sábado, junio 21, 2008

Agua pasada no mueve molino

Hola amig@s de sabado,

llevo un rato batiendome entre la dualidad de publicar ciertas cosas o no y que me he bloqueado. Así que me molaría saber vuestra opinión, (si os da la gana, claro está). El caso es que desde hace tiempo he ido guardando capturas y pequeños tutoriales sobre como cepillarse algunas páginas web. Todas esas páginas las he ido enseñando de una u otra forma a lo largo del tiempo.

Algunas de ellas, ya no están y como en el caso de la del Futbol Club Barcelona "se perderán como una lagrima entre la lluvia" ya que no guardé capturas, pero de otras muchas tengo el step by step de qué se podía hacer y cómo. En muchos casos estas webs siguen rotas o inseguras.

En muchos de los casos estos fallos han sido los catalizadores de los Retos Hacking (habrá uno en Julio...) y han sido totalmente didácticos para nosotros encontrarnos con ellos. Y por eso creo que quedaría muy bien enseñarlos. Por otro lado, son técnicas que ya he explicado ampliamente en el blog y no aportan muchas cosas nuevas desde el punto técnico.

Yo las tengo guardadas y las repaso de vez en cuando para acordarme de ellos, porque cómo soy un puto desastre me olvido de los sitios, los lugares y cómo se hacía.

En fin, ¿creéis que os aportaría algo ver los cucharones, los blind sql injection, los XSS, los SQL Injection, los LDAP Injection en sitios dónde estaban?

Saludos Malignos!

40 comentarios:

  1. Chema,

    No lo hagas.

    Estoy de acuerdo con que cualquiera que se moleste en leer un poquito, etc. puede tumbarlas o "hacer el mal". Pero una cosa es que alguien con ganas de aprender lo haga. Otra es que un script kiddie lo haga. Otra muy distinta es que otro que no llega ni a script kiddie se ponga a hacer el cabrón contra las páginas que vayas publicando siguiendo un step by step.

    Me imagino que te habrás asesorado legalmente para no meter la pata pero en cualquier caso, como bien sabes, estarías bordeando el límite de la ley.

    Mi sincero consejo es que NO lo hagas. El que quiera peces que se moje el culo.

    Un saludo,
    Pedro(ptarra)

    ResponderEliminar
  2. Buenas,

    mm por un lado creo que lo que pedro ha dicho es cierto, pero dudo que un script kiddie consiga hacer algo con las páginas que Chema ponga, además creo que sería una buena forma de aprender.

    Aunque es cierto que tiene su peligro.

    salu2

    ResponderEliminar
  3. Holas!

    hablo de sitios que ya están corregidos, que ya NO son vulnerables a los fallos, no se podrá hacer nada con la info.

    Saludos!

    ResponderEliminar
  4. @Maligno:

    Lo de la página del Barcelona viene de largo, yo lo comprobé hace bastantes años ya, tenían el iis 4 con el problema del htr y el puerto 1433 abierto, osea que toda su bd al aire... se podía publicar noticias, cambiar fotos, bueno, de todo claro...

    Sobre todo esto informé en su día al admin de la web (soy del Barça...) y como era de esperar no recibí respuesta alguna, no me importa que este tipo de cosas no se le agradezca a la gente, ya que en realidad esto lo hacemos sin que nos lo pidan...

    Lo que no esperaba es que no hiciesen absolutamente nada para repararlo... ni tan solo cerrar puertos...

    Así pues, quizá tendría que haber utilizado la táctica del gusano, no es que yo me convierta en un capullo y luego en una mariposa... sino decírselo a cuanta más gente mejor para que así al final se tengan que actualizar, corregir, cambiar, etc.

    Quizá esa es la mejor manera de que aprendan... o no.

    ResponderEliminar
  5. Soy un newbie y me encantaria ver tutoriales y step by step de las distintas tecnicas.

    Me parece que las capturas de pantalla (y los videos) aunados a las explicaciones que pones en otros lugares, serian muy instruccionales.

    Ojala que te decidas a incorporarlas maligno.

    Salu2

    ResponderEliminar
  6. Estoy empezando en este mundillo y me gustaria ver un ataque "en real".

    Hazlo!!!

    ResponderEliminar
  7. Buenas!

    Si tal y como dice Chema, ya están corregidas, no creo que sea mala idea que se publique un tutorial con fines didácticos. Se supone que lo interesante es aprender, luego que cada uno le dé el uso que quiera, pues para eso hay "gente pa tó". Creo que ya somos grandecitos para saber lo que está bien o no.

    Saludos :-)

    ResponderEliminar
  8. UUUFFF,
    Menudo dilema.

    Me imagino que esas webs siguen vivitas y coleando y si un tercero les hace daño en el futuro, alguien podría decir que con la "ayuda" del maligno...lio asegurado.

    1-Ten en cuenta que en este mundillo hay mucha gente con ganas de presumir ante sus amigos pero sin ganas de estudiar por su cuenta.

    2-Todas las webs tienen sus enemigos naturales: la competencia, los clientes rebotados, los seguidores de equipos contrarios, etc. etc.

    3-En cuanto haya un perjudicado buscarán un culpable y puedes ser la cabeza de turco.

    Pienso que se puede hacer algo parecido de una forma más participativa aunque con algo más de trabajo.

    Por ejemplo, entre todos los lectores del blog puede haber un grupo de confianza que se ofrezca a ayudarte.

    Con un PC con su IP pública se pueden simular con otro aspecto esas web-s con problemas. Se podrían reproducir las vulnerabilidades y publicar la forma de explotarlos.

    La gente podría aprender contra esas web-s y los ayudantes con un terminal remoto, dameware o similar podrían volver a levantarlas y restaurar la situación inicial.

    Como todos los entornos a la vez no son posibles, esos mismos ayudantes se encargarían de ir rotando las pruebas en los casos en que sea posible hacerlo remotamente.

    No se, es una idea como otra cualquiera. Para poder hacer este tipo de cosas tienes que aprender a delegar ya que uno sólo no puede.

    Saludos,

    ResponderEliminar
  9. No lo hagas Chema, que se jodan, aparte de que no lo pudiesen usar el que coge la "mala" fama es el que publica como joder a otros..mejor sal y emborráchate que igual hasta ligas algo xD

    ResponderEliminar
  10. Dios que dilema...

    No creo que le puedan hacer nada, pq yo he comprobado ya que no se puede hacer lo que se podía hacer, pero .... poner aquí decenas de webs con técnicas similares lo único que tendrá es la gracia y el morbo de verlo en determinadas webs conocidas...

    ¿Me estaré haciendo mayor que me como la cabeza ya por estas cosas?

    ResponderEliminar
  11. Aunque me encantaría ver esos step-by-step sobre todo si ya están corregidos, creo que por otro lado te recomendaría que NO los publicaras, ya que corres el peligro de que mucho novatillo los use para repetirlos sistematicamente contra otras webs, y creo que eso no te gustaría.

    Como resumen, NO lo hagas.

    ResponderEliminar
  12. ¿El saber hacerlo nos hace responsables? Supongo que hacer un Blind SQL Injection una vez que sabes como va es trivial. Pero cuando uno sabe hacerlo no es más responsable (muchos ataques son realizados por gente que sabe). Ser novato no te hace que vayas a ser malo, ¿no?

    ResponderEliminar
  13. Haz lo que consideres, pero...

    En caso de duda no lo hagas.

    Si lo haces indica en la misma página bien clarinete que la cosa ya está corregida y sólo lo publicas para que ningún otro profesional cometa el mismo error. Vamos, la verdad pero explicitamente escrita.

    Si alguien quiere acusarte de algo y aporta como prueba pantallazos tendrá que comerse ese mismo parrafo que te absuelve.

    ResponderEliminar
  14. Yo creo que si, pero sólo por llevar la contraria eh!.
    Saludos Malignos!

    ResponderEliminar
  15. @Maligno:
    Yo diría que la respuesta es clara:

    No, más que nada por la mayoría de comentarios tipo "me gustaría ver un ataque en real", creo que explicar la teoría, hacer retos hacking (explicando las soluciones), incluso mostrar capturas de según que errores y explicarlo con todo lujo de detalles es más que suficiente.

    Si publicases casos reales no verás comentarios mejorando la técnica ni nuevas formas de explotar el error, ni nada parecido, sólo verás cosas como: "Qué way! hoy mismo voy a buscar agujeros similares en todas las páginas que conozco."

    Y recuerda que una vez publicas algo queda como una gran losa inamovible en internet... :)

    Así que si esto es un POLL! i say no.

    ResponderEliminar
  16. Mas bien, yo diría que no lo hagas.

    Saludos Infernales.

    ResponderEliminar
  17. @anonimillo
    Definitivamente tienes razón, el que quiera tener esa información de una forma más clara que aprenda la lengua de Shaskpeare que por lo visto es más extendida en la tierra (o es el chino?) y se trage todo con un buen diccionario en la mano (bendito google translator) recorriendo los blogs, viendo videotutoriales de lengua inglesa exigiendo más esfuerzo y tiempo (cosas que ya no sabe uno de donde sacarlas) para tener un nivel medianamente decente. después dicen que España en tecnología va atrasada...
    Un saludo

    ResponderEliminar
  18. Si están corregidos los bugs creo que estaría bien.

    ResponderEliminar
  19. Veo que hay mucha gente que no está de acuerdo en publicarlo. @pedro dicen que "el que quiera peces que se moje el culo" y un anónimo que el que quiera aprender que se lo curre él mismo. Veo que hay más que están en esa línea.

    Creo que este razonamiento es totalmente incompatible con este blog. No tiene sentido porque uno de los aspectos es el didáctico. Como ejemplo el último tutorial de LDAP. De la forma anterior de razonar, tampoco se debería haber publicado ni ese tutorial, ni ninguno de los anteriores.

    El único impedimento que veo es el legal. Si sabes que no tendrás problemas, yo diría adelante.

    Veo todo esto como cuando estudiaba. Primero veía la teoría. Después trataba de hacer los ejercicios (el símil serían los retos hacking). Y por último hacía exámenes de otras convocatorias. Los exámenes serían parecido a problemas reales de webs. Por eso yo te animo a que los publiques siempre que no te metas en líos legales.

    Y para los que dicen que es una información que puede ser usada para hacer "daño". No publicarlo no sería algo parecido a "seguridad por oscuridad". Además, el que quiere joder a alguien, seguro que no le resulta complejo en Internet encontrar información de unas cuantas técnicas.

    ResponderEliminar
  20. Yo soy el último anónimo, que se me olvidó poner el nombre.

    ResponderEliminar
  21. si porque posibles personas puedan llegar a hacer mal con la info que publiques entonces mejor no publiques nunca nada no vaya a ser que digan que han aprendido de ti.
    Ademas si ya estan corregidos los fallos no entiendo que problema hay. Quizas se podría ocultar los nombres de dominio y logos de las web para que queden 'irreconocibles' no?

    para gente como yo que somos nuevos nos viene muy bien para aprender y mas o menos todo el mundo sabe lo que uno puede hacer y lo que no.
    Pero bueno todo queda en tus manos, si crees que puede haber repercusiones no lo hagas!aunque dudo que las haya

    Un saludo

    ResponderEliminar
  22. Yo personalmente lo que haria seria hablar con los responsables del sitio web, asegurar que el problema está solucionado (por lo que dices ya lo está) y si ellos quieren, publicarlo.
    Esto no es EEUU, pero supongo que si una empresa queda delatada por dar un mal servicio en el pasado no le hará gracia y no se si podria haber alguna demanda por mala imagen o algo así.
    Por la parte de los scripts kiddies... bien, si: Podria ser que alguno intentase repetir esos ataques en bateria, pero ese es su riesgo.

