(Por El Microsaurio) Los hackers de Myanmar vienen pisando fuerte: PHP-Nuke y McAfee. Uno es un proyecto opensource con una pata comercial, el otro es la mayor compra que hizo Intel. Tiene algo en común: vulnerabilidades “de libro”. Y quienes los descubrieron están luchando a los codazos por pasar de la primera al interclubes. Mientras no se la tomen con vos, todo bien, pero mejor, conocerlos…
Se trata de una empresa de seguridad informática de Myanmar. Sí, eso que los viejos como yo conocimos como Burma. Su nombre oficial es Yangon Ethical Hacker Group. Yangon es el nombre que recuperó la ciudad de Rangoon (la capital) cuando ese país decidió usar topónimos pre-coloniales. Y desde 2007 funciona ahí este equipo de hackers, que periódicamente sacuden a alguna empresa o proveedor de software con una “visita” a sus servidores o una pasada de peine fino al código de las aplicaciones. Este fin de mes le tocó a uno chico, PHP-Nuke (si conocés alguien que lo esté usando en un website, forguardiale esto para que se ponga nervioso) y a McAfee (no hace falta que llames a nadie, en Intel ya se pusieron nerviosos).
Pero vamos por partes.
Sobre PHP-Nuke:
Tres vulnerabilidades, denunciadas por Aung Khant, de YEHG, y prolijamente revisadas y verificadas por Josh Bressers, de Red Hat, a cargo de adjudicar los números de vulnerabilidad CVE. Para hacerla corta, lo que se detalla en las publicaciones de los hackers es que este software contiene fallas de diseño, que permiten a un atacante ingresar en un website donde se esté usando PHP-Nuke y no sólo dañarlo, sino atacar desde ahí a los desprevenidos visitantes.
Frases lapidarias del que firma las notificaciones:
- Solución: no hay. El uso de este producto NO es recomendado, dada la extensa falta de actualizaciones y la negligencia del vendedor acerca de los avisos de seguridad.
- Versiones afectadas: 8.0 y anteriores. Las versiones pagas, 8.1y 9.0, podrían estar también afectadas
- Las notificaciones se hicieron llegar al vendedor en enero, pasados tres meses se decidió publicar el problema.
Ahora vamos al otro tema:
El website de McAfee (el website corporativo) fue escaneado por el mismo grupo. Pero no fueron los primeros en hacer una visita a esos servers; en 2008, 2009 y 2010 otros amables visitantes habían notificado a la empresa que había fallas de seguridad en el código de sus páginas web.
En este caso, los burmeses informaron que:
- En los servidores de la empresa hay 21 páginas web que contienen errores de programación que significan agujeros de seguridad (las marcaron una por una).
- Esa empresa ofrece un servicio, “McAfee Secure”, que escanea páginas web para verificar que sean seguras.
- Años atrás, McAfee adquirió una empresa de seguridad informática (Foundstone) y que dentro del personal aquella compañía había gente muy experta. Recomendó que consultaran a esos empleados
- Dado que existe software diseñado para prevenir pérdidas de información mediante la detección de tráfico web “hacia afuera” de un website, les aconsejaron usarlo. Esto lo marcaron porque en 17 páginas habían encontrado fugas de código fuente.
- La publicación de la nota con las fallas se produjo porque McAfee fue avisada el 10 de febrero, y al 27 de marzo la empresa no había solucionado los problemas.
Hasta acá sólo parece una muestra de ironía oriental, pero peor aún es que la vicepresidenta de Intel, Renée James había declarado en febrero pasado que habían comprado a McAfee para que llevara seguridad a los microprocesadores… en lo que fue (parece) la compra más grande hecha por Intel en 40 años. Habrá que ver cómo hacen para lograrlo.
Para terminar de ensuciar el tema, los autodenominados “hacker éticos” de Burma, enojados porque un ejecutivo de una empresa de seguridad los criticó llamándolos ilegales y boqueteros, mediante un email señalaron que por haberlos criticado, ahora irían a atacar su wesbsite, dado que esa empresa (Cenzic Corp.) produce un software de escaneo de vulnerabilidades llamado HailStorm.
La frase del mensaje de Yangon Ethical Hacker es: “Veremos ahora cuán fuerte es el kung-fu de Cenzic HailStorm”.
Esta cosa se pone interesante. Nosotros seguiremos sacando conclusiones, aprendiendo y preocupándonos porque seguimos sin saber quién custodia al custodio…