domingo, abril 29, 2007

Date por avisado

Acabo de llamar por teléfono a unos amigos de profesión para avisarles de otros fallos de seguridad.

- ¿Qué pasa Chema? ¿algún problema con la web?¿tiene algo mal?.
- Pues sí, no la he mirado completamente, pero creo que tiene hasta cangrena, es decir, tiene SQL Injection de level 1 (‘or ‘1’=’1) o también llamada “acabo de hacer un curso por correspondencia y ya soy desarrollador de aplicaciones y programo mis propios juegos”, permite manipulación de urls, para que todo lo que uses sea de dominio público, Cross-Site Scripting (XSS) para hacer la web más chula, la cookie no es segura y se puede ver la información de todo el mundo decodificándola y codificándola de nuevo, vamos, que la aplicación está para empezar de nuevo.
- ¡Joder con las prisas!.


Estos compañeros de profesión no me preguntan que andaba haciendo para encontrarlo, ya saben que uno tiene “la mirada sucia” y cada vez que ve un id=1 piensa “¿Tendrá control de errores? ¿Habrá tenido cuidado con el blind sql injection? ¿Tendrá restringidos los privilegios en la base de datos?" Y en cero coma el parámetro recibe una lista de “1’a”, un “-1”, un “1 order by 100--“, “1 and 1=1”, “; shutdown--“, no, este último no, que si rula iba a ser “muy gracioso”.

No avisas a todo el mundo, primero porque algunos se enfadan y en segundo lugar porque te pasarías todo el día enviando correos y dando explicaciones. Muchas veces no persigues el fallo hasta el final, ves que has puesto una tontería y la aplicación ha petado y ya intuyes el final, pero no lo buscas, cuando ya has hecho tantas no tiene la misma gracia que la primera vez.

Recuerdo aquella noche, fue con la web del Atlético de Madrid, estaba entonces en segunda división y yo estuve sin dormir dos noches esperando que llegaran los GEOS por la ventana. Después le hice la demo en un curso al que la había desarrollado. ¡Y me lo agradeció!

Ahora, con la entrada del nuevo código penal esto va a ser un delito de los serios, así que, habrá que dejar de hacerlo. Esto ¿qué va a conllevar? Pues en primer lugar que se acabó el avisar (salvo a los ya amigos), porque si lo haces ya eres oficialmente un phosquito, en segundo lugar sucederá que como nadie avisa, pues nadie se entera… hasta que sea demasiado tarde y a alguien le parece más gracioso usar tu servidor para realizar ataques de phising, controlar botnets o atacar a otros sitios.

¡Todo diversión! Te levantas por la mañana y te encuentras en la web unas calaveras con sus tibias y todo, bien decoradita, con musiquita y eso para amenizar la visita, te dan de alta en zone-h y eres la diversión del sector de negocio. ¡El alma de la fiesta! Si no les da por borrarte una base de datos de esas que se usan para gestionar la pasta o te roban los datos personales de algunos clientes y te cae una pequeñita multa de la LOPD o que se yo, igual dejan de comprar a través de tu web los clientes.

¿Esta medida frenará las intrusiones? La verdad es que bajo mi entender no. Si alguien quiere hacer algo malo, y sabe como hacerlo también va a saber utilizar los sistemas de anonimato, desde utilizar la wireless de ese vecino confiado que la tiene totalmente abierta con su SSID del tipo “Wireless_Juanito” (tranquilo Silverhack, no es la tuya) que vive feliz bajo el lema “¿A mi quién me va a atacar?” o el que tiene el primo del sobrino de su cuñado como experto tecnicoless y le configura WEP en la wifi porque con la distro que le ha puesto no funciona WPA, o ese cibercafé en la esquina de la calle, o ese hotel, aeropuerto, etc… con ese servicio wifi tan cercano, o esa conexión a través de un Proxy anónimo de los miles que se publican en http://www.samair.ru/proxy, que además puedes usar multiplexados con multiproxy, o el servicio de anonimato que ofrecen empresas como Anonymizer, o las redes TOR (The Onion Routing), no, estas no, que dicen que ahora entregan se pueden rastrear por logs, mmmm, ¿será fácil conseguirlos de verdad?.

Así que, sirva este texto para avisarte: Tu web puede que no sea segura. Piensa, si los ingenieros de Oracle, de Microsoft, de Google cometen fallos de seguridad, ¿tus desarrolladores no cometerán fallos o tus desarrollos son perfectos? Tal vez no, tal vez sí. ¿Le has pasado tu web a alguien que tenga la mirada sucia? No habrás publicado una aplicación web conectada a una base de datos donde convivan otros datos delicados del negocio sin haberle hecho un test de intrusión, ¿verdad? Hay que ser responsable con los activos de la compañía, ¿no? ¿Seguro?

Date por Avisado.

Publicado en Windows Ti Magazine número 119 Abril 2007
Date por Avisado

14 comentarios:

Anónimo dijo...

Tienes toda la razón. Lo único que conseguirán será que haya más "puertas abiertas", pues no se puede avisar a nadie!!no vaya a ser...

Anónimo dijo...

En definitiva: "Si lo haces malo y si no pero".

House: episodio 5, primera temporada.

Gangrolf dijo...

Bueno Chema, míralo por el que puede ser el lado bueno, si no se puede hacer hacking ético, y todo el que se haga es no-ético, si se disparara un poco la alarma entre las empresas por que se reiventan muchas webs, igual la seguridad se empieza a tener un poco mas en cuenta como una profesión seria y no como esa parte del proyecto que es incómoda y nunca cabe.

Anónimo dijo...

Chema, estaba yo jugando con una web, he leído tu post y me has cortado todo el punto :P

FilE dijo...

Y ahora como voy a aprender yo... :(

ya no podre practicar con las webs de mis amigos...

PD:¿hasta cuando tenemos de plazo, para dejar de practicar?

Anónimo dijo...

Chema, puedes divertirte un poco con los formularios de consulta del antiguo callejero de Málaga...

La mismísima Real Academia Española de la Lengua...

O la ínclita SGAE.

El Bruno dijo...

lo q mas miedo da, es lo q comentas relacionado a q a partir de ahora con la nueva ley, avisar este tipo de "cosas" es delito.
Basicamente, si veo a una señora que esta por cruzar la calle con un semaforo en rojo y vienen 3 camiones (de los MACs, de los grossos); mejor me callo. No vaya a ser q por avisar, me echen la culpa :S

Interesante :D

Chema Alonso dijo...

Joder!

como está el patio!. Por favor, avisad a todas esas "empresas" a ver si arreglan las webs.

Anónimo dijo...

Pues si te aburres, avisame yo te dejare que eches un ojo a mi web ;).

Saludos

Chema Alonso dijo...

Yo que tú no pondrí tu url por estos lares... ;)... no vaya a ser que la confundan con el III Reto Hacking del mes que viene.

Saludos Acidsnazz.

Anónimo dijo...

JAJAJAJA no la pondre, vamos a no se que alla tenido un momento de delirum tramanes no la he puesto. pero vamos. a lo mejor me reiria un rato viendo a los mega super hiper desarrolladores guays.

Anónimo dijo...

joder esto de lleva un par de dias casi sin dormir esta afectando mis dotes de escritura

f0n dijo...

jajaja que puntazo ha sido eso chema.

Linkado :)

Anónimo dijo...

Pues yo bordes bordes no he tenido, caso omiso, unos cuantos. Pero el que más recuerdo fue cuando reporté un fallito de sql injection a eventid (gran pagina) y me regalaron una suscripción durante un año ;P

Saludos

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares