CSE vulnerable

* Conocedores afirman que “la seguridad del sistema informático de ese Poder del Estado es insuficiente”

Angélica Martínez/especial para END

Observe lo que ocurre debajo de la barra del buscador en la página del CSE. Inserto, ampliación de la barra del buscador.

En lo que va de 2008, la cuerda política ha sido tensada en varias ocasiones. El motivo: la suerte de los próximos comicios municipales.

Meses atrás, un grupo de observadores nacionales pidió que el padrón electoral fuese auditado, porque había sospechas sobre la confiabilidad de su contenido. Y mientras esto ocurría, el CSE tardaba más de lo acostumbrado en tramitar las acreditaciones para la observación.

Para ponerle un punto de sal a la herida, apareció en escena el mismo presidente Daniel Ortega afirmando que “la observación electoral no es necesaria”. La respuesta de algunos partidos opositores al gobierno fue: “A votar nulo”. Con ello ha crecido la inconformidad.

Puerta sin candado

El 26 de agosto de 2007, EL NUEVO DIARIO dio a conocer por primera vez la noticia: “CSE efectivamente fue ‘hackeado’ y padrón electoral circula por internet”. Sin embargo, aunque el titular conmovió a la opinión pública, algunos problemas señalados en aquel momento siguen ahí.

Para esa fecha, un grupo autodenominado Team Nicatech logró sacar íntegro el padrón electoral del servidor (computadora principal) del CSE, ubicado en Ideay --empresa proveedora de servicios de internet en Nicaragua (ISP)--. ¿Cómo hicieron eso?
Un servidor es una computadora que sirve de enlace con otras, dentro o fuera del país, algo así como un policía de aduana. Y también hace las veces de caja fuerte y custodio de los datos.

Únicamente el administrador de ese servidor -–persona que posee las claves de entrada—- puede manipular la información que contiene, darle órdenes y hacer que obedezca.

La “hazaña” de los hackers --expertos en penetración de sistemas-- consistió en “robar” esas claves pasando a través de una de las “puertas y ventanas abiertas”, encontradas en el sitio web.

Aunque en su versión alegan que no penetraron con fines malévolos, sino sólo para demostrar ciertas fallas de seguridad y alimentar su propio ego, lo cierto es que dejaron una advertencia: “Si quisiéramos entrar -–entiéndase ‘robar’ algo más-- al CSE podríamos hacerlo”.

Extraña ayuda

¿Podrían hacerlo? ¿Cómo?, pregunté al líder del grupo, conocido en el mundo paralelo de los ‘códigos fuente’ como “Pedrón”.

“Pedrón”: Claro que se puede. Si me conseguís una cuenta de correo electrónico de Ideay te puedo dar todo lo que querrás de ahí y de otros sitios como el Banco Central.

¿Información del Banco Central --que no he pedido-— obtenida a través de una cuenta electrónica que aparece a mi nombre? Hice mutis por la derecha.

No obstante, antes de emprender la retirada “Pedrón” confió datos valiosos: uno, que el servidor donde está alojada la página web del CSE es un Apache 2.2.2. Y dos, Ideay utiliza un servidor espejo localizado en México.

El tipo de servidor que maneja la página electoral no sería importante si no fuera porque los problemas de seguridad que presenta son vox populi en tierra hacker.

Y un servidor espejo, si bien constituye una fuente de seguridad para la transmisión de los datos --garantiza que la conexión se mantenga en caso de fallar en el origen, Nicaragua--, no implica que los mismos estén a salvo de ser cambiados.

Pero el pedido de una cuenta de correo electrónico dejó plantadas muchas dudas. ¿Es posible llegar al corazón del CSE por esa única vía? “Pedrón” aseguraba que sí. ¿No habrá otras maneras? Había que averiguar.

Contradicciones

Un paso necesario en la investigación era buscar a los directos involucrados. Vida Luz Arista, jefe técnico de Ideay, y Otto Shäffer, Gerente de la misma empresa, no respondieron. Al llegar donde Wilhem Smith, Director de informática del CSE, se corrió la misma suerte.

La información solicitada no está catalogada como de uso restringido ni es un secreto de Estado, es pública. ¿Por qué tanto misterio?
Al consultar al magistrado del CSE Roberto Rivas sobre el nivel de seguridad que brinda el sistema informático del Consejo, éste negó rotundamente la posibilidad de que alguien, con malas o buenas intenciones, entre sin permiso al servidor central.

“Toda la información está totalmente segura. No está abierta al público, está divorciada de cualquier red nacional e internacional (...) Me imagino que a lo que accedieron (los hackers) fue a la página web que está en Ideay. Pero eso no afecta la base de datos de nosotros”, sostuvo el magistrado.

