sábado, mayo 12, 2012

Debian y su árbol LDAP: ¿Más chulos que un ocho?

Estaba yo pasando el rato analizando las configuraciones de algunos árboles LDAP para ver cómo analizar su robustez frente a un ataque de man in the middle, cuando me topé con uno de ellos que me sorprendió. Resulta que si te descargas la versión LDAP Browser de Softerra, y la instalas de forma completa, se agregan una serie de perfiles por defecto de servidores LDAP públicos en Internet. Y mi sorpresa fue encontrar entre ellos a Debian.

Figura 1: árbol LDAP de Debian entre los servidores públicos

Por supuesto, la curiosidad y el anhelo de volver a mi amigo Luciano Bello - además de comprobar si esto es un honney pot o no - me hizo buscarle entre los cientos y cientos de usuarios del sistema, para encontrarle allí.

Figura 2: La entrada de Luciano Bello en el árbol LDAP de Debian

Lo siguiente que me vino a la mente fue:
"Joder que chulos estos de Debian, ahí, con dos huevos publicando la lista de usuarios, la lista de todos los correos electrónicos, qué usuarios son los administradores, qué servidores tienen, qué versiones de software tienen instalado con la configuración de seguridad de sus servidor LDAP y todo. ¡Qué no se diga que no son Open, leñe!"
Figura 3: Información de todos los hosts de Debian

Claro que a mí, por deformación profesional, esto me parece algo erróneo en cualquier caso. más cuando Debian ya sufrió ataque graves y elaborados de seguridad en el pasado, como el Owned de Gluck. No entiendo por qué debe tener acceso anónimo habilitado y regalar los datos de todos los miembros, por pequeños que sean los datos. Pero... tal vez esté yo equivocado y no haya que preocuparse tanto de esto.

¿Y tú que opinas? Desde luego, tengo claro que ya no le voy a lanzar la FOCA... ¿Para qué? si ya es pública toda la red de la organización. No tiene gracia.

Saludos Malignos!

12 comentarios:

Inma dijo...

Hola Chema
Interesante, tal y como lo expones sí parece muy atrevido por parte de Debian, por eso no he podido evitar echar un ojo, y después de mirar un poco no parece tan dramático: NO son los mails de los desarrolladores, son sus contactos de jabber, y no de todos, parece que solo de los que lo han decidido ( como una cuarta parte) , esta bien si eres desarrollador Debian y publicitan tu nombre y tu sitio web , ¿donde esta el problema? No creo que ninguno trate de guardar en secreto sus aportes.

La información de los servidores, solo son 164, tu crees que toda la organización Debian se maneja con tan poquitos servidores... No lo creo, casi todos tienen un atributo que puede dar una pista de por que son públicos estos registros “sponsor”, con direcciones web de las empresas que los esponsorizan.
Na, seguro que con tu foquita encontraras muucha mas info.
bss

Chema Alonso dijo...

@Inma, información de 164 servidores con todos sus datos te parecen pocos? No sé, creo recordar que cierta Universidad de gran prestigio tiene todos sus servicios críticos en menos de 164 servidores.

Y hay un dato a tener en cuenta, que no solo se publican los datos y usuarios de los que han querido, sino que además, si pones la visualización de los atributos de control (como he hecho con Luciano) puedes ver las cuentas de los usuarios de administración.

A mi me parece un poco... temerario, pero... allá cada cual.

Saludos!

Anónimo dijo...

Creo que lo que dice Inma tiene sentido y lo que dice Chema también, pero al fin y al cabo son dos opiniones externas en este tema.

Lo que sería muy interesante es que alguien de dentro, como Luciano (ya que tenemos enchufe con él), sacara un poquito de su tiempo y nos ofreciera su punto de vista.

Él nos podría aclarar si es un despiste, no lo han valorado bien, o si por el contrario creen que es lo correcto.

Venga, saludos.

Inma dijo...

:) Vale, tienes razón 164 son muchas máquinas, no se porqué esperaba encontrar más, de todos modos este listado de máquinas por qué lo ves tan peligroso, un “hacker malo” que trate de atacar a Debian no se si le costaría mucho hacerse con ese listado, pero sí, es un trabajo que Debian le ahorra, desde luego.
Luego la info que da es su IP (info DNS pública), datos del hardware, y dices que informa sobre que software tiene instalado, te refieres a “distribution: Debian GNU/Linux”? Vaya que sorpresa, Mr. Malo no dará crédito :D, también dice el propósito de la maquina supongo que eso es lo que te da pistas para ver qeu soft tiene.
Lo que que no se, es como ves la configuración de seguridad de sus servidores LDAP.?¿?
Los atributos operacionales solo te dan el DN del usuario que crea y el que modifica la entrada, que ya tienen su entrada en el directorio.

@Anonimo estoy contigo, la opinión de Luciano sería muy interesante, podríamos enviarle un mail para consultarle, una pena que estos de Debian no nos ofrezcan su dirección de correo como sugería Chema, habrá que buscarla en otro lado ;))
Un beso

Anónimo dijo...

Los desarrolladores tiene control sobre que información quieren publicar de ellos mismos. Los arquitectura abierta nos permite montar nuevos servicios rápidamente. Nadie es el dueño absoluto de la info.

Vamos... un sistema abierto... entiendo que no estés acostumbrado :)

Chema Alonso dijo...

@Inma, la información de seguridad del árbol LDAP se ve en RootDSE, ya sabes, los algoritmos SASL (para hacer mitm attacks a los que se autentiquen con sus passwords), los protocolos de cifrado... si usan SSL o TLS, etc.... lo normal.

@Lbello, es vuestro server, podéis hacer lo que os guste con él }:)). Sin embargo, no controláis TODO lo que se publica, ya que los atributos de mantenimiento - como que usuario creo la cuenta donde aparecen usuarios administrativos - los pone el árbol automáticamente y seleccionando la opción de ver esos atributos se saca más info de la inicialmente configurada.

Bajo mi punto de vista es un error para la seguridad publicar tantos detalles, pero...es sólo mi opinión. }:))

Saludos!

Anónimo dijo...

"Vamos... un sistema abierto... entiendo que no estés acostumbrado :)" ZAS!, en toda la boca!!! Chema, me temo que tu afán de protagonismo te ha hecho meter el pie... bien podías haber preguntado antes a Luciano....

Chema Alonso dijo...

@Anónimo, como pone en el post y como le he puesto a mi amigo Luciano, que el LDAP lo tienen abierto ellos es por decisión suya, pero desde mi punto de vista es un Sistema Abierto.. pero de patas, ya que se escapan muchos datos que pueden ser utilizados para planificar un ataque, como el que ya le hicieron a Gluck http://www.elladodelmal.com/2006/07/te-hackearon-porque-deban-por-qu-te.html .

Por eso el título es el que tiene.

Saludos!

Anónimo dijo...

Soy el que sugirió la intervención de Luciano.

Simplemente darle las gracias por su tiempo y por intervenir, no sólo por mí, sino por todos nosotros.

Muchas gracias crack.

Anónimo dijo...

La gente de Debian me merece confianza y tienen que haber pensado bien las cosas. Con todos los respetos, tu opinión en este asunto me parece poco valorable y tampoco hablas de nada concreto. Estoy seguro de que si hubiera un riesgo real no sería un mero post opinando sino un ataque bien descrito dejando en evidencia la vulnerabilidad.

Lo dice un seguidor de to blog que cree que la mayoría de las entradas tienen mucho interés.

Chema Alonso dijo...

@anónimo, el martes tienes el post que pides explicando por qué es importante no dar esta información.

Saludos!

Anónimo dijo...

Más bien es una forma de mejorar la seguridad del proyecto por la vía dura. Máxima exposición y lo que tenga que ser será, pero ese camino ya quedará cerrado.

Coñas aparte en el caso de Debian por su manera de operar y ser puede hasta tener un pase (¡aunque una falla en Debian nos afectaría a muchos! It's serious money in risk...)

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares