Miren lo que me salio en la pantalla:

Hice clic donde decía, ignorar esta alerta, y vi el articulo que quería ver.

Decidí investigar un poco, del porque es que el sitio del “polémico” congreso de Guatemala esta en una lista de negra de sitios usados para atacar o que han sido atacados por hackers.

Empecemos con la dirección ip del servidor, la dirección IP es 200.12.63.121, hay un 99.9% de posibilidades que el servidor este ubicado en Guatemala.

El servidor tiene solo 1 puerto abierto, el puerto web, el 80, y el puerto de https (443) filtrado.

PORT    STATE  SERVICE
80/tcp  open   http
443/tcp closed https

Que bueno que no tienen mas puertos abiertos.

Entremos a congreso.gob.gt. La pagina congreso.gob.gt, no carga en el navegador. No existe un registro en los servidores de nombres para el registro congreso.gob.gt.

ping: unknown host congreso.gob.gt

Esto quiere decir que si alguien pone en su navegador, congreso.gob.gt, la pagina no existe. Me parece increible este error, esto es un standard, no puede ser que solo puedan entrar a una pagina poniendo www. antes del dominio, bueno encontré el primer error.

Confirme también que son vulnerables al famoso “SQL Inject“. Pude leer una tabla completa, al hacer esto saturaba el servidor, cargaba la nota pero ademas de eso leía toda la tabla de la base de datos, y la pagina ya tardaba mas de 10 segundos en cargarse. Imaginese si abro 30 ventanas y ejecuto la misma instrucción de leer toda la tabla…. El servidor ya no respondería mas peticiones ya que estaría completamente saturado y ademas no mostraría la pagina principal.

En la siguiente imagen se muestra como se pueden sobre escribir notas utilizando sql inject:

Analicemos un poco el código html.

Abri la pagina principal, WWW.congreso.gob.gt (ya que congreso.gob.gt no sirve jajajaja) y vi el codigo….

Casi me voy de espaldas al ver el código, mírenlo:

Simplemente WOW, hagamos un listado de errores solo de las primeras lineas. Quiero aclarar que no soy un experto programador web, asi que pueden haber muchos mas.

• La pagina tiene 2 títulos, dos entradas de <title>.
• Están usando Microsoft Frontage, lo tomo como un error ya que esta demostrado que Frontpage no sirve.
• Tienen dos entradas de <head>.
• Tienen dos entradas <body> <html>, incluso lo “cierran” mucho antes de lo debido, miren donde están los </body> </html>, y al final de la pagina hay mas </body> </html>.
• Tienen 2 veces repetidas los meta description y meta keywords.
• Todos los artículos de la pagina salen sin titulo, arriba sale: Documento sin titulo.

Bueno, ya no seguí por falta de tiempo, pero de seguro ay muchos errores mas. Me parece increible que la pagina del “honorable” Congreso de República de Guatemala, este tan mal echa, y no digamos mal programada y estructurada. El mensaje que me muestra el Mozilla Firefox de que esa pagina no es seguro visitarla, pienso que va porque fueron victimas de un ataque de SQL Inject, que por lo general lo hace gente de China, lo que hacen es que insertan hiper vínculos a paginas que contienen virus, para infectar a los visitantes. Otro punto a tomar en cuenta es que los sitios .gob de cualquier país son los mas codiciados por hackers, lo consideran “oro puro”. Por lo mismo que tienen que ver Gobierno de cada país, y supuestamente es un reto aun mayor ya que por el tipo de información que maneja deberían de estar mas seguros.

Creo que no cabe duda, que la ineficiencia que según los periódicos tiene el Congreso de Guatemala, se plasma en la pagina web.

Si encuentran mas errores no olviden dejarlos en sus comentarios.

http://9i5t.cn/a.js

Al parecer al entrar a esa pagina alguien usando Internet Explorer se puede contagiar de un virus, yo la verdad preferí no probar , pero un amigo entro, y el Mcafee Viruscan le detecto que unos virus habían sido bajados a los archivos temporales del Internet explorer y que los virus los habia elminado. Si entran a la pagina (cosa que no recomiendo si están utilizando Internet Explorer) con mozilla, les saldrá un código de la siguiente manera:

OlOlll=”(x)”;OllOlO=” String”;OlllOO=”tion”;OlOllO=
“Code(x)}”;OllOOO=”Char”;OlllOl=”func”;OllllO=” l =
“;OllOOl=”.from”;OllOll=”{return”;Olllll=”var”;

Al buscar en google la palabra http://9i5t.cn/a.js encontré que 220,000 paginas infectadas (aproximadamente), estaban indexadas.

Despues de investigar note que estos hackers chinos estaban utilizando una vulnerabilidad llamada SQL Injection (que no es vieja), con la cual lograban ejecutar comandos en el servidor de sql (ya que por lo general el servicio de sql correo como administrador) y de esta manera lograban actualizar las tablas con la dirección a su pagina. Y lo único que necesitaban era que el puerto 80 (http) estuviera abierto al publico, cosa que todos los sitios lo tienen abierto. Incluso el servidor, que es un Windows 2003 server, tenia todas las actualizaciones al día, y aun así se vio afectado.

Después de hacer unas pruebas, encontré que el sitio era vulnerable a este tipo de comandos.

Por ejemplo en la pagina siguiente:

http://www.sitio.com/categorias/hola.asp?id=277763

Mostraba un articulo completo.

Pero al ponerle el siguiente comando:

http://www.sitio.com/categorias/hola.asp?id=2762‘ or 1=1–

Al ejecutar esto, Microsoft Sql, desplegaba el contenido del articulo con id 2762 y TODA la tabla, esto lo hacia internamente, no lo desplegaba en el navegador. Al hacer esto el servidor se saturaba, y ya no mostraba la pagina. Así que claramente el sitio era vulnerable. Si yo pude ejecutar esto imagínense el sin numero de comandos que alguien familiar con Microsoft SQL podia ejecutar.

Una solución rápida que se le dio a este error, fue modificando el asp, para que solo aceptara números en el string del id, esto se hizo de la siguiente manera:

id_cont = trim(request(“hola”))
if not isnumeric(id_cont) then
response.Redirect(“http://www.sitio.com”)
response.End()
end if

Esto se agrego dentro de la programacion del .asp.

Con esto, al momento que alguien trate de ejecutar algo, lo va a redireccionar a la pagina.

http://www.sitio.com/categorias/hola.asp?id=2762‘ or 1=1–

Al poner esto en el navegador, con este cambio en el asp, automaticamente redireccionaba a la pagina principal, que era www.sitio.com.

Me imagino que hay otro tipo de soluciones para esto, pero esta fue la que nos ayudo en nuestro caso.

Les recomiendo esta herramienta para revisar sitios muy grandes. O que contienen muchos archivos asp.

http://sqid.rubyforge.org/

Este programa corre en linux, y sirve de mucho para probar sitios grandes. Necesitan instalar ruby para que corra este programa.

Tiene un sin numero de opciones, las cuales pueden leer mas aca:

Sqid Examples

Les deseo mucha suerte a los sysadmin, ya que todo el tiempo nuestros servidores estan expuestos a este tipo de vulnerabilidades.