El deface de Promusicae

Se está hablando mucho, y condenando, el deface al web de Promusicae. Dado el historial de manipulación de información, dilapidación de dinero público, falsas acusaciones, mala fe procesal de estos lobbies no me acaba de convencer del todo que haya sido un deface, es el momento demasiado oportuno para demostrar a los medios cuán malos son los “piratas”.

Así que me puse a mirar lo básico, descubrí que el deface era muy tonto. Esto es lo que encontré en la página principal (un fichero index.php):



La redirección hacia el fichero espanol.html (que tiene una copia del manifiesto) se hace en las primeras líneas, específicamente en:

<script type="text/javascript">parent.location.href='espanol.html';    </script>

Es decir son dos líneas de JavaScript que las inserta un fichero PHP. Luego parecen estar los datos completos. Lo comparo con la versión actual del sitio ya “recuperado” y es el mismo código. Es decir, no se modificó el fichero index.php, sólo el espanol.html.

El fichero original (y actual) es sólo:

<html><head><title>Promusicae</title><!-- revised Mar 5, 2007 - Powered by www.dasai.es -->
<link rel="shortcut icon" href="favicon.ico" >

<link rel="P3Pv1" href="/w3c/p3p.xml">

<meta http-equiv="P3P" content='CP="CAO PSA OUR" policyref="/w3c/p3p.xml"'>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

</head>

<frameset rows="*,0" frameborder="NO" border="0" framespacing="0">

<frame src="flashpage_pruebas.php?lang=espanol" name="flashframe" frameborder="NO">

<frame src="0.html" name="historyframe" frameborder="NO"></frameset>

<noframes><body bgcolor="#FFFFFF">

</body></noframes>

</html>

Un fichero muy pequeño que sólo define los frames y llama a otros dos ficheros.

Es decir, el deface consistió en subir y cambiar el fichero espanol.html al directorio de la página principal. Para ello se necesita un método para escribir ficheros en el directorio, bien porque tiene un problema de seguridad o porque tiene acceso como usuario del sistema, con privilegios para escribir en el directorio correspondiente.

Pero, ¿por qué no grabar ese fichero como index.html o index.php? Es lo habitual en estos caso, y se obtiene el resultado deseado de forma muy rápida, en poco tiempo y pocas conexiones.

Otra duda. Como se hackeó un sistema propietario no se tiene acceso a scripts ya preparados para atacar, por lo que el que lo hizo debía saber ser un especialista que no quiso causar más daños (podría haber borrado los demás ficheros). Este tipo de gente suele dejar mensajes llamativos y además firmado (del tipo "Lo hizo el Hax0rs Turkish t34M“) para que sus colegas del ambiente pudiesen verificar su logro. Pero tampoco hay ningún mensaje, el HTML que se subió es muy mecánico, con errores (por ejemplo le falta <body></body>) y que por las etiquetas parece un copy&paste chapucilla del manifiesto desde algún blog (y además se tomó el trabajo de borrar el nombre del programa generator):



Otras duda. El servidor estuvo con ese fichero varias horas, hasta que cerca de las 23 hs lo han parado completamente, pocos minutos después ya estaba nuevamente en marcha. Es decir, en poco tiempo han podido analizarlo, estar seguros que no hay otros ficheros modificados ni problemas de seguridad que permitirían repetir el ataque rápidamente. Si ha sido tan rápido tienen buenos técnicos, ¿por qué han esperado tantas horas para arreglarlo?

Entonces, ¿podemos estar seguros que fue un deface externo? No. Es muy raro la forma en que se hizo, el que lo hizo tuvo la elegante y solidaria precaución de no eliminar ficheros más complejos a pesar que el fichero del manifiesto podría haberse grabado directamente con index.php o index.html, no tiene “firma” habitual y lo han podido recuperar rápidamente… después de un tiempo prudencial sin tomar ninguna medida correctiva (¿el necesario para que saliese en la prensa?).

Con esas rarezas y el historial de manipulación, falsas acusaciones, mala fe procesal, etc. etc. de estos lobbies tengo mis serias dudas que sea un deface “de verdad” y no una “broma interna” [*] que podría generarles muy buenos titulares a favor. Hasta que la policia no intervenga y encuentre a los culpables no me creeré que haya sido un haxor, y si lo fue deberían agradecerle, fue muy benevolente y sólo se cargó un fichero irrelevante de 10 líneas, quizás sea un buen amigo.

Por ello me resistía a condenar el deface, porque sí que se es una mala táctica y perjudica a nuestros intereses, pero también sé que es muy fácil fabricarse [**] uno para lograr los mismos objetivos. No me extraña nada que la prensa lo haya dado por cierto (o caer en la propaganda en varios sitios [***]) sin siquiera recabar un poco de información, pero nosotros no deberíamos ser tan incautos con tanta experiencia a nuestras espaldas.

En todo caso, lo mío puede ser conspiranoia, sed escépticos y aplicad la Navaja de Occam (o recordad el Maine y la monja )

[*] Uso la palabra “broma” sólo porque existe una posibilidad de que tengan informáticos muy cachondos que quisieron gastarle una broma a sus jefes… o echarles una mano.

[**] Mucho más fácil y limpio que otras suciedades procesales, conseguir cientos de miles de euros en subvenciones para un sitio web cutre, o meter modificaciones a un proyecto de ley.

[***] Ya estamos acostumbrados a que equiparen copiar con robar, o a la propiedad intelectual con la de elementos físicos, pero que equiparen el borrado de un fichero con matar policías ya se sale de toda escala.

Fuente: Ricardo Galli desde su blog