Acerca del “hack” al padrón electoral

lHackerInsideHace un rato me enteré de que “hackearon” la página donde se puede consultar el padrón electoral para las elecciones del domingo. En primer lugar quiero aclarar que no fue un hack, fue un crack. Un hacker sólo ingresa a un sistema para leer datos o demostrar que un sistema es vulnerable. Un cracker altera las cosas, o las deja sin funcionar. Pero para qué marearlos con explicaciones breves? Entren a los links que puse ahí y lean mejor.
Yendo a la noticia en cuestión, quiero comentarles cómo creo que fue este brillante ataque.
Empecemos por decir que el sitio está pésimamente diseñado: al entrar lo primero que aparece es una página donde se abre un pop-up. Si alguno estuvo viviendo en un tupper los últimos años, le cuento que los pop-ups dejaron de ser bien considerados hace … más de diez años, supongo; cuando se usaron abusivamente para hacer publicidad. Bien. Entonces, superado el problema del pop-up, nos aparece otra página. Esperen, no se impacienten, todavía no pueden consultar el padrón! Tienen que apretar un botón para ingresar. La curiosidad me llevó a ver el código fuente de la página, para saber por qué tenía que sufrir tantos clicks para algo tan simple como una consulta.
• En el código, me encontré con una aterradora realidad: un login. O sea, “iniciamos sesión” en la página para hacer una consulta. Usuario (pjn_cne) y contraseña (pjn_cne, se jugaron!) figuran ahí alegremente.
• Al entrar a la página de consulta, el único cambio visible es en la lista de provincias, donde dos nombres fueron alterados.

Cómo creo que fué el ataque? Muy simple (y por eso me parece brillante, porque me sorprende que no lo haya notado nadie antes), pudo haber sido utilizando esa combinación de usuario y contraseña, o bien simplemente una inyección SQL (o sea, insertando datos en una consulta “normal” a la base de datos). (también planteo algunas otras teorías más abajo)
Si el listado de provincias está escrito a mano en el HTML de la página, fue un ataque al sitio. Si toma las provincias de la base de datos, fue un ataque a la base de datos. Los datos del padrón sólo corren riesgo si fue un ataque a la base de datos. Ahora: una página diseñada de forma inteligente (y creo que no estamos ante un buen ejemplo en este caso), aun consultando la base de datos para hacer el listado de provincias (y considerando que tiene muchas visitas), tendría una versión en caché. A juzgar por cómo aparecen listadas las provincias en el código fuente, no fueron escritas sino que, necesariamente, salen de un listado o base de datos. En un planteo inteligente, nunca se combinarían esas dos tablas (padrón y provincias), pero desconozco cómo están armadas las cosas.
padronesEstoy convencido de que no se requiere demasiada experiencia para penetrar un sitio como este, y siendo un sitio tan concurrido la seguridad no es un tema para menospreciar. Ahora que restauraron el sitio, parece estar todo igual que antes, y no creo que hayan hecho algún cambio.
No descarto que alguien haya adivinado algún dato de acceso (con contraseñas del tipo “123456“) y alcanzado archivos estáticos (los HTML); pero me parece menos probable.
Que haya aparecido un cambio tan evidente puede parecerle malo a muchos, pero a mi me parece que es bueno. Por qué? Porque así se dejó ver que el sitio es vulnerable, y que así como cambiaron datos triviales quizás también cambiaron datos más sensibles y que no se pueden detectar desde afuera (como los resultados de las consultas que hicieron los votantes).
Si no hubiera pasado esto, los programadores y todos los que consultaron el padrón estarían seguros de que el sitio da datos reales; y en caso de que los datos hubieran sido alterados recién se habrían enterado el próximo domingo. Ahora, al menos, saben que el sitio es vulnerable y, por lo tanto, los datos no son del todo confiables. Es decir que ahora tienen poco menos de 48 horas para asegurarse de saber dónde van a votar, cuando antes creían que sabían dónde van a votar.
De todas formas, no se alarmen. No creo que en este ataque hayan alterado también datos del padrón, porque de ser así no hubieran hecho evidente el ataque (para conservar los datos cambiados). Pero si hubo un ataque confirmado, nadie puede asegurar que no hubo otro antes!

  • ChS

    Coincido…

  • Ailen

    “Pero si hubo un ataque confirmado, nadie puede asegurar que no hubo otro antes!”

    …imaginate! ._.

  • y yo que hablaba de bicot

  • V

    Es absurdo que tomen los datos de provincias de una base de datos… Es decir, son datos absolutamente estáticos, a no ser que tengan intención de cambiarlas pronto…

    La maravilla de las bases de datos es la inclusión de información dinámica, si no me equivoco. Eso también, como decías, sería para tener en cuenta en el diseño.

    Que buen ‘briefing’ que hiciste del tema ;)

    Ni me había enterado.

    .-

  • V

    Ah, a mi me dice que voto en la Casa Rosada, en la cocina.

    .-

  • Ka

    Fui yo, fui yo! Quería agregarme para poder votar (?) Jaja.

  • Pingback: Week-Log.320 | Denken Über()

  • Gustavo

    Para mi fueron hackers no crackers ya que aparentemente no rompieron y no robaron nada, y las leyendas que dejaron yo las interprteté como un tirón de orejas para los administradores y desarrolladores del sitio.
    De todos modos, muy buena tu nota.
    Saludos.

  • pero al final qué cambiaron? qué rompieron los crackers?

  • Zim

    @Gustavo: Es discutible; como me comentó un amigo por Twitter, debería leer un poco más sobre el tema para poder contestarte eso con certeza.

    @N3RI: Cambiaron dos valores en el listado de provincias, los de Capital Federal y Buenos Aires. A una le agregaron la palabra “chorros” y a la otra “ladrones”, si mal no recuerdo.

  • uh qué vergüenza! tu blog muestra que estoy usando Windows XP!!! es mentira! estaba toqueteando el user agent de mi firefox!!! lo juro! ufaaaa

  • Zim

    Tranquilo, nadie es condenado por eso. Todavía. :P

  • det

    N3Ri, igual me parece que lo que se consulta no es el padron “real”, sino una copia hecha para consulta, dudo que el padron electoral “verdadero” este online, quiero decir, el que si le haces algun cambio queda permanente…

    seria glorioso que este online qy que se puedan hacer tramites online “de verdad”, pero no es el caso…

    saludos

  • Zim

    Eso seguro, det; sería una locura… De hecho, en el sitio dice por algún lado que es una versión de hace seis meses, o sea que hicieron un dump hace un tiempo y lo usan de referencia aca. No creo que hagan una locura así!

  • det

    Zim, perdon, pense que eras N3RI!

    :p

  • Pingback: Crakearon la página del padrón electoral()

  • Rollerman

    Mu bonita explicacion hiciste del caso amigo… de todas maneras, por más ke las provincias no esten en el codigo html, acordate ke pueden estas en un JSP y podrían modificarse sin acceso a la base de datos… tambien no nos olvidemos de nuestro querido XSS… bueno sin más los saludo.

  • Rollerman

    perdon, pero me olvide de comentar ke el error más boludo que puede llegar a haber tenido el site sea seguramente de DB

  • daniel soria

    Chicos estoy buscando familiares en distintas provincias. Formamos un grupo del facebook SORIAS DEL MUNDO UNIOS…y es increible…ya somo mas de 1000 y el nivel general es quiero saber donde estan mis padres y hermanos..
    hay alguna manera de acceder a estos padrones y tambien en los padrones hitoricos? O quizas a las base s de datos de los registos civiles o nacional de las personas?
    Gracias
    Daniel Soria

    • Zim

      Teóricamente no se puede conseguir el padrón “así nomás”…

  • Gente, yo encontré algo en el sitio del padrón electoral antes de que sucediera lo del “hack”, lo pueden ver en mi blog, http://insegar.blogspot.com/2009/08/la-base-de-datos-del-padron-electoral.html . Obviamente yo no soy el culpable, pero a raíz de lo que encontré deduzco que no se necesita ser ningún Einstein para hacerle un deface a dicho sitio.

  • Zim

    Muy interesante Ximo, gracias por compartirlo!

  • No hay porque Zim, un gusto!

    Saludos

  • Chino

    Estaba buscando acerca del padrón electoral y llegué aca. Que chica es la www!. Saludos desde BA y suerte con las cenizas