16 septiembre 2008

Hackeos memorables: rootshell.com

28 de Octubre de 1998, el sitio con muchísima diferencia mas destacado sobre (in)seguridad informática había sido hackeado.

La pagina web había quedado de esta guisa, grafiteada en un pseudo-dialecto que aunque cueste creer, tuvo cierto arraigo por esos años. Lo que decía el texto, básicamente, era que se había empleado un exploit 0day y que caerían mas sitios (mencionaban a antionline.com, otro sitio con mucha solera).

El impacto de ese hackeo fue de proporciones inimaginables, el sitio referente sobre seguridad informática, el primer sitio que visitaba cualquier persona ávida de herramientas, exploits y similar, hackeado.

La información que publicaron los administradores del sitio fue que sus sistemas estaban totalmente actualizados y que como servicios públicos estaban ejecutando: Qmail, Apache y SSH.

Automáticamente las sospechas recayeron sobre el servidor SSH en su versión 1.2.26. La gente del IBM Emergency Response Team (IBM-ERS) publicó que habían dado con una pieza de código vulnerable aunque, días después, se retractaron de ello diciendo que el fallo tenia nulas posibilidades de ser explotado.

Qmail, no podía ser candidato, si por algo se caracteriza es por su seguridad, durante mucho tiempo su autor DJ Berstein ofreció dinero en metálico para todo aquel que consiguiera encontrar una sola vulnerabilidad.

Apache, en ese momento gozaba de mucho prestigio frente a IIS y pese a que luego se sucedieron un buen numero de bugs en algunos de sus módulos mas famosos (como por ejemplo ssl) rápidamente fue descartado como causante del hackeo.

Las especulaciones se sucedían, los autores del software SSH tenían incluso una pagina web sobre el affaire rootshell (que a día de hoy hay que consultar vía archive) en el que comunicaban los avances sobre lo que iba pasando, incluso empezó a circular por Internet un supuesto exploit para SSH llamado sshdwarez.c que en realidad lo que hacia era troyanizar el sistema sobre el que se ejecutaba.

El caso es que a día de hoy, es imposible determinar como y quien hackeo Rootshell, pero lo cierto es que tras ese incidente rootshell fue perdiendo frescura en las actualizaciones, mas tarde, se frenó en seco y al final, desapareció sin hacer demasiado ruido (hoy día ni siquiera responde el dominio www.rootshell.com).

Un sitio de referencia, que salia en casi cualquier libro sobre seguridad informática de la época, muerto en combate. Mas tarde llegaría la transformación de muchos sitios web de corte underground al mundo empresarial como por ejemplo la lista de seguridad Bugtraq (comprada por SecurityFocus) y otros muchos grupos que se pasaron al dolar (mención honorífica para ISS).

Resulta imposible saber que hubiera pasado si rootshell hubiera seguido al pie del cañón, tal vez hubiera acabado siendo una firma de seguridad y ahora estuviera en manos de IBM o Microsoft. Who knows ...

1 comments :

Luis dijo...

ISS COMPRADA POR IBM abrrr