A principios del mes de Abril de 2016, 109 medios de comunicación de 76 países presentaron los resultados de la primera entrega de los más de 2.6 Terabytes y 11.5 millones de documentos de documentación procedente de la mayor filtración de datos a periodistas en la historia de la firma de abogados panameña Mossack Fonseca, los conocidos como #PanamaPapers.
I am not going to enter here to evaluate its moral or political consequences, this is not the forum for that, and if we are going to look at the causes of this leak, something that, except in more restricted circles, has not had so much diffusion:
Según la empresa de seguridad informática Wordfence, la filtración de estos datos se debió a una serie de vulnerabilidades en los sistemas informáticos de la firma panameña, Concretamente el acceso a su servidor de email fue posible debido a una vulnerabilidad ya conocida 18 meses antes que esto ocurriera de un plugin de WordPress llamado Revolution Slider que no había sido actualizado.
Mediante esta vulnerabilidad, un atacante pudo con relativa facilidad acceder al servidor de WordPress de la empresa y, mediante el acceso al archivo «wp-config.php» robar las claves de acceso a esta Web. Una vez hecho esto, el acceso a su servidor Web fue pan comido.
Para terminar de completar este acceso al servidor de email los atacantes recurrieron, una vez dentro de su servidor Web, a dos plugins que usaban en la firma de abogados para enviar correos electrónicos a sus listas de usuarios y la gestión de las mismas, WP SMTP y ALO Easy Mail Boletín que almacenaban en la Base de Datos de WordPress la información de inicio de sesión en el servidor de email en texto plano, es decir, sin ningún tipo de encriptación.
Fue mediante esta esta vía como los atacantes consiguieron el acceso como administradores del servidor de correo electrónico que, para completar el cúmulo de despropósitos, se encontraba en el mismo tramo de red que su servidor Web. De esta forma, los atacantes tuvieron acceso a más de 4,8 millones de correos electrónicos.
Además, el portal de clientes de la firma estaba implementado sobre una versión fácilmente “hackable” de Drupal, que no había sido actualizada y que tenía más de 30 vulnerabilidades documentadas y que fue la responsable del llamado “Drupageddon” un ataque masivo que sufrieron las Webs de este CMS a mediados de octubre de 2014. Esta vulnerabilidad permite a un atacante acceder fácilmente a toda la información almacenada en ese servidor y fue la responsable del robo de cerca de 2,5 millones de documentos.
In short, two old, and already fixed, vulnerabilities in two CMS systems were responsible for this leak.
Pensareis: «bueno, yo no tengo información sensible que pueda ser robada, así que no me atacarán».
This may be the case if you only have a blog or a corporate website and do not collect any data. But the attacks are not just about stealing information.
Además de la posibilidad de tomar el control de la Web y variar su aspecto, hay un tipo de ataque que pasa más desapercibido y que afecta a los resultados de las búsquedas de tu Web, los ataques de cloaking.
El objetivo de este tipo de ataques es encubrir ciertas Webs en los resultados de búsqueda orgánica de tu Web, es decir que al buscar tu sitio, entre los resultados aparecerá uno que lleva realmente a la Web del atacante. Para conseguirlo, lo que hacen estos hackers es mostrar un contenido distinto al robot de Google del que muestran al usuario.
Para finalizar y retomando el titulo de este artículo ¿Qué hemos aprendido del caso de los #PanamaPapers?
1.- Que no basta con montar un sitio Web y luego olvidarse. Es necesario por un lado securizar este sitio y por otro mantener y revisar de forma regular el sitio, estando atentos a las distintas vulnerabilidades que puedan aparecer y actualizando nuestros CMS (WordPress, Drupal, Joomla…) y los diferentes plugins que instalamos.
2.- Que debemos elegir una empresa de hosting que aporte servicios adicionales de seguridad y no sólo un sitio donde «tirar» nuestra Web. Existen varios de estos servicios que ofrecen soluciones especializadas para las diferentes plataformas.
3.- Que debemos elegir bien los plugins que instalamos en nuestro CMS, informarnos de ellos y estar al día en cuanto actualizaciones. En el caso de Mossack Fonseca, la brecha del plugin Revolution Slider fue muy comentada y las soluciones, bien por actualización, bien por sustitución, estaban ampliamente documentadas. Asimismo, los otros dos Plugins, WP SMTP y ALO Easy Mail Newsletter, tienen un bajo número de instalaciones, alrededor de 10.000, incluso el primero de ellos no se ha actualizado desde hace más de dos años 🙁
4.- Que debemos huir de los Themes que incluyan funcionalidades. Tanto por asuntos estéticos como de seguridad. Pero esto es asunto de otro artículo.
I invite you to leave your impressions and/or doubts in the contact form and to suggest new topics that you would like me to cover in these tutorials. I will be happy to answer you by email and write in this blog.
