martes, 29 de diciembre de 2009

¡Mis felicitaciones a los lectores!



El otro día estaba revisando el reporte de Google Analytics y se me dio por mirar las estadísticas que muestran con que navegador ingresan ustedes, los lectores, a este blog. Y la verdad me dejan muy orgullosos los resultados, ya que la mayoría de ustedes utiliza Firefox como se ve a continuación:





Considero esto muy importante ya que las fallas mas peligrosas de seguridad suelen afectar al navegador de Microsoft, Internet Explorer. Esto no significa que Firefox no posea fallas de seguridad, pero las mismas son solucionadas de inmediato y la ultima versión del mismo siempre incluye dichas mejoras.


 


Espero que sigan con estas buenas practicas y que en el futuro sean el %100 los que utilicen navegadores mas seguros como es Firefox.

Aprovecho la oportunidad para desearles a los lectores una muy feliz navidad atrasada y un excelente año nuevo!


Ximo

martes, 15 de diciembre de 2009

Seguridad Web...placebo popular



¿Podrías garantizarle a tus clientes que la información que alojas sobre cada uno de ellos se encuentra perfectamente segura? Existen muchos sitios que guardan información sensible de sus usuarios y clientes en el mismo servidor web donde se aloja su sitio.


Y no es novedad leer avisos de confidencialidad indicando no solo que estos datos son correctamente resguardados sino también que los mismos han sido encriptados con cientos de bits (64, 128, 256, 512, etc).

Lo que muchos de estos sitios no consideran es que la protección de los archivos de configuración que poseen las credenciales para acceder a las bases de datos que efectivamente contienen aquellos datos sensibles es igual o más importante que la encriptación de los mismos.


En las capturas se pueden observar varios ejemplos de estos descuidos de sitios de Hoteles o incluso uno relativo al golf.

¿Les interesaría que los datos de su reserva para este verano sean accesibles por todos? ¿Y su handicap?

Bueno, en ese caso les recomiendo que exijan el correcto almacenamiento de sus datos, y si son los propietarios de un sitio con alguna de estas fallas solucionen las mismas de inmediato.

Ximo

miércoles, 9 de diciembre de 2009

The Blue Box - Escala de privilegios - Parte 3

Como prometí en el anterior post, hoy les voy a mostrar que tan sensible es la información que se puede obtener por medio de esta shell.

Como les dije, se posee acceso a toda la estructura de archivos del servidor, inclusive los archivos de configuración, como por ejemplo aquellos que poseen el usuario y contraseña de la base de datos de la intranet por la cual ingresamos en primer lugar:





Y esto es solo el principio... Que me dirían si pudiéramos ver información mas relevante, como un archivo de configuración que posee los datos de uno de sus clientes...no sé, digamos.....Clarín:





Como se darán cuenta ahora el problema cambia, porque no solo se encuentra vulnerada la privacidad de la víctima sino también la de sus clientes.





Esta shell posee un pequeño cliente que nos permite conectarnos a cualquier base de datos siempre y cuando se posean los datos de acceso, cosa que ya tenemos:





Como ven, la información que se suponía privada de los clientes ya no lo es, y como vieron arriba, tampoco la de los clientes de los clientes (confuso, no?).

Otra cosita interesante es poder ver todos los correos del webmaster los cuales se guardan como archivos:





Y no solo del webmaster, sino del usuario que deseen:





Y de la misma forma que podemos ver dichos correos, podemos ver los datos de acceso a la base de datos del servidor de correo:





Ahora, un sitio web puede tener el mismo IP que otro, siempre y cuando estos se alojen en el mismo servidor. El servidor DNS es aquel que vincula cada dominio con su respectiva IP y carpeta dentro del servidor. Como pueden ver a continuación, el sitio de "The Blue Box" no es el único en este servidor:





Mas allá de que estas carpetas no puedan ser accedidas revelan mucha información interna del servidor que pueden llevar a una nueva escala de privilegios.

Creo que con esto queda claro que, al igual que una piedra tirada al agua, algo que empieza muy pequeño como las ondas de agua puede terminar inmenso.


