http://list2.enicaragua.org.ni/pipermail/softwarelibre/2007-September/003805.html
http://list2.enicaragua.org.ni/pipermail/softwarelibre/2007-September/003806.html
Por otro lado, contribuyendo a la discusión, podemos diseccionar el problema en más detalle (atendiendo al análisis de la supuesta inyección SQL para obtener el padrón electoral).
Es un secreto a voces acá que el padrón circula entre la población, por otro lado, para analizar la inyección SQL, dividamos el problema en
(1) Servidor web
|
|
(2) módulos del servidor web para el lenguaje
|
|
(3) programas del lado del servidor
|
|
(4) driver de la base de datos
|
|
(5) BD
El servidor web es donde el navegador "golpea" primero al entrar en contacto con el sitio web remoto y puede ser objeto de ataques (el navegador) no necesariamente provenientes del servidor web como se muestra en este excelente documento
Luego (1) podría ser explotado por una vulnerabilidad en el núcleo del servidor web que implicaría una violación de seguridad para todos los sitios web alojados por el servidor y para el sistema operativo en que descansa. Los servidores y servicios expuestos públicamente deben ser constantemente examinados en busca de vulnerabilidades (con una frecuencia al menos diaria) y una vez localizada la vulnerabilidad, debe procederse a estudiar la solución, planificarse para no interrumpir abruptamente a los usuarios que hacen uso de los servicios y ejecutar la solución a la vulnerabilidad encontrada.
Por otra parte, (2) muchos administradores dejan al servidor web con todos los módulos habilitados. No es necesario dejar habilitado un módulo cuya funcionalidad no será usada porque ello implica otro punto de ataque. Incluso, es bueno eliminar del servidor web las configuraciones que atañen también a los lenguajes en que se espera servir los documentos HTML (por ejemplo, ruso).
Además, (3) los programas creados también deben ser auditados en búsqueda de inconsistencias que impliquen violaciones de seguridad que conlleven a la pérdida, alteración o revelación de datos.
Como sabemos, el lenguaje en el servidor supuestamente "hackeado" es php. En php, las consultas SQL están embebidas dentro del código del lenguaje. Una vez realizada la consulta, el propio programa php debe "saber" qué hacer con los resultados de la consulta. Es decir, aunque se logre inyectar una consulta SQL, es necesario un programa del lado servidor capaz de manipular los datos obtenidos de la consulta. Ello implica, si se logra, colocar un programa alterado, una violación al sistema de ficheros del servidor web, es decir, escalada de privilegios más allá de una inyección SQL.
Igual, (4) el driver de la BD pudo ser alterado o (5) se pudo alterar la BD.
La noticia, tal como fue colocada en el sitio web del Nuevo Diario, no hace referencia o no da ningún indicio que nos ayude a analizar o comprender la naturaleza del ataque.
De nuevo, gracias Noel por la aclaración.
0 comentarios:
Publicar un comentario en la entrada