Sin embargo, un administrador de redes con experiencia en seguridad, quien solicitó el anonimato, puso en duda las declaraciones del magistrado Rivas.

¿Es posible llegar al servidor principal que contiene los datos reales de una institución como el CSE a través de una página web?
Anónimo: Claro que sí se puede, y eso estará en dependencia del tipo de servidor web, porque para penetrar y sustraer datos, si vos tenés una web totalmente estática, entonces no hay ningún problema, porque todo queda en tu servidor web.

Ahora, si tenés un servidor web dinámico, que interactúa con tus datos de sistemas reales, lo ideal es que este tipo de transacciones estén protegidas con un certificado de seguridad. Con ello los datos viajarán encriptados (ocultos). Hay menos posibilidades de que te encuentres líneas de conexión con el servidor real.

¿El servidor del CSE necesitaría estar encriptado?
Anónimo: Desde mi punto de vista, sí debería tener un certificado de “máxima categoría”, para que haya menos chance de penetrarlo.

Yo recomendaría además que no esté en software libre (Linux), digan lo que digan, que Windows es más inseguro, no es así.

Un hacker que conoce el software, cómo opera y cómo está codificado (características que lo hacen libre), tiene más oportunidad de que su ataque tenga éxito.

Yo he visto cómo aquí, en Nicaragua, los hackers se meten a varios lados, y la mayoría de los ataques están donde existe un servidor de software libre.

Ahora, la seguridad de la base de datos del CSE debería estar bien definida para sólo consulta y no dejarla abierta, porque el hacker puede meter algo malicioso.

Como administrador, no dejés abierto para que el usuario escriba en un campo con los comodines existentes (caracteres usados en programación).

Por ejemplo, si el usuario quiere buscar los apellidos Martínez, no dejés un campo de consulta donde ese usuario pueda escribir: Martí% o Martí*. Los comodines % para SQL o * para Access y otros motores de base de datos permiten que el hacker pueda hacer subconsultas.

Explicame más.

Anónimo: Yo puedo hacer algo similar a esto (no es un ejemplo real): Martí ‘Select * from usuarios’ %, entonces se ejecuta la consulta y la subconsulta puede surtir efecto y regresarme a los otros usuarios. Me devuelve la información de la base de datos. Esa es una “puerta abierta”.

Una vez que vos entrás y conocés el servidor donde están los datos, no necesariamente estás haciendo una consulta. Podés estar sacando, borrando o modificando información.

Todos (los nicaragüenses) estamos expuestos (en ese servidor). Así (con ese método) se han metido, incluso, al Pentágono.

“Peibol0.1” y más indicios

En el ciberespacio existen muchas vías para encontrar respuestas. Algunas conducen al lado oscuro, otras llevan a la luz. Un foro de hackers españoles (www.elhacker.net) despedía mucha claridad.

Al pedido de ayuda hubo una rápida contestación. Un hacker que se hace llamar “Peibol0.1”, la ofreció a conciencia.

Existen sospechas en mi país sobre la posibilidad de penetrar, a través de su página web, al CSE y modificar datos de su servidor, ¿podría ser cierta esa información?
Peibol0.1: Examiné el sitio y utilizan un servidor Apache 2.2.2... la página es vulnerable a XSS (secuencias de comandos en sitios cruzados), eso debería ser suficiente para dar algo de alarma, y modificando “cabeceras” (ranuras de entrada) me “banearon” (sacaron) de la web, así que supongo que será algo vulnerable.

Nunca mencioné nada acerca del servidor que usa el CSE. Así que “Pedrón” fue honesto en eso y Peibol0.1 estaba en la pista correcta.

Según la explicación del hacker español, el problema de este servidor web radica en que si no está bien protegido, permite utilizar la información que dejan las “cookies” o “galletas” --fragmentos de información almacenados en el disco duro del visitante de una página web, a través de su navegador, como Internet Explorer y Mozilla Firefox--, para penetrar el sitio.

Esa vulnerabilidad podría ser usada para realizar desde la inyección de ataques “phishing” (pesca de datos confidenciales obtenidos de forma fraudulenta), hasta inyectar archivos ejecutables (troyanos) y virus de todo tipo.

El XSS también es conocido como “Inyección HTML”. Esto consiste en introducir una secuencia de comandos --que sólo un programador entiende-- aprovechándose de una falla de seguridad.

Como los servidores Apache utilizan scripts (conjunto de instrucciones utilizado para la administración de sistemas operativos Unix) es relativamente fácil infectar ese sitio web y llegar hasta el centro del sistema operativo.

Con este tipo de ataque, un hacker puede lograr secuestrar las contraseñas del servidor del CSE y convertirse así en el administrador de los datos que contiene o producir un ataque de denegación del servicio (irónicamente, sus siglas en inglés son: DOS).