Ximo

viernes, 4 de diciembre de 2009

The Blue Box - Escala de privilegios - Parte 2

En el anterior post les mostré como ingresamos a una Intranet de un sitio web por medio de una inyección de SQL. En esta segunda entrega les mostrare como este pequeño subsistema puede brindar acceso a información mas sensible.

Aquellos observadores, habrán notado que en la ultima captura del post anterior se podía ver la existencia de una sección llamada SUBIR ARCHIVOS. La misma, como su nombre lo indica, nos permite subir archivos al servidor web sin restricción alguna de la extensión de estos.

Al ingresar por primera vez a esta Intranet, noté que en la sección ADMINISTRAR se detallaba la existencia de un archivo llamado 1259631071.php. Cabe aclarar que en esta sección se detallan los archivos subidos por medio de la sección antes mencionada.





Lo que el sistema no nos indica es donde se aloja este archivo. Por lo que me puse a mirar el cogido fuente del sitio web. De inmediato noté que estaba armado con frames por lo que solo busque el archivo que me interesaba, es decir el de la sección ADMINISTRAR que se observa en la anterior captura, y encontré esto:





Ese es el link que utiliza el botón Borrar el cual también nos dice donde se aloja este archivo. Por ultimo arme la URL de donde se alojaba este archivo y voila!:





Esto señoras y señores es una shell, particularmente una muy popular llamada C99 Shell. Este script permite navegar por el servidor libremente, pudiendo visualizar, editar, eliminar o subir archivos. Esto nos indica 2 cosas:

- Que el servidor fue vulnerado por un usuario malicioso.
- Que dicho usuario malicioso realizo el mismo procedimiento de escala de privilegios que    intento describir.

Al ver esto procedí a eliminar dicho archivo PHP para evitar que el servidor se encuentre completamente vulnerable. De igual manera ya le informe al administrador del sitio que asegure su base de datos ya que, mas allá de que la shell ya no existe en el sistema, se puede seguir ingresando a la Intranet sin conocer las credenciales.

En el próximo post les mostrare a que tipo de información se puede acceder desde una shell (aplicado a este caso) para que vean la sensibilidad de la misma y la importancia de corregir este tipo de problemas.


Ximo

martes, 1 de diciembre de 2009

The Blue Box - Escala de privilegios - Parte 1

Buenas gente, hoy les traigo algo bastante interesante que decidí dividir en tres partes por la gran cantidad de información recolectada.

The Blue Box es una empresa publicitaria de gran importancia, con clientes como Nokia, Puma, J&B, Clarín, Dasani, Fiap, Jhonnie Walker, FOX, Sony, Sprite, Hoyts, Latin American Idol, AXE, CableVisión y Olé entre otros.





Para analizar este sitio utilice una herramienta llamada Nikto que busca no solo las vulnerabilidades mas comunes de un servidor web sino también la existencia de algunas carpetas interesantes. En este caso di con la carpeta /intranet/ que, como su nombre lo indica, es una red interna para el uso de los empleados y los clientes (en este caso).





Normalmente lo primero que se intenta es el clásico admin:admin pero en este caso no va a funcionar, ya que el problema no se trata de un error del administrador al utilizar credenciales por defecto sino que se debe a que la base de datos que consulta el sistema de certificación no se encuentra correctamente protegida, por lo que es vulnerable a un ataque de SQL Injection. Esto significa que utilizando las credenciales ' OR ''=' como usuario y contraseña se logra obtener acceso al sistema como si fuéramos el Administrador.





Como verán, ya ingresamos al sistema. Aunque no lo crean esto es solo una pequeñísima parte de este post, más adelante mostrare como se puede lograr acceso a información aún mas sensible por medio de una falla menor (concepto básico de la escala de privilegios).


