Un dia en la vida de koperator

¡Esta es una señal inequívoca del apocalipsis!

Terminando la semana pasada, mientras la mayoria de los chilenos celebraba en algun pub (boliche, taberna, bar, nightclub, etc), apareció en forma de comentario y en el foro del portal de “technoticias” que suelo leer a diario, Fayerwayer, un anónimo anunciando parafernalicamente que poseia los datos de 6 millones de chilenos, y que solidariamente los subio a un servidor del tipo share para que los lectores pudieran bajar y comprobar la veracidad de la informacion… Tal mensaje no tardó en llamar la atención del editor de turno (JI Stark), quien, al ver la gravedad de la situación, pidio al CEO del sitio que eliminara el comentario y la entrada publicada en el foro… pero ya era tarde y la informacion se propagó como la peste. Al día siguiente, todos los medios nacionales y algunos extranjeros hablaban de la debacle que originó este hecho.

Pero más allá de la cobertura que se le dió a la noticia, cabe preguntarse ¿fue tán grave la situación como para alarmarse de esa forma? o bien ¿que repercuciones directas tendrá para uno, como individuo, aparecer en alguno de los listados publicados?. Pues bien, dediquémonos a deshuezar los datos y veamos que consecuencias puede traer directa o indirectamente para cualquier ciudadano.

Pero, ¿como hizo este hckr para obtener tamaña cantidad de registros? Entérate trás el salto (pulsa el enlace siguiente)

El Modus Operandi del supuesto hacker

La forma de extraer datos de las bases presentes y accesibles desde internet es mas o menos sencilla para aquel que tenga algo de conocimientos en el manejo de datos a través de formularios. Veamos entonces (al mejor estilo Discovery) ¿Como lo hacen?. Primero, los que solo necesitan el rut para desplegar información y despues veremos los demas.

Servel y DGMN

Estas páginas, como lo mencioné arriba, solo requieren el rut para desplegar informacion, no siendo necesaria la creación de una cuenta con password. Este proceso es facilmente automatizable, pues los formularios funcionan a través del envio de datos del tipo POST(podrimamos decir ”de forma interna”) y GET (paso de variables -o parámetros- a través de la URL). Basta con construirse un pequeño programita que genere numeros entre un rango determinado y envie un POST al servidor. ¿Y el digito verificador? Pues bien, este no es ningun secreto de estado, pues su origen está en una fórmula matemática un tanto compleja llamada “Módulo 11″ y  cuya programación, conociendo la formula, es simple de implementar. Con estas herramientas ya tienes numeros de rut válidos para consultar. Luego, se procesan las respuestas del servidor para extraer los datos devueltos… y presto! ya tienes tus bases de datos pobladas.

Nota al margen: Podria haberme dado el trabajo de construir al menos un ejemplo o bien citar las direcciones exactas para realizar las peticiones, pero como este texto es meramente informativo, y para evitar cualquier gomazo, omitiré este detalle.
 
Pero detente, pequeño saltamontes. ¿Qué fin tiene recolectar datos que se supone que son públicos? En estos casos ya hablamos de datos a los que cualquier cristiano puede acceder. Por ejemplo, el Servicio Electoral vende a un módico precio su base de datos para estudios o para cualquiera que tenga las lucas y sin mediar pregunta o cuestionamiento alguno. En el caso de l DGMN, ellos tienen la obligacion de divulgar los datos de conscripcion del periodo en curso como bien lo señalan en un comunicado que generaron a raíz de los hechos.

Mineduc (El error de las peticiones GET), Tarjeta Bip!

Esta, para mi gusto, es la parte delicada de todo este asunto, pues esto sí se trata de una vulnerabilidad en los sistemas. Veamos también ¿Como lo hacen?
Mineduc: La información existente en la base de datos fue extraida del sistema anterior a la existencia de la TNE, o sea, cuando la direccion era www.pases.mineduc.cl (la que actualmente no existe) y su vulnerabilidad radicaba en la aparicion del rut en la dirección. Solo era necesario cualquier rut con su digito verificador (el que, como vimos arriba, no es imposible de conseguir). Tan grave era esta vulnerabilidad que, siguiendo un esquema lógico y fácilmente deducible,(paso1.asp, paso2.asp, paso3.asp, con sus respectivas variables - estado=1&rut=el_rut) se creaba una sesión tal como si se hubiese ingresado con un rut y contraseñas válidos, y entre otras cosas, permitia el cambio de contraseñas  y demas datos asociados al rut en cuestión. No daré mas detalles, tal como lo expliqué arriba.

Tarjeta Bip!: En el caso de este instrumento, no he visto (como en los demas casos) las bases de datos que publicó este hacker y la verdad es que no me imaginaba como se podian obtener datos sensibles, solo los de recorridos y saldos asociados a una determinada tarjeta, y esto se consigue enviando peticiones del tipo POST al formulario con valores continuos. Como no todas los números son válidos habia que darse el trabajo de depurar la base de datos obtenida para solo dejar los valores reales (y no los ceros)… pero, de ninguna forma se supone, se pueden utilizar los datos con fines maliciosos… pero recordemos que tambien se obtuvieron los datos de los pases escolares. En este caso, no era otra cosa mas que contrastar ambas bases de datos y, viola! ya tienes la informacion completa de un usuario del transantiago. Grave, no?. 

Conclusión
No vamos a hacer un analisis político… no es culpa de la concertación, ni de la derecha, ni del papa… La obtencion de estas bases de datos era algo que algún día tenía que pasar, dadas las facilidades que otorgan algunos sistemas públicos. Como lo mencioné arriba, no hay que ser hacker, solo un conocedor medio de programación. Lo grave de todo esto es que, en el caso de los datos más sensibles, fue la irresponsabilidad de un desarrollador dejar datos que, combinados con otros datos, se transformarían en una DB potencialmente peligrosa y la que le quitaría el sueño a mas de algún involucrado cuyos datos aparecieron en las publicaciones.

Pero, tranquilos, que esto volverá a pasar.

Buenas noches!