martes, 29 de diciembre de 2009

¡Mis felicitaciones a los lectores!



El otro día estaba revisando el reporte de Google Analytics y se me dio por mirar las estadísticas que muestran con que navegador ingresan ustedes, los lectores, a este blog. Y la verdad me dejan muy orgullosos los resultados, ya que la mayoría de ustedes utiliza Firefox como se ve a continuación:





Considero esto muy importante ya que las fallas mas peligrosas de seguridad suelen afectar al navegador de Microsoft, Internet Explorer. Esto no significa que Firefox no posea fallas de seguridad, pero las mismas son solucionadas de inmediato y la ultima versión del mismo siempre incluye dichas mejoras.


 


Espero que sigan con estas buenas practicas y que en el futuro sean el %100 los que utilicen navegadores mas seguros como es Firefox.

Aprovecho la oportunidad para desearles a los lectores una muy feliz navidad atrasada y un excelente año nuevo!


Ximo

martes, 15 de diciembre de 2009

Seguridad Web...placebo popular



¿Podrías garantizarle a tus clientes que la información que alojas sobre cada uno de ellos se encuentra perfectamente segura? Existen muchos sitios que guardan información sensible de sus usuarios y clientes en el mismo servidor web donde se aloja su sitio.


Y no es novedad leer avisos de confidencialidad indicando no solo que estos datos son correctamente resguardados sino también que los mismos han sido encriptados con cientos de bits (64, 128, 256, 512, etc).

Lo que muchos de estos sitios no consideran es que la protección de los archivos de configuración que poseen las credenciales para acceder a las bases de datos que efectivamente contienen aquellos datos sensibles es igual o más importante que la encriptación de los mismos.


En las capturas se pueden observar varios ejemplos de estos descuidos de sitios de Hoteles o incluso uno relativo al golf.

¿Les interesaría que los datos de su reserva para este verano sean accesibles por todos? ¿Y su handicap?

Bueno, en ese caso les recomiendo que exijan el correcto almacenamiento de sus datos, y si son los propietarios de un sitio con alguna de estas fallas solucionen las mismas de inmediato.

Ximo

miércoles, 9 de diciembre de 2009

The Blue Box - Escala de privilegios - Parte 3

Como prometí en el anterior post, hoy les voy a mostrar que tan sensible es la información que se puede obtener por medio de esta shell.

Como les dije, se posee acceso a toda la estructura de archivos del servidor, inclusive los archivos de configuración, como por ejemplo aquellos que poseen el usuario y contraseña de la base de datos de la intranet por la cual ingresamos en primer lugar:





Y esto es solo el principio... Que me dirían si pudiéramos ver información mas relevante, como un archivo de configuración que posee los datos de uno de sus clientes...no sé, digamos.....Clarín:





Como se darán cuenta ahora el problema cambia, porque no solo se encuentra vulnerada la privacidad de la víctima sino también la de sus clientes.





Esta shell posee un pequeño cliente que nos permite conectarnos a cualquier base de datos siempre y cuando se posean los datos de acceso, cosa que ya tenemos:





Como ven, la información que se suponía privada de los clientes ya no lo es, y como vieron arriba, tampoco la de los clientes de los clientes (confuso, no?).

Otra cosita interesante es poder ver todos los correos del webmaster los cuales se guardan como archivos:





Y no solo del webmaster, sino del usuario que deseen:





Y de la misma forma que podemos ver dichos correos, podemos ver los datos de acceso a la base de datos del servidor de correo:





Ahora, un sitio web puede tener el mismo IP que otro, siempre y cuando estos se alojen en el mismo servidor. El servidor DNS es aquel que vincula cada dominio con su respectiva IP y carpeta dentro del servidor. Como pueden ver a continuación, el sitio de "The Blue Box" no es el único en este servidor:





Mas allá de que estas carpetas no puedan ser accedidas revelan mucha información interna del servidor que pueden llevar a una nueva escala de privilegios.