Ximo

miércoles, 25 de noviembre de 2009

La Universidad Nacional de La Rioja "hackeada" (Deface)

Probablemente algunos de ustedes se haya enterado de esto, pero la semana pasada el sitio de la Universidad Nacional de La Rioja fue "hackeado". Lo escribo entre comillas ya que eso se llama deface y ni se asemeja a la definición de hacking (que por cierto no tiene porque tener connotación negativa).

Los muchachos que hicieron esto se hacen llamar "[M]entes [C]riminales" y en el Home de la universidad dejaron esto:







Como verán, solo reemplazaron el archivo Index del sitio por uno armado por ellos (Básicamente en lo único que consiste el defacing).

Lo interesante de todo esto es el mensaje que dejan, donde no solo critican públicamente al administrador del sitio sino que alegan no pertenecer a "ninguna bandera política" y que son capaces de "controlarlo todo, porque en todos lugares hay una computadora". Bueno...no se que creerán ustedes pero esto me parece de lo mas infantil, y no solo por haber realizado dicha modificación, sino también porque se contradicen en su mensaje, como lo pueden ver en este link (Lean la linea siguiente a la amenaza que le hacen a Massa). ¿Ninguna bandera política? Por cierto, ese archivo quedo luego de un deface masivo que se realizo hace un tiempo contra sitios .GOV.AR protestando contra el impuestazo tecnológico.

Ahora analicemos como fue que realizaron este "impresionante" ataque. El sitio en cuestión fue armado utilizando Joomla, un sistema de manejo de contenido (CMS) gratuito y de código abierto. En este caso el entorno se encuentra en la carpeta /administrator/, algo fácil de encontrar por lo genérico del nombre. Bueno, si recuerdan el ultimo post, donde hablamos de la utilización de credenciales por defecto, más puntualmente el famoso admin:admin se imaginaran a donde apunto. Así es, el administrador olvido cambiar esta contraseña, dando acceso completo a Joomla y por consecuencia al sitio web como pueden ver a continuación:





Como verán no es ningún desafío intelectual el deface que realizo esta gente. Una vez que descubrí como realizaron la modificación del sitio, restaure el home del mismo al original y cambie la contraseña de la cuenta admin. Seguidamente le mande un mail al administrador explicándole lo sucedido e informándole las nuevas credenciales y dándole recomendaciones de como solucionar este y otros problemas de seguridad que poseía el sitio (cosa que siempre hago previo a un post).

El día de ayer recibí una respuesta del administrador agradeciendo la mano y confesándome su desconocimiento en temas de seguridad informática, cosa que opino no es para avergonzarse. Creo que la manera de solucionar los problemas de inseguridad en los sitios web no es realizando un deface dejando a los administradores en evidencia sino asesorándolos en lo que se pueda para ayudarlos en su formación como profesionales.

Lo que hace la gente del grupo denominado "[M]entes [C]riminales" no es mas que una búsqueda de fama y renombre...alimentar su ego si se quiere, como ellos mismos confiesan en esta entrevista que les realizaron. El único fin de este grupo es hacer defacing a sitios gubernamentales (aqui una lista) y dicen querer ayudar a asegurar "nuestros" datos.

Es por esto que los invito a ponerse el sombrero blanco y a realmente tratar de hacer una Argentina mas segura, sitio a sitio. Manden mails, realicen post, o cualquier actividad no maliciosa para poder ayudar a los administradores web ya que, de que sirve el conocimiento si no se comparte.


Ximo

lunes, 16 de noviembre de 2009

¿Acceso restringido? Si, claro...

Hoy les traigo algunos casos de sitios que pasaron por alto los principios básicos al momento de restringir una sección o implementar el famoso "Acceso de Administrador".

En primer lugar tenemos un error de programación en un sitio web de clasificados digitales. En su sección de administración encontramos lo siguiente:





Nada raro hasta aquí...una típica solicitud de credenciales. Pero escribiendo cualquier cosa en ambos campos llegamos a esto:





Como ven, ya estamos dentro del "privilegiado" sector de administración.

