Una perspectiva de ciberseguridad sobre el escándalo "Panama Papers"

Los papeles de Panamá o “Panama Papers” es considerado como la mayor investigación periodística realizada principalmente por los medios asociados al Consorcio Internacional de Periodismo de Investigación (ICIJ por sus siglas en inglés) sobre el negocio de las offshore o empresas en paraísos fiscales (lugares que gozan de inmunidad tributaria).

Esta noticia había sido siempre una sospecha, sin embargo, hace unos días se ratifica de manera contundente ante el hackeo a la firma Mossack Fonseca con sede en Panamá y que tiene representación en el Perú.  Esta hackeo genero la filtración de 11 millones de documentos que suman un total de 2.6 TB de datos. Estos documentos involucran a políticos, empresarios y artistas de todo el mundo y el Perú no es ajeno, básicamente los comprometidos en este escándalo buscan la evasión tributaria y camuflar su verdadero patrimonio principalmente que genera perdidas millonarias en los países de origen.

El problema de ciberseguridad que tuvo la firma Mossack Fonseca es por contar con una versión vulnerable del plugin “Revolution Slider” de su pagina hecha en WordPress y por otro componte de Drupal. Al ser explotado este plugin puedes tener acceso al archivo de configuración del WordPress llamado “wp-config.php”, en este archivo reside las credenciales de base de datos y del correo asociado.

Desde el punto de vista periodístico y de la noticia es un hecho que permite hacer frente a la lucha contra la corrupción y al fraude, sin embargo, desde el punto de vista legal, especialmente en el Perú, es complicado que puedas correlacionar esta evidencia con los casos de LavaJato, aportes a políticos y compañas. Desde el punto de vista, técnico es muy rico en investigación digital y se podría corroborar que es información integra y fehaciente. Sin embargo, existe un termino común en las investigaciones llamado “cadena de custodia” que consiste en describir como la evidencia digital ha sido gestionada. Si se rompe la cadena de custodia porque se manipulo la evidencia por una persona no autorizada o se extrajo de manera indebida el abogado defensor puede sugerir la eliminación de esa evidencia digital. Ej. “Los petroaudios”

En conclusión, la adecuada gestión de la evidencia digital, el soporte legal adecuado y la implementación de controles internos nos permitirán tener una posición clara ante la lucha contra la corrupción.

Fuente: 

• http://utero.pe/2016/04/05/breve-explicacion-de-que-carajos-pasa-con-los-panama-papers-en-la-politica-peruana-y-cuan-grave-es/
• https://www.wordfence.com/blog/2016/04/panama-papers-wordpress-email-connection/
• https://actualidad.rt.com/actualidad/204269-secreto-hackear-papeles-panama-fonseca
• http://www.theregister.co.uk/2016/04/05/email_server_hack_led_to_mossack_fonseca_leak/

Ataques Sql Injection a Base de Datos

Una Base de Datos se encuentra confirmada por registros las operaciones que se puedan hacer en ella, llámese modificación, borrado o inserción de registros se realiza mediante código SQL (Structure Query Language). Entonces el Sql inyectado es la técnica de modificación de las sentencias sql lanzadas por un programa gestor de base de datos. Esta técnica te permite el acceso no autorizado a la base de datos y también te permite el control del sistema operativo.

Estos accesos no son fáciles de detectar para los administradores de red ya que las consultas a la base de datos viajan a través de la red en forma encriptada. Cada gestor de base de datos tiene su propio lenguaje Sql aunque todos son similares. Los ejemplos que pondré serán basados en SQL Server de Microsoft.

Cuando se accede a un portal el query o consulta es la siguiente:

Select username, password from users where username= ‘fulano’ and password = ‘1234’

Si los registros recogidos por el dataset (tabla de almacenamiento temporal de la consulta) son mayores a cero accedemos al aplicativo o portal web.

Pero esta consulta puede ser alterada y mostrarnos el tabla users sin conocer el usuario y contraseña valida. Debemos tener en cuenta que las comillas las introduce el programador para campos de tipo cadena. También el símbolo “--“ no se ejecutará.

Select username, password from users where username= ‘(sentencia del programador)

‘ or 1=1 -- (código en la primera caja de texto) y nos dará acceso al aplicativo, si nos damos cuenta la parte de la consulta “ and password=…” no se ejecuta por el símbolo “--“. O sino probar con ‘ or ‘1’ = ‘1 . Podemos obtener también sea cual sea la contraseña. También se puede poner cualquier cosa en el username y poner el comodin en el password.

Entonces si quieres probar esta técnica tendrías que buscar un portal o aplicativo form cuyo gestor de base de datos no este actualizado con el parche del bug sql injection para que así esta técnica sea exitosa. Para que el aprendisaje sea completo les dejo este videito.