    ResponderEliminar
  23. Cuanto tiempo sin escribirte, aunque te leo todos los dias...A ver...Acabas de preparar una batalla similar a Windows-Linux XD.

    Ahora en serio, a mi personalmente me encantaría acceder a esa información, ya que soy un aprendiz (llevo ya seis meses enganchado al lado del mal), aprendo como puedo (y con tu ayuda, aunque imagino que ya lo sabrás) y me vendría muy bien ver ejemplos reales de ataques, pero no me parece buena idea que lo hagas público, aunque las paginas ya no sean vulnerables hay mucho script kiddie que aplicará ese step by step a otras páginas y seguro que acaba encontrando una página vulnerable.

    Respecto a los newbies que quieran aprender lo único que os puedo decir es que leáis manuales (creo que es mejor aprender de un manual en plan genérico, que de un ejemplo especifico), de esta pagina o de otras, hay cientos pululando por internet, pero no hay mayor satisfacción, por lo menos para mi, que enfrentarse a un reto hacking y acabar encontrando el agujero de seguridad y pensar que no he echo un copy-paste de un ejemplo de tal pagina, si no que he aplicado tal ataque con una pequeña variación por que tal o por que cual...y ya de paso aprender sobre la marcha como explotarle y acabar en el hall of fame.

    En resumen, para los vagos que no lean mi comentario entero :P mi opinion es NO.

    ResponderEliminar
  24. Como dices si los sitios estan corregidos yo las publicaria... para zopencos como yo el tener más ejemplos nos puede ayudar a entender y ver nuevas formas de trabajo...

    ahora que tu mandas, tu decides...

    ResponderEliminar
  25. Si lo haces, sé discreto en formas y contenido, esa es mi opinión.

    Saludos!

    ResponderEliminar
  26. Bueno, he leido muchas opiniones al respecto, y os agradezco todos los consejos. Creo que uno de los documentos que más me gustó leer fue el de rpf, (el primero que habló de SQL Injection hace ya casi 10 años) que se titulaba:

    How i hacked PacketStorm

    El documento me enseñó mucho y no creo que sea malo si el sitio está corregido, pero... entiendo las otras opiniones.

    Seguiré pensando en ello.

    Saludos!

    ResponderEliminar
  27. Hola informático en el lado del mal,

    IMHO yo propondría un "reto hacking" y quien lo supere gane derecho al acceso del tutorial (y si el reto es la misma técnica usada en el tutorial mejor que mejor).
    Y de más fácil a más dificil tmb.

    Aunque tampoco le veo nada de malo publicarlas directamente, si ya han corregido el fallo que más da.

    Pero lo del reto me hace más gracia jejej

    Saludos malignos!

    ResponderEliminar
  28. Hombre Maligno, si son de sitios ya parcheados yo creo que no hay ningún problema. Yo si tuviera en mis manos eso me pasaría lo mismo, no sabría si publicarlo o no, es un dilema muy grande.

    No se, en parte apetece que lo publiques para ver ciertas cosas en real, pero que este post haya conseguido 28 comentarios parece un poco que la gente solo te quiere cuando haces cosas malas??

    Hoy no duermes ni de coña jaja!!!

    ResponderEliminar
  29. SI están ya parcheadas y SI no te importa que algún webmaster o informático de turno se te cabree (es lo máximo que podría pasar), publica.

    Legalmente no deberías de tener ningún problema.

    -r

    ResponderEliminar
  30. @romansoft, ya me conoces, nunca quiero que se enfade nadie, pero algunas veces se enfadan.... y esa noche no duermo...

    ResponderEliminar
  31. Maligno, te propongo una tercera vía.

    Publicalo pero con condiciones, la primera como has comentado que sólo sea sobre sitios ya parcheados y la segunda que tenga un periodo de carencia, es decir, si es sobre una vulnerabilidad ya parcheada de principios del 2008, pues hasta mediados del 2009 no lo publiques, un año y medio de margen (según creas) por dos razones:
    a)me parecen impresentables los admin que se duermen en los laureles y pasan de la seguridad como el caso del FCB o tantos otros, será un aliciente para que espabilen...
    b)los que quieran solo fastidiar y no aprender, quedaran neutralizados con este periodo de carencia.