Mas triste aún es lo que hizo el webmaster del site de venta de zapatilla de "5ta a Fondo", donde simplemente ingresando a la carpeta /admin/ se llega a esto:





Y si dudan que desde allí se puede hacer algo, les dejo la siguiente captura:





Si, lo se, increíble... Esto puede ser simplemente solucionado protegiendo dicha carpeta con htaccess.

Pero esperen! Aún hay más! Una error frecuente es utilizar credenciales por defecto o muy sencillas como el clasico "admin admin" (es decir, usuario: admin , contraseña: admin), como es el caso del Centro de Cultura e Idioma Japonés en la Argentina, que en este caso solo utilizan una contraseña de protección (algo no recomendado):





Y aquí luego de ingresar:





Como ven, se puede incluso hasta modificar las secciones del sitio web...siempre y cuando hablen Japonés... :P

Como siempre digo, no hay que tomar la seguridad de nuestro sitio a la ligera, ya que por más que digan "No les sirve de nada hackear mi sitio" están muy equivocados. Este tipo de errores (ya que no son considerados vulnerabilidades) pueden permitir que usuarios malintencionados alojen malware en su sitio, o lo inyecten con código malicioso...entre otras cosas, por lo que estarían siendo participes sin quererlo de actividades ilegales.


Ximo

viernes, 13 de noviembre de 2009

Camaras de seguridad Argentinas no tan seguras

Buenas gente, si, volví...sepan disculpar la falta de posts, pero últimamente estuve con mucho trabajo.

En esta oportunidad les dejo un link a una cámara de "seguridad" de un restaurante Argentino. El problema aquí fue que no configuraron correctamente la mismo para que solicite un usuario y contraseña al querer ingresar, permitiendo que cualquiera pueda echar un vistazo.


If no image is displayed, there might be too many viewers, or the browser configuration may have to be changed. See help for detailed instructions on how to do this.



Para aquellos que se preguntan como fue que di con este link. Bueno, con una simple búsqueda en Google, se obtienen muchos resultados. Lo único que hice yo fue acotar los mismos a solo sitios de Argentina (pueden verificar que la cámara esta en Argentina haciéndole un simple ping o traceroute).

intitle:”Live View / - AXIS”


Sino para los mas vagos: 
Link directo a la búsqueda en Argentina

Les recomiendo que no restrinjan la búsqueda por país y verán una amplia variedad de resultados... :D


Ximo

martes, 13 de octubre de 2009

Retrasos en los post

Buenas gente, les dejo este post solo para avisarles que me retrase un poco con las publicaciones por falta de Internet, algo que estoy solucionando el día de hoy. Prometo regularizar las mismas a partir de la fecha ofreciéndoles como siempre material nuevo e interesante.




Ademas a partir de la fecha pueden solicitar (por medio de un comentario) que realice una auditoria de un sitio Argentino en particular, ya sea propio o ajeno (preferentemente propio). Los resultados serán enviados al solicitante, y en caso de que se encuentre algo relevante, escribiré un post previo aviso al dueño sobre la/s falla/s.


Ximo

lunes, 14 de septiembre de 2009

El Ministerio del Interior usa software trucho - Parte 2

En esta continuación del post anterior no voy a hablar de software trucho en el Ministerior del Interior...pero el titulo así en partes quedaba copado :P. Eso si, seguimos hablando del mismo ente y del mismo site.

No se si le prestaron atención al archivo "Siliper.rar" ubicado en el mismo directorio que el post anterior. El mismo contiene un proyecto realizado en Microsoft Visual Studio el cual se llama de la misma forma que el archivo.

Yo recordaba pobremente que dichos proyectos contienen un archivo de configuración el cual posee varios datos sensibles...y estaba en lo correcto:




Si, hay mucho info "censurada", no? Bueno eso es porque hay demasiada información sensible. Datos de cuentas de correos, el usuario y contraseña de el Active Directory (Directorio Activo) del servidor del Ministerio del Interior, y un par de credenciales mas. Para aquellos que alguna vez hayan escuchado de un Dominio de red y de permisos se estarán dando los teclados por la cabeza.

Para hacer un poco mas "gráfico" con esto que les quiero explicar, les dejo una captura de uno de los lugares a los que llegue gracias a esta información:




Esto es el la ventana de ingreso al webmail del Ministerio del Interior...y ustedes dirán.."Y ahora? Eso no me dice nada". Aja, y esto?:




Les dice algo? Eso es la bandeja de entrada de una cuenta de dicha ente, donde obviamente hay mails oficiales de gran confidencialidad, invitaciones a boliches y todas esas cosas "importantes" que hace la gente que trabaja para el Estado.


Ximo

sábado, 12 de septiembre de 2009

El Ministerio del Interior usa software trucho - Parte1

Esto les va a parecer una joda...pero lamentablemente es cierto. Dentro de la pagina del Ministerio del Interior encontré una carpeta abierta al publico con las siguientes cosas:


  


Y lo primero que llamo mi atención fue el archivo llamado "Windows 7 7600 PWD.txt" . Y no era para menos:


 


Si...números de licencia para registrar la nueva (y todavia no oficialmente liberada) version del sistema operativo de Microsoft, Windows 7 lo llaman. La utilización de este tipo de licencias o parches para registrar un software pago de forma completamente gratuita se llama cracking, y como se imaginaran es una actividad penada por la ley...y quiero creer que es peor aun si se trata de un ente Gubernamental, no?

Y si quedaba alguna duda de que efectivamente la gente del Ministerior del Interior esta crackeando software, el archivo "Windows 7 Toolkit 1.8-by-Mozilla.cw.info.exe" es un kit de herramientas para registrar, activar y validar Windows 7:




Muchas empresas son auditadas a diario por un ente llamada Software Legal la cual verifica que en dicha empresa se este utilizando todo el software pago correctamente licenciado, y ante cualquier irregularidad se multa a la empresa auditada con un monto de dinero considerable. Creo que un mail a los muchacho de Software Legal comentdandoles estoy con un par de capturas adjuntas no va a venir mal, no?

Ahh! Casi me olvidaba, cuando los administradores de la red del Ministerior del Interior no estan crackeando software, se dedican a realizar arduas tareas de un desafio intelectual acorde a sus capacidades...archivo "900.Disney.zip":


 


Ey! No es pavada no salirse de las lineas!!! :P

En la parte 2 de este post les voy a mostrar un par de cosas aun mas jugosas...

PD: Pueden comentar los posts...no les voy a cobrar nada...lo juro!


Ximo

lunes, 7 de septiembre de 2009

Login en Flash (mal armado), mas inseguro imposible...

Como ya sabrán algunos sitios web poseen sectores restringidos o exclusivo para clientes. Estos por lo general se encuentran protegidos por usuario y contraseña. Pero este no es el problema, sino los métodos y forma de autentificación que se emplean.

Hoy vamos a hablar de los objetos Flash (.SWF) los cuales utilizan un lenguaje llamado Action Script y a veces son utilizados para el control de acceso de estas secciones. El beneficio de utilizar este tipo de objetos es que se logra una interfaz mas amigable y animada que viste mejor nuestro sitio (en ciertos casos). El problema radica en que muchos dejan el usuario y contraseña de acceso dentro del mismo Action Script del archivo Flash y no fuera de este, ya sea en una base de datos o con un simple archivo PHP o ASP. Al dejarlo dentro del mismo objeto Flash, esta información se guarda en texto plano, y por medio de la utilización de un simple descompilador de archivos SWF logramos ver estas credenciales.

Este es el objeto dentro el sitio web, es decir lo que vemos al querer ingresar al sector restringido. En este caso se trata de una empresa Argentina de trasporte :




Esto es el objeto Flash descompilado:




Como pueden ver, tenemos una linda liste de contraseñas. En este caso cada cliente tiene su usuario y contraseña, y al acceder se les ofrece una descarga de un archivo .XLS (Planilla Excel) que posee información actualizada de el ultimo servicio brindado por la empresa y detalles del mismo como pueden ver a continuación:


 


Encontré muchísimos ejemplos de esto (Empresa Argentina con una revista del ámbito medico online):




Y aca el objeto Flash descompilado:


 


Y les dejo uno mas, un Estudio Argentino de diseño, fotografía y publicidad:




Y la data de acceso dentro del objeto Flash:


 


Espero que al momento de armar una seccion restringida en su sitio web tengan esto en cuenta...Ojo! No digo que no usen Flash para esto, sino que si lo van a usar, haganlo como corresponde.


Ximo

martes, 1 de septiembre de 2009

Queres pelis o mp3's? Pediselos a la UADE...

Aparentemente los administradores de red de la Universidad Argentina de la Empresa (UADE) se vieron obligados a bloquear ciertos puertos utilizados por programas P2P (Peer to Peer). Con esto me refiero ni mas ni menos que a la mulilta (entre otros) que muchos de nosotros alguna vez hemos utilizado para la descarga de...bueno, de lo que sea...





Esto no es una falla de seguridad ni nada, solo una curiosidad... además me pareció divertido encontrar esto en una universidad privada.


Ximo

domingo, 30 de agosto de 2009

La pagina de television.com.ar hackeada?

Se enteraron de esa? Yo no...capas porque todavía no paso o jamas le hicieron el deface al sitio. Lo que hicieron este grupo de defacers fue esconder el archivo index.html que iba a suplantar al original en una carpeta llamada /prueba/ junto a un archivo .htaccess el cual es utilizado para restringir el acceso a una carpeta, en este caso el mimso no se encuentra funcional.




Me imagino que se preguntaran como fue que estos muchachos lograron meter este archivo en el servidor de www.television.com.ar... y la respusta no es una sola. Existen varias formas. En primer lugar existe el descuido de dejar abierto el puerto de terminal services del servidor, lo que permite un acceso remoto al mismo, siempre y cuando se posea el user y pass del mismo. Para acceder pueden haber utilizado un ataque de fuera bruta para obtener alguna credencial:



Otra posibilidad es otro ataque de fuerza bruta al servidor FTP (puerto 21). En resumen existen varias formas de entrar a un servidor web, siempre y cuando el mismo no se encuentre correctamente configurado.


Ximo

viernes, 28 de agosto de 2009

El Ministerio de Economía y sus descuidos

Y si, esta vez el Ministerio de Economía y Finanzas. No es que tenga nada con el gobierno, pero es notable como siempre algo fuera de lugar encuentro en sus servidores.

En esta ocasión se trata de un problema de configuración en el servidor web (Microsoft IIS) donde falta un mapeo ISAPI de la extensión .asa al archivo asa.dll. Lo que esto nos permite es la visualización de un archivo de configuración llamado global.asa el cual suele contener información de direcciones internas o bases de datos.

En este caso contiene información de una base de datos:



Nos encontramos con usuario, contraseña y nombre de una base de datos...algo muy peligroso y descuidado.

En caso de que ustedes tengan el mismo problema, acá les dejo la solución del mismo:

Abran Internet Services Manager. Hagan clic en el servidor Web afectado y seleccionen Propiedades en el menú contextual. Seleccionen Propiedades principales, seleccionen Servicio WWW -> Editar -> Inicio Directorio -> Configuración. Hagan clic en el botón Agregar, especifiquen C:\WINDOWS\system32\inetsrv\asp.dll como el ejecutable (puede ser diferente dependiendo de su instalación), ingresen .asa como la extensión, limiten los metodos a GET, HEAD, POST, TRACE, asegurense que el checkbox del motor de scripts está activado y por ultimo hagan clic en Aceptar.

Otras cosas que vi por ahí son unos scripts que armaron para instalar y actualizar un Antivirus. Esto no es bueno por dos razones:

  • Primero porque nos dejan saber que Antivirus tienen instalado en su red lo que nos puede permitir planificar un ataque en base al mismo
  • Segundo, porque en dichos scripts se pueden obtener nombres de recursos y servidores de la red, información que no debería ser visible para cualquiera.

Les dejo las capturas:





No veo la necesidad de tener esto en la carpeta web del servidor...


Ximo