Fugas de información en aplicaciones Ruby On Rails

No conocía esta fuga de información que me ha pasado el equipo que está desarrollando Faast en Eleven Paths sobre las implantaciones con Ruby On Rails y que es digna de tener en cuenta en cualquier auditoría web. Actualmente se ha añadido a la lista de ficheros con información jugosa y fugas de información que debe buscar el servicio cloud de pentesting persistente Faast.

La fuga de información se encuentra en la ruta /rails/info/ donde se muestran dos páginas con datos sobre la instalación de Ruby On Rails en el servidor web: Properties y Routes.

Figura 1: Sección de datos en un /rails/info/properties indexado

La página de Properties trae datos como la versión del framework, el conector a la base de datos que hay por detrás y muchos más detalles, donde también hay que destacar la ruta local de la ubicación de la aplicación en el servidor web.

Figura 2: Información de conexión y Application Root en un /rails/info/properties

En la parte de routes también aparecen rutas del servidor web, que puede ayudar a descubrir las rutas de una aplicación web, por lo que complementan las 20 técnicas que recogí para listar los ficheros de un sitio web.

Figura 3: información en fichero /rails/info/routes

Para localizar instalaciones con estos ficheros abiertos al público haciendo un poco de hacking con buscadores se puede hacer un sencillo dork en Google o Bing buscando inurl la ruta especificada más el texto "Application Root" que indica en qué lugar se ha implantado la aplicación de Ruby on Rails.

Figura 4: Dork para localizar ficheros /rails/info

Estas páginas de información tan verbose de Ruby On Rails recuerdan al info.php de PHP, a los mensajes de error de frameworks JSP, los de error de aplicaciones ASP, los de error en frameworks TCL WebDNA o a cualquier otro error de aplicación que muestre más datos de los que se deberían, así que si te toca hacer auditorias tenlo presente y si tienes una instalación con Ruby On Rails, asegúrate de que no estén disponibles.

Saludos Malignos!

Vídeo Conferencias en Google+, Hangouts y Privacidad

El auge de las vídeo conferencias por Internet es algo innegable y yo soy usuario habitual de ellas. Normalmente, al igual que los sistemas de mensajería, uso diferentes soluciones de vídeo conferencia para diferentes cosas, así que tanto FaceTime, como Google Hangouts, Skype e internamente un solución llamada TokBox que se usa en aplicaciones. Las uso todas ellas, dependiendo de con quién y para qué sea el uso que vaya a darle.

De todas ellas, hay una que lleva un tiempo poniéndome nervioso por las cosas que hace en torno a la privacidad y he decidido escribir este artículo para compartir con vosotros mis preocupaciones al respecto y tener más opiniones vuestras si creéis que podéis aportarme algo. Como habréis supuesto por el título es Google Hangouts.

La privacidad de la vídeo conferencia personal

Cuando yo hago un FaceTime o Skype desde el lugar más remoto del mundo con una persona, lo que espero es que esa conversación sea privada. Si le tengo que decir cosas bonitas, personales, privadas o menos bonitas no quiero tener que preocuparme de que nadie pueda conectarse sin mi permiso. De hecho, puede ser que deje el terminal cerca y hable con el altavoz mientras voy haciendo otras cosas.

Si quiero que alguien se conecte tengo que invitar explícitamente a esa persona, hacer una llamada desde la cuenta del creador de la conversación y la otra persona tendrá que aceptar la vídeo conferencia de forma explícita. Me parece lógico.

En Google Hangouts no parece que sea así. Basta con saber la URL de la conversación y podrás conectarte al Hangouts. Es decir, una vez que se crea la sala funciona de vídeo conferencia funciona de forma similar a una sala de chat donde por defecto cualquiera que conozca su URL puede conectase.

Una prueba sencilla con una vídeo conferencia personal en Google+

Cuando haces la invitación a una invitación de vídeo llamada desde una ventana de chat de Google+, en la barra superior aparece la URL de conexión que protege todo. Vamos a suponer que quisiera hacer una vídeo conferencia con una persona mientras estoy hablando en un chat privado.

Figura 1: Pidiendo una vídeo conferencia personal

Tras pulsar sobre el icono de la cámara se abrirá la URL de la vídeo conferencia, y será la única protección existente para que alguien se añada a la conversación. Si vas a otra máquina con otra cuenta de Google+ que no tenga que ver nada con ninguna de esas dos cuentas, podrás conectarte. Como podéis ver, hasta te avisa de que la llamada a la que me estoy conectado está formada por alguien que no está en mis círculos de Google+, pero aún así te deja unirte.

Figura 2: Estableciendo la llamada de vídeo conferencia con Google Hangouts

Es decir, que toda la privacidad recae en esa URL, que como veis es https://plus.google.com/hangouts/_/[ID_Canal] y un identificador de la llamada, que se crea como un canal al que uno se conecta de forma temporal.

Figura 3: Si tienes la URL, te puedes unir a la vídeo llamada

De hecho, cuando se crea una vídeo llamada para conectar a múltiples personas lo único que se envía es esa URL, lo que deja claro que la única privacidad es que alguien conozca la URL o no.  Cuando entre verá y oirá lo que esté sucediendo allí en ese momento... sea lo que sea.

Figura 4: Creación de una vídeo llamada múltiple con compartición de URL

Al final, la única diferencia entere una vídeo conferencia múltiple y una vídeo llamada personal desde el chat es que la URL se comparte directamente por el cliente de chat y no por correo electrónico, pero el sistema es el mismo.

La privacidad de la vídeo conferencia múltiple

Una de las cosas que he visto que muchas empresas utilizan es ese canal de Google Hangouts como una canal de chat para debatir cosas periódicamente. Por ejemplo, muchas empresas, grupos u organizaciones generan un canal Google Hangoust que re-utilizan constantemente para reuniones periódicas. En ese caso el Google Hangouts funciona como un evento, y su URL es algo como https://plus.googel.com/hangouts/_/events/[ID_Canal]

Figura 5: URLs de Google Hangouts indexadas en Google

La gracia es que ese canal perdura y siempre te puedes conectar a él. Si por casualidad esa URL cae en las manos de una araña de un buscador, podría ser indexada y aparecer en los resultados de alguien que estuviera haciendo hacking con buscadores. De hecho, hay muchas URLs de eventos que han tenido lugar en Google Hangouts indexadas y te puedes conectar a ellas. Siguen vivos los canales.

Figura 6: El canal sigue vivo aunque no haya nadie

Si usas Google Hangouts para reuniones múltiples privadas, ten cuidado no dejes la URL a la vista de las arañas de los buscadores, para que no se conecten visitantes inesperados al canal.

Saludos Malignos!