El día de ayer, 10 de marzo de 2009, se produjo un ataque contra el sitio web de la emisora radial LV16, producto del cual estuvo caído durante varias horas.
Al volver a estar en línea apareció un artículo relatando lo acontecido, acompañado de varias adhesiones de políticos y distintas organizaciones, todas condenando lo que consideraban un ataque a la libertad de prensa y hasta hablando de censura.
Ahora bien, analizando algunas cuestiones técnicas (y sin tener mayores detalles sobre lo acontecido), la cosa se parece más al producto de la negligencia y la ignorancia de quienes llevan adelante dicho sitio web que a un ataque orquestado con el fin de acallar la voz de un medio de prensa.
En el comienzo de la nota de LV16 puede leerse lo siguiente (el énfasis ha sido agregado por mí):
La libertad de prensa es un bien muy preciado, que no se dimensiona su grandeza hasta que uno es callado, borrado, hasta que nuestra palabra no puede llegar al otro lado… Este martes LV16.com no pudo actualizar su página debido a la ignorancia de un personaje, que oculto tras las sombras y sus «pseudos conocimientos» hackeo nuestro sitio web.
Si bien el ataque a un sitio web es una actitud destructiva y reprochable, rasgarse las vestiduras hablando de un ataque a la libertad de prensa no me parece apropiado en este caso. Con respecto a la ignorancia y los «pseudos conocimientos» (si en castellano existe tal término) de quien produjo el daño, más bien parece que lo que impidió a la gente de LV16 operar con su sitio web fue la ignorancia del programador de mismo. El atacante (aunque con malas intenciones), parece haber usado bien sus conocimientos.
He aquí por qué: el sitio web en cuestión es susceptible («es«, aún lo sigue siendo) de ser atacado mediante una técnica básica de extracción y/o adulteración de información en sistemas web, conocida como «inyección SQL» («SQL Injection«, en inglés). Básicamente dicha técnica consiste en manipular los parámetros que envía el navegador para acceder a las distintas funciones de un sitio (notas, fotos, etc., en este caso), logrando alterar el funcionamiento normal del mismo.
Cómo construir una aplicación web evitando ataques por Injección SQL no requiere de un doctorado en informática: es una cuestión básica, que debiera conocer cualquier programador que se dedique a dicho rubro (aunque, lamentablemente, son muchísimos los casos de páginas con errores de este tipo).
¿Podemos echar toda la responsabilidad sobre, quizás, un adolescente dañino que, en sus experimentos aprendiendo sobre seguridad de aplicaciones web, saca de operación el sitio web de una empresa? ¿No recae gran parte de la culpa en el programador desaprensivo e ignorante que no toma los recaudos mínimos para que su aplicación sea segura? Pero claro, siempre es más fácil (y tiene mejor difusión) hablar de conspiraciones, censura y libertad de prensa; ya que nunca faltarán quienes se sumen en apoyo de la supuesta víctima.
En otro párrafo de la nota de LV16 puede leerse lo siguiente (nuevamente, el resaltado es mío):
Debido al accionar de esta persona LV16.com ha perdido todo su archivo informativo, fotográfico y documental, fruto de cinco años de mucho trabajo y esfuerzo.
Nuevamente, se responsabiliza exclusivamente al atacante por la pérdida de cinco años de trabajo, sin hacer un mea culpa y reflexionar sobre estupidez mayúscula de no tener una copia de respaldo de la información que se encuentra en el sitio web (¡en cinco años!). Cualquier administrador de sistemas (por pobre que sea su formación o escasa su experiencia) sabe que jamás puede prescindirse de copias de respaldo, realizadas periódicamente. De haberse roto el disco duro del servidor, seguramente LV16 estaría hablando a los cuatro vientos del malévolo disco que se llevó el fruto de su esfuerzo y acalló la voz de la prensa.
Pasando en limpio: Si el programador hubiera tenido las nociones básicas, el ataque no habría sido posible. Aún sin contar con esto, si hubieran tenido copia de respaldo de la información, el problema se hubiera solucionado en una hora (sin las repercusiones, las adhesiones y demás…)
Para finalizar (y por si aún es necesaria la aclaración): no estoy negando lo reprochable del acto de atacar un servidor y aprovecharse de la vulnerabilidad de un programa para causar daño. Tal accionar es condenable, y el culpable debería ser individualizado y castigado. Pero esto de ninguna manera justifica la falta de profesionalismo de quienes llevan adelante el sitio lv16.com, ni mucho menos los habilita a utilizar la bandera de la libertad de expresión para justificar su ignorancia.
PD: Antes de publicar este artículo intenté comunicarme con LV16 por email y a través de su sitio, para ponerlos sobre aviso del problema de seguridad, que aún persiste. No tuve ninguna respuesta de ellos.
Actualización (12 de marzo de 2009): En la mañana de hoy se comunicó conmigo el encargado del area técnica de LV16, mostrando una buena predisposición e interesado por conocer los detalles del problema. Aparentemente, la vulnerabilidad por inyección SQL ha sido solucionada.
Esto me hace acordar a Bobby Tables!
ref: http://xkcd.com/327/
Y eso que fue lv16, y que pasa si atacan a los otros sitios locales que también son susceptibles a sql injection?. Creo que se trata de un error del programador toda la culpa.
