La empresa norteamericana OpenJournalSystems.com radicada en Phoenix, Arizona se especializa en el hosting de revistas científicas basadas en Open Journal Systems (#OJS). Actualmente brinda soportes a 130 instalaciones de OJS pero tiene más de 500 clientes alrededor del mundo. Puede afirmarse, sin lugar a dudas, que después de PKP, la empresa canadiense que desarrolla OJS, los ingenieros de OpenJournalSystems.com son los más conocedores de este producto en el mundo.

El 26 de enero de este año, #OpenJournalSystems.com publicó un análisis en su portal corporativo donde hace referencia a un artículo en idioma español del blog Behique Digital. Al mismo tiempo incluyen, dentro de las Preguntas Más Frecuentes (FAQ) del portal, un enlace al artículo en cuestión, para demostrar que ellos aplican buenas prácticas de seguridad informática en los servicios de hosting que brindan.

¿Cuál es la novedad de esto? Al fin y al cabo, enlaces entre portales se hacen por millones todos los días en Internet. Permítanme exponer el contexto para que valores ustedes mismos.

  • 2012: Una empresa consultora norteamericana descubrió que todas las versiones de OJS, hasta la 2.3.6 estaban comprometidas con tres vulnerabilidades que permitían, entre otras cosas la inyección de código dañino. #PKP agradeció la alerta y liberó la versión 2.3.7 donde explicaba que ya estas vulnerabilidades estaban solucionadas.
  • 2016 (1er semestre): Entre los meses de marzo y abril, se descubre en Indonesia que estas tres vulnerabilidades realmente no están totalmente resueltas, que es trivial aprovecharla para inyectar una shellcode de producción nacional denominada IndoXploit y que cualquiera con acceso a Internet puede buscar y atacar muy rápido instalaciones de OJS, siguiendo las indicaciones de tutoriales en Youtube y artículos en idioma indonesio.
  • 2016 (2do semestre): Se comienza a desatar entonces una epidemia de ataques desde Indonesia contra portales basados en OJS pero ocurre algo, OJS es un producto muy utilizado en el mundo académico pero en otras organizaciones es un perfecto desconocido, si se compara con WordPress, Drupal, Joomla, etc. El idioma indonesio es una barrera también para las búsquedas técnicas en inglés y la shellcode IndoXploit y variantes derivadas, tiene un mecanismo de camuflaje ante la indexación de bots (devuelve código de respuesta HTTP/1.0 404 si detecta la firma de un bot en el User-Agent).
  • Hasta finales del 2016 se continúan produciendo ataques contra portal basados en OJS, los desarrolladores de PKP no prestan la debida atención a las denuncias hechas por sus clientes (alegando que eran problemas de configuración). Hay un artículo de opinión (26 de noviembre) que se publica en una revista científica (hay que pagar alrededor de 20 dólares para leerlo) donde se trata el tema de los problemas de configuración y actualizaciones de portales basados en OJS, pero todos los contenidos restantes están en indonesio y no hay nadie que alerte a la comunidad de Internet sobre estos problemas.

Bueno, ¿Qué tiene que ver esto con nosotros?

Siguiendo reconocidas prácticas internacionales de ciberseguridad, la Dirección de Seguridad Informática (#DSI) de la UCI tiene un Grupo de #Hacking Ético compuestos por especialistas que se han dado a la tarea de estudiar y validar métodos y pruebas de seguridad aplicados sobre todo a las aplicaciones web. De estos conocimientos, la realidad ha mostrado que estábamos muy necesitados en el país a raíz de las variadas solicitudes de organizaciones y empresas que han pedido recibir el curso de postgrado sobre Pruebas de Penetración en Aplicaciones Web, que dicho sea de paso, en la Escuela de Invierno será la tercera edición que impartiremos.

Este estudio concienzudo y su aplicación práctica permanente han permitido que la DSI disponga de especialistas capaces de descubrir patrones de ataques contra las aplicaciones web de cara a Internet. Decir que hay un método o libro que se estudia para detectar los patrones de ataques sería tan poco serio como afirmar que alguien puede convertirse en sumiller leyendo un catálogo de vinos franceses. Por suerte, descubierto el patrón de ataque, es muy sencillo su detección pero mientras no está descubierto ¿Quién lo descubre? O más importante ¿Quién bloquea algo que no sabe que existe?

Teniendo en cuenta lo anterior, la DSI hizo un análisis sistémico de los ataques que se estaban produciendo contra portales basados en OJS y realizo las alertas correspondientes.

¿…y el Behíque Digital?

El blog Behique Digital surgió como una iniciativa del profesor Henry Raúl González Brito, graduado en el 2005 del segundo contingente de estudiantes de informática y ciencias de la computación que acudieron al llamado que les hizo la máxima dirección del país, para impartir docencia en la UCI mientras culminaban sus estudios en la CUJAE. Actualmente trabaja en la DSI, al frente del Grupo de Hacking Ético. En él Acerca de, se refleja desde su primera línea que es un blog editado desde la Universidad de las Ciencias Informáticas.

La idea inicial del blog era servir de registro o apoyo del proceso de estudio de la Guía de Pruebas de OWASP pero luego se demostró que podía ser también un medio para capacitar a otros profesionales. Si quieres conocer noticias de seguridad informática hay otros blogs, si quieres leer un tutorial de 5 minutos que te enseñe a trabajar a medias con una herramienta hay otros blogs, sin embargo, si quieres un análisis completo de un problema de seguridad asociado sobre todo a las aplicaciones web, lo más probable es que #Behique Digital sea para ti.

Behique Digital pasó,de ser un esfuerzo individual, a reflejar resultados publicables, alcanzados en la DSI, que veíamos que otros medios no se hacían eco de ello. Ejemplos sobran en el blog, el lector informado se dará cuenta de inmediato que hay contenido novedoso y que otros no han publicado aún “ni en inglés”.

¿Qué pasó en diciembre?

Continuaban los ataques en Internet contra portales basados en OJS y nadie se daba por enterado ni publicaba al menos una nota, por ese motivo, el 13 de diciembre se publica en Behique Digital una alerta que sintetiza los principales puntos de interés para otros administradores de OJS en el mundo. Cuatro días después es retuiteado el artículo por OpenJournalSystems.com desde su cuenta corporativa.

Figura 1. OpenJournalSystems.com retuitea el artículo Open Journal Systems: ¿Que tan bueno es no tener vulnerabilidades?

¿Si una empresa norteamericana especializada en un producto retuitea un artículo en español con una alerta de seguridad sobre dicho producto? ¿Quiere esto decir que era importante y sobre todo novedoso lo que allí se decía? Pensamos que sí.

¿Qué ocurre después de las festividades por la llegada del año nuevo?

OpenJournalSystems.com liberó dos plugin de seguridad de pago, el 2 de enero, para resolver problemas  de seguridad que se mencionaban en el artículo de Behique Digital. Sí un retuiteo ya representa un cierto reconocimiento, el desarrollo de dos plugin de seguridad, con días navideños de por medio, para resolver vulnerabilidades que fueron hechas públicas desde el 2012 no debe ser pura casualidad.

¿Ya habían planificado este desarrollo o lo hicieron a raíz del artículo del Behique Digital? Si hay alguna duda al respecto podemos leer el artículo que OpenJournalSystems.com publica el 26 de enero, mes y medio después que la alerta ha sido publicada en el blog. En el artículo que se titula “Hacking Epidemic Solutions”, la empresa norteamericana anuncia que han desarrollado dos plugin fantásticos para resolver vulnerabilidades presentes en OJS y referencias al blog Behique Digital pero además, hay fuertes puntos de coincidencias en las conclusiones a las que se llega en Behique Digital y la que ellos expresan en su artículo.

¿Eso es todo?

Por si lo anterior no es suficiente, OpenJournalSystem.com incluye, dentro de las Preguntas Más Frecuentes (FAQ) un enlace al artículo de Behique Digital  para demostrar que ellos aplican buenas prácticas de seguridad informática en los servicios de hosting que brindan.

Figura 2. Enlace directo en la FAQ al artículo Open Journal Systems: ¿Que tan bueno es no tener vulnerabilidades?

Por otra parte PKP, empresa que nunca ha hecho pública una vulnerabilidad de OJS, se siente atacada por la revelación que hace OpenJournalSystem.com y empieza a decir que estos problemas no existen y que son puras calumnias. OpenJournalSystem.com hace otro artículo donde pública pruebas concretas que muestra el poco empeño que ha puesto PKP en informar a la comunidad sobre vulnerabilidades de seguridad y la falta de atención a los reclamos de sus clientes, incluso muchos diciendo que eran atacados desde Indonesia.

Conclusiones

Es indiscutible el valor de la publicación realizada en Behique Digital, el contenido y las conclusiones a las que se llegaron eran correctas y hasta el momento nadie había emitido una alerta, ni siquiera las principales empresas vinculadas al producto OJS. Las referencias y publicaciones realizadas en inglés y los puntos de coincidencias hablan por sí solo.

El valor es doble si tenemos en cuenta que este conocimiento ha sido alcanzado de manera autodidacta y la validación ha sido la práctica diaria. Por supuesto, hubiera sido mejor si hubiéramos primero pasado un proceso de capacitación pero ¿quién lo imparte en Cuba? o ¿Cuánto costaría enviar a algunos de nosotros a recibir esta capacitación en el exterior? O ¿Quién contrata a especialistas extranjeros para que venga a impartir una capacitación aquí? Lo positivo es que esto demuestra que la estrategia de la DSI está apuntando a la dirección correcta pues además estamos lejos de creer que hemos llegado a un punto cercano a la meta propuesta. Mientras más nos adentramos en el estudio de las técnicas de Pentesting, más nos damos cuenta de cuanto nos falta por estudiar.

La ciberseguridad es un negocio, vemos como una alerta emitida desde Cuba se convierte en dos productos comercializables en menos de un mes por una empresa norteamericana. Ninguna ley impide que este proceso sea a la inversa.

Podíamos continuar escribiendo conclusiones pero creo que las más importantes ya se dijeron. No creemos en las casualidades, solo los resultados tangibles son la medida de nuestros logros, por tanto, no nos asombraría que se haga referencia en un futuro a otros artículos.

Ha hablado el Behique Digital.