miércoles, septiembre 27, 2006

Haciendo el Indio

Hace más o menos un añito y algo, a punto de dar la sesión de la gira de Seguridad en Bilbao en el palácio de Euskalduna, nos trajeron la revista de PCWorld que querían que entregaramos en ese evento de la Gira Technet de Microsoft. La revista en cuestión venía con un bonito cd de la distribución Linux euskera (no recuerdo el nombre, euskaldinux?) y otro lindo artículo en portada. HACKING IIS!!!.

Coño!, joder!, hostias! laputa!. Primero. ¿Como vamos a entregar en un evento de Microsoft una distribución de Linux? ¿Han hackeado IIS 6 y yo no me he enterado?Rápidamente abrí la revista para leer el artículo, y me encontré con 2 páginas sobre como hackear IIS 3.0 (¿en el año 2005?, manda huevos!). Una bonita página de como hackear IIS 4 (viva la fiesta!) y media página de como hackear IIS 5 (pis tu pistu, numa numa ye!) y del iis 6, cero patatero.

Meses después en Amsterdam (mmm Amsterdam, cuantos viajes, cuantas aventuras, que pocos recuerdos tengo de allí) tomando una hamburguer de cocodrilo, vino la gente de la prensa española. "¿Quién es el de PC World?" Grité. y allí salieron los buenos de Daniel y de Carlos. ¡yo! dijo Dani. "Pues ven aquí que te voy a dar pal pelo".

Tras contarle la situación de la entrega de la revista (que no se entregó pq se me olvidó) y lo del artículo, se ofreció a que escribieramos un artículo sobre lo que quisieramos y nos pidió disculpas por el artículo del IIS. Meses más tarde, la señora directora, responsable de ese artículo ya no estaba en su puesto (no por esto, no penséis mal) y ya me pasaron las ganas de dar más guerra.

Sobre el tema de los servidores web se habla mucho, hasta el serñor Galli, miembro participe y activo de la comunidad blogera, en febrero del 2005 hacía la siguiente reflexión dentro de un texto sobre las ventajas de la diversidad (no de los inconvenientes) relativas a Seguridad:

"Aunque hablamos del Apache, que a pesar que domina el mercado tiene menos incidentes graves que el IIS de Microsoft"

Claro, pensando en que estamos en febrero de 2005, no debe estar hablando de IIS 4 o IIS 5, ya que el iis 6 llevaba ya bastante tiempo por las tierras del señor. Así que sería del IIS6. Vaya!. Al final va a ser premonitorio y sí que se lo van a cepillar.

Mirando los expedientes de seguridad vemos que el IIS 6 ha tendio 5 fallos de seguridad en 3 años, de los cuales, 1 es un XSS sobre el módulo de administración Web, otro es común a los apaches e iises, otro es de descubrimiento de la ip local, otro es de una biblioteca de componentes y afecta a casi todos los productos y el último es un exploit de shell metiendo pudiendo subir al servidor un fichero. 5 fallos jodidos.

Expedientes IIS 6

La versión 1.3.29 de Apache, que es de la misma edad, más o menos que el IIS 6 ha tenido alguno más.

Expedientes Apache 1.3.29

Pero es que al final el problema no suele ser del IIS o del Apache, sino de una mala administración. Es cierto, que por defecto las versiones de Apache no te cerraban el listado del directorio, pero para eso tienes que estar tú y cerrarlo, ¿que culpa tiene Apache de que te dejes los listados abiertos?

Algunos ejemplos:

http://www.uib.es/depart/

claro y si encima dejamos un fichero de texto con el listado de todos los ficheros del servidor sería comodisimo descubrir alguna información que no se debiera, que alguien por descuido dejara en el servidor

http://www.uib.es/depart/duks01-12

¿y si las fotos de arturo fueran privadas?

http://www.uib.es/depart/dqu/fotos_arturo/

No es el caso pq están en la web para que acceda todo el mundo, pero... podría ser que hubiera algún LOG que diera incluso info de alguien en local al subir archivos por FTP, vete a tu a saber. ¿y eso sería culpa del Apache?

o ¿sería culpa del Apache si le hackean pq se monta una aplicación que se rompe y alguien encuentra la forma de ejecutar código?

http://swww.uib.es/borsa/plsql/beques.FerPagRegistreBeca

http://www.uibcongres.org/congresos/ficha.ct.html?cc=75%20%3D

Es que la gente es descuidada montando sus Apaches y luego le quieren echar la culpa al software, que si es mejor, que si es peor, que si la diversidad es guay que si no lo es...

No hay nada importante en este directorio, pero no me negaréis que es un descuido

http://mnm.uib.es/images/
aunque esto parece que es normal porque lo deja así mucho admin

http://www.linex.org/images/

lO peor, quizas, es que esté sobre un Apache 1.3.34, que necesite ser actualizado

(telnet mnm.uib.es 80
head / http/1.0)

cuando Apache ha alertado que tiene fallos de seguridad y hay que aplicar parches.

http://www.apache.org/dist/httpd/CHANGES_1.3

que luego te puede pasar como al pobre servidor Gluck de Debian, un més sin parchear y ya ves....

Ataque a gluck.debian.org

Yo recuerdo con ternura el mail de un colega en el que me retaba a tirar su Apachito (no actualizado), pero con cariño.

Reto

Luego fue muy majo cuando acabamos.

Resultado

Pero ¿quién les va a atacar a esos que dejan los apaches así, mal cuidados?. A veces es mucho peor que se monte una aplicación PHP mal programada y te venga cualquier chaval y te toque un poco los pies, como ya le sucedio a este pobre Apache de marras, tiempo ha:

http://mnm.uib.es/gallir/posts/2006/03/03/658/

Por suerte esos que fueron, son los de la operación Kronen y con el susto estarán tranquilos un tiempo. Si es que quien les manda meterse con quienes no deben, ¿verdad mis queridos comentaristas?

Operación Kronen

En fin, dejemos un poco al margen a los pobres IIS y Apaches, que muchas veces la culpa es nuestra y los ataques pueden ser a cualquiera. Echemos un ojo a los ataques en real time que se publican en Zone-h, a ver que va cayendo.

¿Cómo decía la frase?

"Aunque hablamos del Apache, que a pesar que domina el mercado tiene menos incidentes graves que el IIS de Microsoft"

¿seguro?

Y.....¡me piro a Zaragoza de Fiesta!

5 comentarios:

Chema Alonso dijo...

Na, fue todo muy tierno. Todo amor, nada de sexo.

Anónimo dijo...

¿podías dar un poco más de información de como lo hiciste?
Saludos.

Chema Alonso dijo...

Hola roncali,

Como hice lo cualo? Lo del apache? fácil. Buscar el exploit apropiado, compilarlo, .... lo normal.

Anónimo dijo...

El Galli siempre adoctrinando a los demás, no puede evitarlo. Y cuando llega alguien y le hace ver que no sabe tanto como cree, se rebota y desaparece todo su "buen rollo" y sus buenas formas.
Y yo que pensaba que el SL nos hacía mejores personas...

Anónimo dijo...

a ver si no te vas de fiesta mucho esta noche que mañana a primera hora tienes que terminar de probar un inventillo de esos que llevas para las demos ;)
Nos vemos figura!

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares