Sin duda, ha sido una semana bastante embarazosa para la empresa de seguridad HBGary y a su rama HBGary Federal. El CEO de HBGary Federal, Aaron Barr pensaba que ya tenia los nombres de la mayoría de hackers pertenecientes a Anonymous, y se disponía a nombrarlos y tomar medidas legales por los ataques de Denegación de Servicio (DoS, Denial Of Service) que afectaron a MasterCard, Visa y otros supuestos enemigos de WikiLeaks.

Cuando Aaron Barr dijo esto en público, la respuesta de Anonymous fue rápida y humillante, muy humillante. Rompieron la seguridad de los servidores de HBGary, obtuvieron la base de datos y la publicaron, borraron datos, y modificaron su página web. Como bonus, gracias a los datos obtenidos de este hackeo, atacaron un segundo sitio, propiedad de Greg Hoglund, al igual que HBGary.

Pero, ¿cómo fue este ataque? Al tratarse de una famosa empresa de seguridad, la mayoría de vosotros pensareís que tuvo que ser difícil, con métodos complejos y uso de varias herramientas, ¿no? Pues estáis equivocados.

La página de HBGary Federal usaba un Sistema de Gestión de Contenidos (CMS, Content Management System) bastante pobre en lo que se refiere a seguridad, y con un código que no es precisamente el mejor: CMSes. El ataque fue muy, pero que muy sencillo: Una Inyección SQL. Si, alucinante, una empresa supuestamente experta en seguridad, y en su web tenía uno de los errores más comunes en cualquier web, que puede comprometer un servidor entero.

Bueno, con una vulnerabilidad de Inyección SQL en sus manos, Anonymous atacó la página y salió victorioso. La URL vulnerable fue exactamente esta:

http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27

Tiene dos parámetros o variables, pageNav y page donde una de las dos, o ambas, no eran verificadas correctamente por el CMS, pudiendo obtener datos privados, como usuarios y contraseñas, en vez de los datos que pide la variable.

Un poco irónico que una empresa de seguridad, sea tan insegura, ¿no?

Prácticamente unas horas es lo que se ha tardado en dar luz verde al primer “cable” con el que Anonymous oficializa AnonLeaks, una especie de WikiLeaks creada por el grupo de activistas que os comentábamos ayer. De los correos electrónicos publicados ayer se filtra que HBGary se encontraba en fase de desarrollo de un nuevo tipo de rootkit para Windows, indetectable y casi imposible de eliminar en el sistema operativo.

Para aquellos que no lo sepan, cuando hablamos de rootkit hablamos de herramientas que pueden realizar tareas de espionaje en programas, claves, archivos o directorios. Permiten la intrusión y el acceso a un sistema de manera remota, pudiendo ejecutar o conseguir información. Aunque existen rootkits para varios sistemas operativos, en este caso el proyecto iba destinado a una herramienta avanzada en Windows.

En esta trama que se destapa estarían implicadas HBGary, la empresa de seguridad, y Farallon Research, una empresa privada contratista del gobierno norteamericano que desde su sitio web no ofrece demasiada información. Poco más que un intrigante eslogan con el que se anuncian y que ofrece muchas sombras sobre la actividad de Farallon. Desde la página se puede leer:

La misión de Farallon Research es conectar las tecnologías avanzadas comerciales y las empresas que las desarrollen con los requisitos del gobierno de Estados Unidos

De los correos obtenidos, encontramos algunas señas de identidad del “proyecto Magenta” y su funcionamiento. HBGary habla de un rootkit multi-contexto en el que Magenta sería un lenguaje puro 100% implementado en el rootkit. El proyecto se inyecta en la memoria del Kernel a través de DriverEntry, como carga parcial. Una vez cargado en la memoria del Kernel, Magenta automáticamente identifica un proceso activo o contexto a sí mismo a través de la inyección en APC. En ese momento el cuerpo del rootkit (Magenta) se ejecuta. Al finalizar cada activación de APC, el “rootkit magenta” se mudará a una nueva ubicación en la memoria e identificará uno o más procedimientos nuevos de activación.

Lo que hace este rootkit es buscar y ejecutar comandos incrustados y mensajes de control buscando en cualquier parte donde pueda existir en la memoria física del host comprometido. Sus características como herramienta avanzada serían:

• Nuevo tipo de rootkit (ninguno parecido hasta ahora)

• Extremadamente pequeño como huella en la memoria (4K)

• Prácticamente imposible de eliminar en un sistema que se encuentre ejecutando

Los últimos envíos de correos por parte de HBGary hablaban de dos fases de contrucción en Magenta. Una primer prototipo totalmente funcional para Windows XP SP3 que les permitiría desarrollar la segunda fase, enfocada en un rootkit Magenta para las versiones de Windows actuales.

Una vez que ha salido a la luz este proyecto, no se sabe si aún continuará o finalmente lo dejan de lado. Pero como podemos ver, HBGary trataba no sólo de reforzar el área de investigación en seguridad, sino ampliar el modelo hacia posibles ataques vía rootkit, con los que se podría llegar a implicar sobre una acción a los dueños de una IP sin saberlo. Quizá aquí tenemos unas de las razones de la existencia de AnonLeaks.

Fuente: Bitelia.com