La RIAA víctima de un ataque a su página web

Ayer ya me llegó el rumor, pero hoy distintas fuentes lo han confirmado, la página web de la RIAA (Recording Industry Association of America) ha sido eliminada por, como dirían algunos, la sociedad. La RIAA, para los que no la conozcan, es la hermana de la SGAE pero en EEUU. Al igual que sucede en España, no es precisamente que despierten amistades en EEUU. Es más, cada vez existan más detractores de la RIAA. La situación ha llegado a tal punto que se rumorea que incluso EMI, una de las productoras que financian las actividades de la asociación, se ha planteado retirarles los fondos.

reddit_logo.gifEl hecho es que ayer el usuario eurleif envió la siguiente noticia al portal Reddit: “This link runs a slooow SQL query on the RIAA’s server. Don’t click it; that would be wrong“. Reddit es una web que funciona de forma muy similar a Menéame o Digg. En enlace al que apuntaba la noticia, que había sido codificado mediante el servicio de acortamiento de urls, Tinyurl, apuntaba a la siguiente dirección:

http://riaa.com/news_room.php?resultpage=9&news_year_filter=2007%20UNION%20ALL%20SELECT%20BENCHMARK(100000000,MD5('asdf')),NULL,NULL,NULL,NULL%20--

Lo interesante es que el enlace contiene una inyección SQL en la web de la RIAA. Una inyección SQL (SQL Injection) es un tipo de ataque en donde ciertos parámetros de una aplicación web no son filtrados correctamente y son procesados directamente por el gestor de la base de datos. En este caso parece ser que la web de la RIAA no filtraba el parámetro news_year_filter. Al no filtrarlo, es posible inyectar una sentencia SQL adicional que se ejecutará junto con el SQL legítimo. En la url anterior, se ha añadido una sentencia en donde se realiza el md5 de la cadena “asdf” millones de veces. Esta inyección per se es inofensiva, pero parece ser que alguien decidió sustituir ese SQL por algo más dañino, como un DROP (esta sentencia elimina la base de datos). Al ejecutarse ese drop, toda la base de datos que soportaba la aplicación web de la RIAA desapareció por arte de magia.

riaawebsite.jpg

De la noticia se desprenden dos historias muy interesantes. La primera y la más evidente, es que los desarrolladores de aplicaciones web deben aprender a filtrar cualquier variable que venga del interfaz web, especialmente aquellas que se emplean para ejecutar sentencias SQL (más ejemplos aquí). La segunda es, a mi juicio algo más interesante. Es la primera vez que se emplea una web de noticias estilo Digg, para lanzar un ataque sobre una web. Lo gracioso del tema es que probablemente será muy difícil determinar cual de las miles de ips que han pinchado en ese enlace, es la responsable del ataque. Es más, puede que haya sido más de una persona la responsable. ¿A quién van a detener? ¿A quién van a investigar? Este ataque novedoso sienta un precedente incómodo. Por último, he de reconocer que el toque de emplear tinyurl para ofuscar la url ha sido gracioso.

En fin, espero que nuestros lectores hayan tomado nota y se pongan a revisar sus aplicaciones inmediatamente para evitar sufrir un ataque social a gran escala. Los comentarios en Reddit no tienen desperdicio.