jueves, 14 de enero de 2010

LA PÁGINA WEB DEL CENTRO DE EQUIPAMIENTO MILITAR AMERICANO HA SIDO HACKEADA

A pocos días de los recientes ataques sufridos por el Gobierno español, Twitter, Baidu, ahora se suma un nuevo ataque. Un Hacker de nacionalidad Libanes ha conseguido una espectacular popularidad en Internet debido a que ha conseguido asaltar la página del Centro de Equipamiento Militar del gobierno de los Estados Unidos gracias a la explotación de un fallo de seguridad en el sitio web Soldier OPE Army. El asalto a la pagina Militar del Gobierno ha sido posible gracias a la explotación de una vulnerabilidad de SQL inyección, (Escuel inyección) que supuestamente dio total acceso a la base de datos subyacente de la pagina y a la información contenida en su interior. Recientemente se recibió otro informe de una prueba de ataque, que fue ejecutada por un hacker rumano sombrero gris contra U.S. Army's Housing OneStop (AHOS) website, sitio del que se informo por medio un e-mail en un servidor del ejército diferente. El informe de este nuevo ataque a la web del equipamiento del gobierno fue enviado por alguien que se identifico como "Idahc, Hackidahc, un hacker libanés sombrero gris". El mensaje contenía las pruebas del ataque y la penetración en el sitio, adjuntando imágenes parcialmente borradas y listados internos de la base de datos del sitio web (PEO) de la Oficina Ejecutiva del Programa para los Soldados.
El primer e-mail fue seguido por un segundo, que daba detalles sobre las técnicas de explotación y explicaciones de la vulnerabilidad que permitió el ataque. Desde el punto de vista de la técnica de ataque, el hacker tuvo acceso atreves de una vulnerabilidad de inyección SQL. Este tipo de fallos se deriva de una validación inadecuada del acceso a usuario, que se salta un parámetro en el proceso de la secuencia de comandos y finalmente permite la entrada desautorizada. La vulnerabilidad de Escuel Inyección permite a un hacker manipular la dirección con el fin de ejecutar consultas SQL contra la propia base de datos con las credenciales de la misma página web. El problema de este ataque y de la alarma generada así cómo se ha conseguido acceder a este sitio reside en que la página web Ahos, es que el dominio de peosoldier.army.mil está alojado bajo un sistema Microsoft Windows 2003 Server y trabajando con una base de datos con motor de Microsoft SQL Server 2000. Según el comunicado oficial de la Oficina Ejecutiva del Programa (PEO) Soldier "la pagina fue creada por el Ejército de los Estados Unidos con un objetivo principal: desarrollar lo más rápidamente posible el mejor equipo y entregarlo sobre el terreno para que nuestros soldados sigan siendo insuperables en las misiones que abarcan el espectro completo de operaciones militares. [...] con sede en Fort Belvoir, Virginia, el diseño del PEO para desarrollar, adquirir, abastecer campañas, y mantener casi todo el equipo militar que utilizan todos nuestros soldados en la guerra. " "No estaba buscando el pasword de usuario porque yo solo quiero ayudar, y no he destruido nada", escribió HackIdahc en su primer e-mail dirigido al sitio web de Softpedia. Sin embargo, debido a que el sitio web Militar seguía accesible on line ese momento, el hacker procedió a ponerse en contacto directo con el Equipo Web army.mil y el webmaster peosoldier.army.mil. Desde entonces, se ha confirmado que la información presentada fue transmitida a los canales adecuados y el sitio web esta fuera de servicio, probablemente a la espera de una revisión completa. También vale la pena señalar que anteriormente HackIdahc se atribuyo el ataque por el descubrimiento de una vulnerabilidad similar en un sitio web de la NASA.

LinkWithin

Related Posts Plugin for WordPress, Blogger...