    Y así todos contentos, por un lado potenciamos la conciencia de seguridad en este país (que es casi nula) y aprendemos por el otro lado.

    Saludos.

    ResponderEliminar
  32. creo que te has respondido a tí mismo con esto que has dicho: "poner aquí decenas de webs con técnicas similares lo único que tendrá es la gracia y el morbo de verlo en determinadas webs conocidas..."

    si es así, no lo hagas, sería tomatero

    mola lo que te ha propuesto Mikelats "...simular con otro aspecto esas web-s con problemas. Se podrían reproducir las vulnerabilidades y publicar la forma de explotarlos...
    "

    besos

    ResponderEliminar
  33. Mi consejo...

    Si no vas a mostrar nada nuevo no publiques. Ya tu mismo lo dijiste, lo unico que añadirias es el morbo.
    Para aquellos que dicen de aprender... realmente aprenderiais algo de ver que la web de paquito pascual tiene tal fallo? El como hacer, que es lo realmente importante, ya lo has explicado en este mismo blog a tus lectores.

    ResponderEliminar
  34. me gusta la idea de duck, que quien supere el proximo reto se gane el derecho a acceder a esos tutoriales, se supone que esa gente sabe lo que hace, y la responsabilidad ya corre de su cuenta, no?

    ResponderEliminar
  35. Yo creo que deberiais prohibir los DVDeses porque hay gente que creo que graba una cosa muy feita que se llama porno en ellos.
    Ahora en serio. Yo sí lo publicaría si pudiese, aprender no es malo, además no se hacen cursos que hay que pagar para aprender esas técnicas para luego poder defenderse de ellas?

    ResponderEliminar
  36. Yo creo que podrias publicar la de paginas que ya no existan, o que no hallan corregido el error, asi podemos ver como se utilizan las tecnicas y no te metes (ni se meten) en lios por publicar fallos existentes en estos momentos

    Un Saludo.

    ResponderEliminar
  37. Para la gente que empezamos, es un poco dificil al principio. Esta claro que lo principal en este mundillo es el auto aprendidaje, y tu propio afan por aprender cosas nuevas. Pero cuando alguien te habla de una tecnica y te enseña 4 cosas y tu te lees otras 4 tienes el concepto pero es dificil aplicarlo. Un step by step esta claro que ayudaria. El tema de publicarlo supongo que puede dar problemas. Y si lo mandas al correo a quien te lo solicite?? Es una sugerencia

    Yo intento hacerme una carrera en el mundo de la seguridad (estoy empezando) y me parece que hay mucho por abarcar y por aprender. una ayudita nunca viene mal. Leyendo este foro se aprende y te echas unas risas, ya con las guias paso a paso estaria completisimo XD

    Saludos :)

    ResponderEliminar
  38. Hola Chema,

    Te conozco de asistir a varios seminarios de los que impartes y comprendo que tengas dudas sobre poner los enlaces o no, pero tienes que tener en cuenta, que aunque se pueda hacer daño con ello, es muy util para mucha gente.

    Trabajo en una empresa de programacion de paginas web, y hace años estabamos pez (ahora un pelin menos) en cuestion de seguridad, y gracias al ejemplo que nos pusiste de sql injection en la pagina del barsa, revisamos nuestras webs y encontramos muuuchas cosas que corregir.

    Ahora nos encontramos buscando posibles agujeros, y solo los encontramos cuando vemos de que ingeniosa manera han entrado en algun otro lugar.

    Por ello yo te aconsejaria/rogaria, que si informes de sitios y tacticas habituales para acceder a webs, etc.. ya que es la mejor herramienta que tenemos muchos para no cometer esos errores.

    Un saludo y gracias.

    ResponderEliminar