Archivo para 28 marzo, 2011
En casa de herrero… inyección SQL
marzo 28, 2011 5:17 pmUn refrán popular español dice que “en casa de herrero, cuchillo de palo“, alegando a aquellos que no suelen ser o hacer lo que predican. Y qué mejor ejemplo que el incidente que sufrió durante el fin de semana el sitio MySQL.com, que fue víctima de ¡una vulnerabilidad de inyección de SQL! Se trata de un ataque que aprovecha errores en la programación del sitio web, que permiten que se realicen consultas a las bases de datos, a través de alguna interacción con el sitio web (comúnmente a través de la dirección URL o algún formulario).
Aunque vale destacar que el error está en la aplicación web, y no en la base de datos; sí resulta al menos llamativo que una empresa que se dedica a las bases de datos no chequee que sus aplicaciones no permitan consultas a las mismas. ¿Qué ocurrió? El ataque, atribuido al grupo rumano Slacker.Ro, consistió justamente en realizar consultas a las bases de datos, extrayendo de las mismas información confidencial como:
- Usuarios de la base de datos.
- Nombres de las bases de datos.
- Nombres, usuarios, correos electrónicos y hash de las contraseñas de los usuarios de las bases de datos (35 afectados).
Posteriormente, los atacantes pudieron desde el hash MD5 obtener a través de tablas rainbow algunas contraseñas de algunos usuarios. Como dato curioso, se encontró que las contraseñas de algunos usuarios eran muy triviales, especialmente la de un usuario administrador (admin), perteneciente al Director de Productos (un reconocido profesional con más de 20 años de experiencia en el campo), que estaba formada ¡sólo por cuatro números! Sería bueno una clase de contraseñas fuertes por allí.
Los atacantes hicieron un anuncio público exponiendo toda la información obtenida en listas de correo, por lo que se recomienda que cualquiera que tenga un usuario en el sitio haga un cambio de las credenciales con urgencia:
En resumen, Oracle (dueña de MySQL) fue víctima de un sencillo ataque que, a pesar de sus años de antiguedad, sigue siendo el favorito de los ciber criminales en lo que respecta a ataques web. Se trata de un nuevo caso donde incidentes de seguridad ponen en evidencia que incluso las empresas más prestigiosas, suelen no ocuparse de problemáticas sencillas o comunes,
Sebastián Bortnik
Coordinador de Awareness & Research
Arrancamos la semana y, una vez más, damos continuidad a la Gira Antivirus 2011, que comenzara una semanas atrás con seminarios en Panamá y Argentina. En esta oportunidad, en la semana andaré girando por el interior de Argentina, donde comenzaremos a recorrer el país con la Universidad Tecnológica Nacional, la institución educativa que acompaña a la Gira Antivirus desde sus comienzos.
En esta oportunidad, los eventos para la semana son los siguientes:
- Martes 29 de marzo: Universidad Tecnológica Nacional, Facultad Regional Concepción del Uruguay, a las 19:00 hs. en Ing. Pereira 676.
- Miércoles 30 de marzo: Universidad Tecnológica Nacional, Facultad Regional Rosario, a las 19:00 hs. en Zeballos 1341. ¡Sorteo de laptop!
En ambas ciudades estaré dictando el seminario “Ataques informáticos: las armas del cibercrimen“, donde los asistentes podrán observar, entre otras cosas, demostraciones en vivo de gusanos, troyanos, ataques de phishing y una red botnet funcionando en vivo.
Además, como mencionaba anteriormente, en la ciudad de Rosario estaremos haciendo el sorteo de una netbook, que fue parte del premio obtenido por la universidad por el Premio Universitario 2010, donde Flavia Gramajo, estudiante de la institución, resultara ganadora. En un sorteo realizado por la propia institución, la facultad regional de Rosario resultó la ganadora por lo que uno de los asistentes se irá a su casa con más que nuevos conocimientos sobre seguridad informática y cibercrimen. 
De esta forma, damos continuidad a la Gira Antivirus 2011, los invitamos a todos a participar y sigan atentos, que estaremos publicando cronograma de eventos para México y Perú en las próximas semanas.
Sebastián Bortnik
Coordinador de Awareness & Research