Creo que con esto queda claro que, al igual que una piedra tirada al agua, algo que empieza muy pequeño como las ondas de agua puede terminar inmenso.


Ximo

viernes, 4 de diciembre de 2009

The Blue Box - Escala de privilegios - Parte 2

En el anterior post les mostré como ingresamos a una Intranet de un sitio web por medio de una inyección de SQL. En esta segunda entrega les mostrare como este pequeño subsistema puede brindar acceso a información mas sensible.

Aquellos observadores, habrán notado que en la ultima captura del post anterior se podía ver la existencia de una sección llamada SUBIR ARCHIVOS. La misma, como su nombre lo indica, nos permite subir archivos al servidor web sin restricción alguna de la extensión de estos.

Al ingresar por primera vez a esta Intranet, noté que en la sección ADMINISTRAR se detallaba la existencia de un archivo llamado 1259631071.php. Cabe aclarar que en esta sección se detallan los archivos subidos por medio de la sección antes mencionada.





Lo que el sistema no nos indica es donde se aloja este archivo. Por lo que me puse a mirar el cogido fuente del sitio web. De inmediato noté que estaba armado con frames por lo que solo busque el archivo que me interesaba, es decir el de la sección ADMINISTRAR que se observa en la anterior captura, y encontré esto:





Ese es el link que utiliza el botón Borrar el cual también nos dice donde se aloja este archivo. Por ultimo arme la URL de donde se alojaba este archivo y voila!:





Esto señoras y señores es una shell, particularmente una muy popular llamada C99 Shell. Este script permite navegar por el servidor libremente, pudiendo visualizar, editar, eliminar o subir archivos. Esto nos indica 2 cosas:

- Que el servidor fue vulnerado por un usuario malicioso.
- Que dicho usuario malicioso realizo el mismo procedimiento de escala de privilegios que    intento describir.

Al ver esto procedí a eliminar dicho archivo PHP para evitar que el servidor se encuentre completamente vulnerable. De igual manera ya le informe al administrador del sitio que asegure su base de datos ya que, mas allá de que la shell ya no existe en el sistema, se puede seguir ingresando a la Intranet sin conocer las credenciales.

En el próximo post les mostrare a que tipo de información se puede acceder desde una shell (aplicado a este caso) para que vean la sensibilidad de la misma y la importancia de corregir este tipo de problemas.


Ximo

martes, 1 de diciembre de 2009

The Blue Box - Escala de privilegios - Parte 1

Buenas gente, hoy les traigo algo bastante interesante que decidí dividir en tres partes por la gran cantidad de información recolectada.

The Blue Box es una empresa publicitaria de gran importancia, con clientes como Nokia, Puma, J&B, Clarín, Dasani, Fiap, Jhonnie Walker, FOX, Sony, Sprite, Hoyts, Latin American Idol, AXE, CableVisión y Olé entre otros.





Para analizar este sitio utilice una herramienta llamada Nikto que busca no solo las vulnerabilidades mas comunes de un servidor web sino también la existencia de algunas carpetas interesantes. En este caso di con la carpeta /intranet/ que, como su nombre lo indica, es una red interna para el uso de los empleados y los clientes (en este caso).





Normalmente lo primero que se intenta es el clásico admin:admin pero en este caso no va a funcionar, ya que el problema no se trata de un error del administrador al utilizar credenciales por defecto sino que se debe a que la base de datos que consulta el sistema de certificación no se encuentra correctamente protegida, por lo que es vulnerable a un ataque de SQL Injection. Esto significa que utilizando las credenciales ' OR ''=' como usuario y contraseña se logra obtener acceso al sistema como si fuéramos el Administrador.





Como verán, ya ingresamos al sistema. Aunque no lo crean esto es solo una pequeñísima parte de este post, más adelante mostrare como se puede lograr acceso a información aún mas sensible por medio de una falla menor (concepto básico de la escala de privilegios).


Ximo