Papeles de Panamá: seguridad TI y la importancia de estar actualizado

Se hacía eco Microsiervos de la información publicada por el Süddeutsche Zeitung, donde se hacía una radiografia del tipo de contenidos que hay en los 2,6 terabytes procedentes de la filtración de los Papeles de Panamá. En total se habla de 11,5 millones de documentos, de los cuales la inmensa mayoría no son “papel” sino bases de datos, emails, y documentos pdf.

Todo apunta a que los “papeles” no fueron entregados por una mano negra , sino que los sistemas de Mossack-Fonseca fueron hackeados debido al deficiente mantenimiento del entorno TI de la firma de abogados (aunque quizá habría que hablar más de dejadez). Estos son algunos de los fallos de seguridad que se han encontrado:

  • WordPress 4.1: el blog de la página principal de Mossack Fonseca parece utilizar WordPress 4.1, que, aparte de estar ya bastante desfasado (fue lanzado el 18 de de diciembre de 2014), ha sido reportado por tener una amplia variedad de vulnerabilidades graves. En general, la fuerte dependencia de los plugins en WordPress suele ser problemática, y si encima no se actualiza, pues pasa lo que pasa.
  • Drupal 7.23: el portal de cliente operado por Mossack Fonseca usaba Drupal 7.23 (versión lanzada el 8 de agosto de 2013) en el momento de la historia saltó a la luz pública. Este Drupal corría sobre un Apache 2.2.15 (de 6 de marzo de 2010). Para complicar aún más las cosas, en realidad lo que usa es Oracle’s Fork of Apache, que por defecto permite la visualización de la estructura de directorios. Como los archivos de Drupal utilizan la extensión .module, cualquier usuario es capaz de ver el código fuente de los archivos module como texto plano, y también puede ver el directorio donde se alojan los archivos.
  • La instalación del Drupal en Mossack Fonseca Drupal se realizó mediante Unicorn Riot, que, en el momento de publicación de la fuga, señaló que existe un módulo de “cartera” que se utiliza para que los usuarios puedan visualizar sus documentos, y que hay también un módulo “Oracle” que le permite a Drupal utilizar Oracle como la base de datos back-end (en lugar de MySQL, que es la base de datos por defecto). Esta instalación de Drupal es en sí vulnerable. De hecho, supone dejar la puerta abierta a la vulnerabilidad má grave en la historia de Drupal -el Drupageddon- una vulnerabilidad que permite a cualquier usuario anónimo lograr una escalada de privilegios dentro o ejecutarcualquier código PHP. Unicorn Riot cree que esta vulnerabilidad es la que podrían haber utilizado los atacantes para acceder al almacén de datos del módulo “de cartera”, y posiblemente ahí estaría la vía para acceder a los documentos que han sido filtrados a la prensa.
  • Microsoft Exchange / Outlook Web Access: Mossack Fonseca utiliza el servidor de Microsoft Exchange para el correo electrónico, del que Outlook Web Access (OWA) es un componente. El portal de entrada ya te da la pista: 2009 como fecha de copyright. Fácil suponer que es probablemente insegura. Podéis verlo por vosotros mismos, click aquí.  Sobra decir que se han encontrado múltiples vulnerabilidades en Exchange y OWA, siendo la mayor parte de ellas descubiertas en 2015.

Lo que le ha ocurrido a Mossack-Fonseca podría suceder en cualquiera de nuestras organizaciones, si no se tiene conciencia de la importancia de mantener un entorno seguro y actualizado. Aunque se suele decir que nadie escarmenta en cabeza ajena, casos como el de Mossack-Fonseca debería evidenciar que el trabajo no termina con la instalación y puesta en marcha, sino con el mantenimiento y constante actualización.

Anuncios