domingo, 30 de agosto de 2009

La pagina de television.com.ar hackeada?

Se enteraron de esa? Yo no...capas porque todavía no paso o jamas le hicieron el deface al sitio. Lo que hicieron este grupo de defacers fue esconder el archivo index.html que iba a suplantar al original en una carpeta llamada /prueba/ junto a un archivo .htaccess el cual es utilizado para restringir el acceso a una carpeta, en este caso el mimso no se encuentra funcional.




Me imagino que se preguntaran como fue que estos muchachos lograron meter este archivo en el servidor de www.television.com.ar... y la respusta no es una sola. Existen varias formas. En primer lugar existe el descuido de dejar abierto el puerto de terminal services del servidor, lo que permite un acceso remoto al mismo, siempre y cuando se posea el user y pass del mismo. Para acceder pueden haber utilizado un ataque de fuera bruta para obtener alguna credencial:



Otra posibilidad es otro ataque de fuerza bruta al servidor FTP (puerto 21). En resumen existen varias formas de entrar a un servidor web, siempre y cuando el mismo no se encuentre correctamente configurado.


Ximo

viernes, 28 de agosto de 2009

El Ministerio de Economía y sus descuidos

Y si, esta vez el Ministerio de Economía y Finanzas. No es que tenga nada con el gobierno, pero es notable como siempre algo fuera de lugar encuentro en sus servidores.

En esta ocasión se trata de un problema de configuración en el servidor web (Microsoft IIS) donde falta un mapeo ISAPI de la extensión .asa al archivo asa.dll. Lo que esto nos permite es la visualización de un archivo de configuración llamado global.asa el cual suele contener información de direcciones internas o bases de datos.

En este caso contiene información de una base de datos:



Nos encontramos con usuario, contraseña y nombre de una base de datos...algo muy peligroso y descuidado.

En caso de que ustedes tengan el mismo problema, acá les dejo la solución del mismo:

Abran Internet Services Manager. Hagan clic en el servidor Web afectado y seleccionen Propiedades en el menú contextual. Seleccionen Propiedades principales, seleccionen Servicio WWW -> Editar -> Inicio Directorio -> Configuración. Hagan clic en el botón Agregar, especifiquen C:\WINDOWS\system32\inetsrv\asp.dll como el ejecutable (puede ser diferente dependiendo de su instalación), ingresen .asa como la extensión, limiten los metodos a GET, HEAD, POST, TRACE, asegurense que el checkbox del motor de scripts está activado y por ultimo hagan clic en Aceptar.

Otras cosas que vi por ahí son unos scripts que armaron para instalar y actualizar un Antivirus. Esto no es bueno por dos razones:

  • Primero porque nos dejan saber que Antivirus tienen instalado en su red lo que nos puede permitir planificar un ataque en base al mismo
  • Segundo, porque en dichos scripts se pueden obtener nombres de recursos y servidores de la red, información que no debería ser visible para cualquiera.

Les dejo las capturas:





No veo la necesidad de tener esto en la carpeta web del servidor...


Ximo

sábado, 15 de agosto de 2009

Y que aprendimos en la universidad hoy? (Universidad de Belgrano)

Primero que todo, el no dejar los logs (registros) de todo aquel que haya ingresado al sitio web abiertos al publico, como lo hacen los muchachos de la Universidad de Belgrano. Donde, por si fuera poco, nos dan instrucciones de como bajar los mismos:


Y lo que obtenemos luego es esto:


Para que se den una idea, el archivo comprimido pesa 15,5 Mb y descomprimido unos 264 Mb...y recuerden que se trata solo de texto...lo que se traduce en muchos registros de IP's. Para aquel que no me siga, digamos que si hoy entras a la pagina de la Universidad de Belgrano, yo me entero (o cualquiera que lo este mirando) y no solo se a que paginas accediste sino tambien tu IP... :S

Ximo

sábado, 8 de agosto de 2009

Passwords.txt, me estan jodiendo? (Policia Federal)

Si, como lo dice el titulo, encontré lo siguiente el otro día, y como una imagen vale mas que mil palabras (o claves en este caso) les muestro:

Este es un perfecto ejemplo de lo que NO se debe hacer, ya que este archivo tiene permisos de lectura para todos los usuarios. Gracias a dicho archivo logre ingresar a esto:


Señoras y señores, ete aquí la bandeja de correos enviados del "webmaster" de la Policía Federal Argentina. Dan ganas de llorar al ver esto...

Espero que ustedes sean mas cuidadosos que los muchachos de la poli...(x cierto, la intro del sitio con los perros policías ES TA LLA!)

ACTUALIZACIÓN (19/08/2009): Los muchachos de la Poli me dieron bola y solucionaron el problema! Da gusto ayudar... :D

Ximo

lunes, 3 de agosto de 2009

La base de datos del padrón electoral abierta al público? Naa...

Hace aproximadamente 2 meses estaba trabajando y escuchando la radio a la vez (si, las dos cosas al mismo tiempo), y mencionaban que ya se encontraba disponible el sitio para consultar el padrón electoral y así saber donde votábamos. Luego de ingresar mi DNI y realizar mi consulta me pregunte si el Poder Judicial se había tomado la molestia de asegurar mis datos...conjuntamente con los del resto de los 40.299.999 Argentinos (considerando que todos estemos empadronados... :P), y me encontré con lo siguiente:




Esto no solo me indicaba que se trata de un servidor Linux, sino también todos los últimos comandos que fueron lanzados en la consola del servidor. Y luego de mirarlo por unos segundos me encontré con esto:




Si señoras y señores, aunque no lo crean es el archivo de configuración de la base de datos del padrón electoral. Este pequeño pero importante archivo contiene ni mas ni menos (entre otras cosas) que el usuario, contraseña, ubicación y tipo de base de datos utilizada. Y para aquellos que creen que esto solo me daba acceso de lectura a la información de donde correspondía que votara cada Argentino, se equivocan...también podía modificar esta información.

Ahora imaginense esto..."Yo, político corrupto, quiero ganar estas elecciones cueste lo que cueste, y la diferencia con mi rival no es muy grande. Accediendo a esta base de datos (de la misma forma que lo hice yo y que cualquiera podía hacerlo) puedo modificar la ubicación de donde votan ciertas personas que sé pertenecen a la oposición para que luego estas no puedan votar, logrando así superar esa diferencia y obteniendo un par de sillas en el senado."

Cuando vi esto, y luego de blasfemar un poco, me decidí a informar del problema al webmaster. A falta de una respuesta volví a escribirle...copiando a otras direcciones que encontré en la web. El tiempo pasaba y no solo no recibía una respuesta, sino que se acercaba el día de las elecciones, por lo que mande un mail a Protección de datos, una entidad que se encarga de hacer cumplir la Ley 25.326 (también conocida como Ley de Habeas Data). Recibí una respuesta al instante indicándome la relevancia del problema y que "deberíamos" de notificar a los medios cuanto antes, para que después "realizáramos" juntos la demanda, cosa que honestamente no me intereso. Mi idea no era generar un revuelo mediático, sino lograr que el Poder Judicial solucionara el problema y asegurara nuestra información.

Para mi sorpresa el problema fue solucionado una semana antes al día de las elecciones...pero en la bandeja de entrada de mi mail solo estaba la respuesta del abogado de Protección de datos y no otra...

Ximo