Otra historia del CNC/NICPY

Por la tarde de ayer nos topacoms con una noticia en ABC que hablaba del “hackeo” al CNC/NICPY. La empecé a leer y al refrescar la página ya no estaba, al rato fue publicada de nuevo pero con otro título y enfoque.

Afortunadamente la noticia original fue cacheada por Google:

noticia_original

La versión que apareció después fue la siguiente (y sigue en línea):

Noticia actual

Posteriormente, hallamos en Twitter varios reportes que hablaban de un error al intentar acceder a Google, específicamente a través del dominio con el TLD nacional, es decir, Google.com.py. Consultamos con algunos contactos, con distintos ISPs, y efectivamente algo estaba ocurriendo.

Varios nameservers nacionales resolvían la IP de Google a un bloque que tenía como ubicación la ciudad de Buffalo en USA: 198.20.182.X.X.

Esta IP tenía un servidor web arriba y mostrando un sitio con el siguiente mensaje.

Pagina

Es decir, a primera vista cualquiera creería que se trata de un “defacement” tradicional.

Algunas personas no lograron ver este mensaje en forma directa y se toparon con un error de SSL (generalmente una medida de seguridad del navegador, al no poder comprobar los certificados satisfactoriamente).

Posteriormente, entre los rumores y quejas encontramos este comentario:

Comentario

Los links apuntaban a un post que contenía bastante información sobre el ataque y el estado del sistema del CNC/NICPY, en él se hablaba de lo sorprendente que puede ser hallar una vulnerabilidad RCE (Remote Code Execution, es decir, la posibilidad de ejecutar comandos en un sistema de forma remota) en estos tiempos.

“¿Es una vulnerabilidad RCE aceptable para un NIC que almacena información gubernamental y de alto perfil, y todo el resto de los dominios .py?

También comentaron otros detalles técnicos como la versión del kernel y que no hubo ninguna medida de mitigación en el sentido de que los permisos estaban mal definidos y no fue necesario ser root (tener permisos de administrador) para acceder a la información. Y lo más sorprendente, hallar una típica página de defacement del 2009 en la raíz web del servidor.

El segundo link contenía un pequeño mirror con algunos archivos importantes del CNC incluyendo un listado de dominios con números de cedula, nombres de dominio y fechas. También el listado de usuarios del sistema y un breve log de una sesión de crackeo de contraseñas, utilizando John the Ripper.

El antecedente

La vulnerabilidad era bastante sencilla, y se podía explotar yendo a la página de chequeo de dominios de NICPY, y tipeando un comando con pipes en vez de un dominio estándar y bien formado. Esto fue lo que me sorprendió ya que al parecer la vulnerabilidad se volvió a aprovechar tiempo después, en el ataque del iraní, utilizando la misma técnica.

Entrevistando a “Mormoroth”

Luego de ver los links a los detalles del ataque intentamos contactar con “Mormorth” (así se hace llamar, es iraní y su campo es la ingeniería petrolífera). Me animé a preguntarle cosas específicas sobre el ataque. Comentó tímidamente que su idea no fue en ningún momento la de filtrar la información y que sin embargo al entender que la noticia desmentía el ataque, pensó que sería útil liberar la información en la cual se pueden observar los datos más recientes (un simple tail nos arroja datos de dominios registrados en la última semana), esto también se puede corroborar inspeccionando la lista de usuarios del sistema, en la cual aparecen algunos conocidos funcionarios de la institución (y definitivamente no aparecen otros que han renunciado tiempo atrás).

Entre otras cosas compartimos viejos perfiles de Zone-H y también algunas anécdotas (le conté que básicamente hallamos y explotamos el mismo agujero de seguridad en momentos distintos). Sus experimentos habían empezado a los 14 años.

Esta comunicación telefónica se llevó a cabo a través de Radio Ñanduti durante el programa de Gustavo Velazquez, nuevamente se refuerza la idea de que fue una confusión.

La información (leak)

El compañero Matias se tomó el trabajo de analizar los datos proveídos por Mormoroth en el link que publicó, el CNC/NICPY solía proveer estadísticas en su sitio aunque al momento de escribir esto el link está deshabilitado. Las estadísticas del sitio sólo mostraban cantidades globales así como también cantidad de dominios registrados por extranjeros/paraguayos.

(La información cruda se halla en el link de arriba, los scripts que programé están acá)

Entre estos datos encontramos archivos de configuración y CGIs. Y lo más interesante, el dump completo de la base de datos, que nos permite obtener algo como esto:

Dominios nuevos por año

Otra observación interesante fue que la base de datos sólo contiene dominios válidos, es decir dominios que están activos, registrados hasta la fecha, lo comprobé realizando un WHOIS rápido (CNC/NICPY no tiene un servidor de WHOIS propiamente dicho pero haciendo scraping del sitio se logra). Por esto encontramos interesante estimar el dinero que mueve el registro de dominios de nuestro TLD, en el caso de los dominios nuevos, tendríamos lo siguiente (la cifra sería anual, sin tener en cuenta los dominios que se renuevan -y que cada vez suman más-).

Dominios nuevos por año (en U$)

Y por último, considerando que más dominios se activan cada año, y muchos de los antiguos se van renovando.

Dominios activos por año

La cifra del 2014 indicaría el total en caso de que la misma cantidad de dominios activos se mantenga este año, lo certero sería la pequeña diferencia con el 2013 que representa el monto total de los dominios registrados este año, que una cantidad mínima hasta el momento. Lo otro que no se tiene en cuenta aquí es lo que se obtiene por los dominios ya expirados, es decir, si un dominio se registró en el 2007 y expiró en el 2008, no aparecería aquí (hasta el momento no encontré dominios NO activos en la base de datos, encontré al menos 3000 que no tienen fecha alguna por lo tanto no pude agregarlos al análisis, sin embargo todos ellos están activos). En una comunidad de Internet un amigo, Marcelo Elizeche, había estimado cifras similares a estas, observando la propia página de estadística del CNC/NICPY.

Punto final

La idea era compartir aquella anécdota vieja y también ahondar un poco en el incidente, intentando evitar los detalles demasiado técnicos aunque sea difícil. El muchacho iraní prefirió mostrarnos una carita feliz antes que mantenerse sigiloso, montar una página falsa y quedarse con nuestros passwords de Gmail. ¿Cómo es posible que no se arregle una vulnerabilidad que fue reportada hace ya 5 años, y qué tipo de seguridad puede ofrecernos una institución que descuida ese pilar de la infraestructura de Internet que es el DNS? ¿Cuál es el costo operativo y qué parte va dedicada a pruebas de seguridad? Son algunas de las preguntas que me quedan. Mientras, Nigeria planea regalar 100.000 dominios