había, como en otras ocasiones, un intento directo contra eldia.es. Este es uno de los motivos por lo que el acceso extranet se debe de realizar con máquinas seguras, sin virus, con vpn y en zonas DMZ en el caso de que sean accesos remotos a la red de trabajo. El punto más débil de la cadena será donde se pueda romper.
Esa rendija virtual tiene que ver con la utilización de software estandar. No es posible desde un punto de vista industrial, ni tiene sentido, reinventar la rueda con cada pieza que es necesaria para crear un servicio rápido, drag&drop, que no necesite más conocimientos que una hora para que cualquiera (y digo bien) pueda utilizarlo a pleno rendimiento en poco tiempo. Aprovechó el conocimiento de un fichero en nuestro servidor que le permitió dotarse de ese equipamiento. Aunque hagas un isolated de ficheros, directorios y permisos, al final es necesario enviar algo al servidor. Esa fue la rendija.
Tras encontrar el motivo que le impedía hacer un defaced en un servidor convencional realizó los cambios oportunos y consiguió su objetivo. Esta parte creo que debe de haberse hecho de forma manual. Es decir, no tiró del tipo script de replicación de cadenas «decode».
¿Cómo averiguó el punto de acceso? Eso es lo que puede hacer pensar que troyanos en navegadores, u otras técnicas que permiten descubrir ese software fue lo utilizado en esta ocasión.
La corrección
Los accesos durante los últimos días a esos ficheros son los habituales en el uso habitual del entorno web pero al estudiarlos, se detectan algunos que no son habituales un par de ellos. El ataque se realizó en última instancia desde un host en Bangaxxxxx (obvio el nombre para Google, ustedes sabrán que acaba en «dlesh»). Pero también se realizó un único acceso desde un host en Texas. Estos ordenadores en concreto no realizaron una navegación convencional en eldia.es durante las últimas semanas. Al realizar el estudio detallado del ataque también observo lo que les había comentado y que por su nivel no generan alarmas, decenas de intentos que se realizaron recientemente con programas típicos de Lamers. Quién haya visto un fichero de log sabrá a que me refiero. En ocasiones se pueden utilizar cadenas extremadamente grandes para que no dejen huellas claras y otras técnicas que no se verán en los ficheros de log pero que se pueden evitar en quién recibe la petición.
Mientras se identificaban los hosts (ordenadores en internet) que pudieron estar implicados, con la incidencia mayor arreglada, la rendija cerrada, los servicios comprobados para que todo estuviese en su sitio. Tocaba restaurar lo borrado y, dado el nivel del ataque, lo siguiente era averiguar cuándo empezó y porqué. En paralelo programé el script necesario para que realizase la búsqueda de los ficheros que colocó el código malicioso y los quitara del servidor. También realicé un par de scripts para que reconociera que otros ficheros podría haber creado. Manualmente detecté un par de ellos pero podría haber más, así que tocaba silenciarlos y realizar un listado completo para detectar amenazas. La seguridad requiere exhaustividad. Cuatro en uno: ficheros eliminándose, procesos de búsqueda ejecutándose, filtrado de logs y búsqueda hacia atrás en el tiempo.
El porqué nunca lo sabré, me temo. Puede ser que sea una personas de las decenas de miles que acuden todos los veranos a los foros de hackeo, puede ser otros motivos que les gusta a los cercanos a la mística y/o religión. No da igual, pero es irrelevante para resolverlo. En una ocasión anterior un ataque que no sintieron nuestros usuarios si que estaba dirigido contra eldia.es. El motivo de esta deducción es sencilla. Utilizaron un servidor que no tiene que ver con este nombre de dominio, ni se relaciona con él en ficheros de configuración. Pero ahí estaba ese nombre en los intentos que realizaron. Fue hace un par de años.
Problema conocido. Alcance determinado. Primer estudio del origen realizado. Brecha tapada… Y daño recibido. En esta ocasión fue necesario restaurar. Las decenas de miles de ficheros llevó un poco de tiempo quitarlos. Encontrar si se dejó algún artefacto oculto también.
Quizás lleva más tiempo leer este texto que lo que estuvo la portada cambiada pero es un ejercicio de transparencia con el número creciente de lectores que El Día tiene en su edición digital. Ustedes se lo merecen.