Con un ataque tipo XSS se podrían modificar datos en el padrón electoral, para hacer que los muertos y los ausentes votasen. En cambio, con un ataque tipo DOS, la transmisión de datos el día de las elecciones podría ser interrumpida, causando un retraso sustancial en el conteo de los votos.

¿Cómo podrías probar esto?

peibol0.1: Entra en: http://www.cse.gob.ni/index.php?s=1. En el buscador escribe “> y dale clic en buscar. ¿Notas algo raro? Justo debajo de donde escribiste eso, ¿qué ha pasado?, ¿qué ha aparecido?
Quedó escrito “> ¿Eso qué significa?
peibol0.1: Si pruebas con otra palabra no sucede lo mismo. Significa XSS. Según algunos, no es importante. Según yo, esa vulnerabilidad bien explotada es muy peligrosa, ya que con ella puedes robar “galletas” (son los comodines que mencionó la fuente anónima).

En estas “galletas” están guardados los datos del usuario que entra. Si eres el administrador de la web, contiene la contraseña para acceder y los permisos, por lo tanto, si robas esa “galleta”, pues eres el nuevo administrador y puedes modificar, cambiar, etcétera.

El problema es que este XSS está bien protegido. Demasiado. El administrador es listo, cosa que no suele pasar. Sólo te puedo decir que sí es posible penetrar en el sitio.

Página insegura

Al tratarse de una página del Gobierno, peibol01 supuso que tendría los certificados mínimos de seguridad, pero al revisar descubrió que no existía ninguno.

Peibol0.1: Esto que te voy a explicar es algo que no hace falta ni llevarlo a la práctica, ya que con esto ya tienes mucho para llamar la atención de la gente, además que en cuanto oigas la palabra te va a sonar: phishing (la fuente anónima tenía razón).

Bastaría con distribuir un virus para sabotear las elecciones, ya que con esta técnica puedes conseguir las contraseñas de usuario, y qué sé yo, todo lo que mandes a esa web.

¿Cómo probar eso?

Peibol0.1: Si usas Firefox, abres la página del CSE y dale click con el botón derecho. En la lista de la ventana que se abre, verás la opción: “Ver información de la página.

Este sitio web no proporciona información de identidad. Conexión sin cifrar.

Peibol0.1: No. Siempre la tiene que mostrar. Entra y haz lo mismo en esta dirección: https://extranet.banesto.es/npage/loginParticulares.htm
Dice que el cifrado es alto. ¿Está protegida?
Peibol0.1: Si te fijas en la dirección de la página, la URL tiene puesto: https, en vez de http. La “s” significa seguridad.

¿Por qué pensás que los del CSE no tienen esa seguridad?, ¿lo ves a propósito o es un descuido?
Peibol0.1: En Nicaragua, según tengo entendido, la población con acceso a la informática es muy escasa, ¿no? Entonces es un gran dinero que se ahorran. En realidad el SSL (certificado de seguridad) no se paga, pero hay que mantenerlo y saber cómo ponerlo. Es posible que no se molesten en instalarlo, porque el sistema operativo es Linux y apenas tiene vulnerabilidades, pero el Apache que usan algún fallo sí que tiene.

Esta fue la última vez que hablé con Peibol0.1 a través del Messenger. Al igual que los magos cuando ejecutan su último acto, desapareció.

Otros expertos los confirman

Los hallazgos de Peibol0.1 son convincentes, pero no suficientes. A fin de verificar su información, dos entendidos hablan del tema. Para evitar prejuicios, no advertimos que el servidor del que estábamos hablando era el del CSE.

Giovanni Cuadra, Gerente de Nicasoft. Desarrollador de software
¿Se puede vulnerar un sitio que cuenta son un servidor Apache 2.2.2, cuando se ejecuta en Unix, Windows o Linux?
El sitio siempre conserva las vulnerabilidades, porque Apache es el que las posee. Por otro lado, Apache utiliza código abierto, cualquier hacker experto podría encontrarle más que eso. Esa es una debilidad de las herramientas de código abierto.

Walter Chavarría, Director de Informática de la Universidad Americana (UAM)
¿Podrías hablarme de las fallas de seguridad en los servidores Apache 2.2.2? ¿Serían posibles los ataques tipo XSS?
Podés suplantar a una persona con un tipo de ataque que se conoce como “inyecciones de SQL”, con códigos Java Script.

La “inyección” de un script con SQL consiste en validarse con el usuario (robo de “galletas”), para hacer todo lo que ese usuario tiene permitido. En nuestro país la mayoría de administradores no usa seguridad SSL, aunque los costos no son altos, más bien creo que es desconocimiento.

Mañana: “Sin ley no hay delito”.

vayala@elnuevodiario.com.ni