M.
¿Puntal es suceptible?. JEJEJEJEJEJEJEJEEJE :D:D:D
Comentario que dejé en el sitio de la noticia, no se si lo van a publicar por eso lo agrego acá.
Es increible que hablen de ataque a la libertad de prensa cuando uno puede tranquilamente comprobar que no es así. Solo se trata de un incopetente como administrador de sistemas y un incompetente como programador (suponiendo que sean dos personas distintas). El no comprobar las entradas de los campos y limpiarlas de comandos es como hacer turismo sexual en zonas marginales de África. El no hacer copias de seguridad es como dejarse los preservativos en casa. Estas destinado a un HIV.
Dicho sea de paso la maquetación del sitio es horrible con firefox
un par de links para que vean de que hablo
http://xkcd.com/327/
http://blog.smaldone.com.ar/2009/03/11/lv16-com-censura-o-ignorancia/
Bueno, si vamos a criticar la falta de profesionalismo del equipo de LV16.com podemos comenzar por citar los copiar/pegar que hacen de artículos de otros medios online, sin siquiera enlazar las fuentes. Y ahí no son los informáticos los que están demostrando falta de profesionalismo.
Lamentable lo de LV16 !!!!!!!!
Es como culpar al ladron que te robo porque dejaste la puerta abierta.
http://www.lv16.com/r5/notas/ver_nota.php?id=000092'OR'x'='x
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near » OR ‘x’=’x’ at line 1
sigue teniendo el mismo problema.
Porque no lo dan de baja al sitio y contratan gente seria.
Es realmente decepcionante el nivel de caradurez de lv16. Me censuraron!!!!. Que suerte que tenes Jorge Blengino.
Pero sin los links y por que lo volví a mandar
Muy bueno el post Javi.
Algunos comentarios en la nota de LV16 a la que haces referencia son pateticos. Sin hablar del mal empleo del termino «hacker».
Espero realmente esa nota tenga un fin ulterior, porque me daria mucha tristeza saber que quienes controlan uno de los medios mas importantes de Rio Cuarto realmente lo creen, haciendo gala de una pobre inteligencia (o una rica imbecilidad).
Javier,
Buena nota. Siempre con el mejor nivel.
No creo que hayan perdido todo su archivo.
Me resisto en creer en tanta incompetencia.
Lo que temo es que están mintiendo… burdamente.
Saludos,
gab
Si bien pienso que tal vez sea exagerado plantear el problema como atentado a la libertad de prensa, en cambio me parece una barbaridad aun mayor responsabilizar a la victima del atentado. Suelo revisar el blog , si bien generalmente no escribo, pero en esta ocasion me parecio necsario poner una cuota de equilibrio en la cuestion.
Buenas tardes, yo soy el supuesto «ignorante» que con mis «pseudos-conocimientos» logre vulnerar el sitio de lv16.com. Escribo aca por que es en la unica web de la red en la que se dice lo correcto, no fue un ataque a la libertad de prensa, solo fue un error mio y de mi compañero, y aproposito, la base de datos no era de 5 años y ya fue devuelta al encargado del sitio de lv16.com
PD: Si no me creen, agreguenme eazy-r0x@hotmail.com
jajajaja… le comente a mauro que la mejor proteccion es no usar mocosoft… jajaja… y le dije que se contactara con vos… no es sensura… es netamente ignorancia.
ups… Censura…. si si con «C»
Un poco atrasado mi comentario (no frecuento mucho el blog, lamentablemente). Pero tengo que decir que me causo mucha gracia cuando vi todo el circo de lv16. Principalmente, cuando intente explicar que era lo que debia haber sucedido (lo que se comenta aqui), y… CENSURARON MI COMENTARIO!!! Encima, no insultaba ni menospreciaba a nadie… en fin.
A tal punto es precario el sistema (o era hasta la ultima vez que lo visite), que si ven algun comentario con comillas dobles, a cada una de estas lo antecede una comilla doble (es decir, el programador ni se esfuerza en limpiar el texto que recupera de la DB).
Por lo menos, a mi me sirvio para quedar mejor con mis clientes.
Y no, no les pienso decir cuales sitios desarrolle yo, porque por mas cuidado que se tenga, todo sitio es susceptible de ser hackeado *ejem* perdon, crackeado.
Hola muchachos, soy de Mar del Plata, hoy en el principal diario de la ciudad le dedica 3/4 de página al tema bajo el título ¨Un marplatense de 17 años es el hacker que atacó una radio¨ y en tapa: ¨Localizaron en Mar del Plata al hacker más buscado¨
En el desarrollo de la nota podemos leer la novela de un pibe de 17 que metio la pata. jajajja.
Mientras los medios sigan manejando así estos temas, mientras nosotros no hagamos un poco de docencia y mientras los empresarios sigan queriendo pagar monedas por un trabajo que bien echo lleva su tiempo, esto va a seguir pasando.
Eso de no tener backup del material unos nabos totales!
Notaron que al día de hoy el sitio sigue inaccesible?
Saludos
Hola Muy buen Blog, Muchas Gracias por la Información es muy Util.