miércoles, febrero 23, 2011

Balada triste de The Sur

Esta historia que os voy a contar viene a raíz de una pregunta que recibo muchas veces que viene a decir algo como “He encontrado este bug, ¿pasará algo si les aviso?”. De esto ya publique mis opiniones a cómo reportar un bug en una web e incluso porque no aviso siempre sobre todo en webs que viene con el full-ekip. Ya sabéis que con la entrada del nuevo código penal esto se pone mucho más divertido, pero esta aventura comenzó tiempo cuando un joven aficionado a la seguridad informática iba a terminar el módulo de formación profesional y tenía que buscar una empresa donde hacer las prácticas.

Nuestro joven entusiasta tenía conocimiento de una empresa de su ciudad de Huelva donde, otros años, antiguos alumnos del centro donde él cursaba sus estudios habían realizado las prácticas y le parecía un buen sitio para realizar las suyas. Sin embargo, la asignación de empresas se realizaría por sorteo, por lo que sus probabilidades de ir allí no dependían ni de sus ganas ni de sus habilidades con la informática.

Es sabido por muchos que, la realización de las prácticas en una empresa al acabar la formación académica, puede significar una oportunidad laboral, por lo que él decidió echarle un ojo a la seguridad de la web a ver si podía decantar las probabilidades de ir a esa empresa a su favor, de alguna forma similar a como yo conseguí mis prácticas de objeción de conciencia.

El caso es que no le fue muy difícil a nuestro joven cerebro encontrar un bonito bug en la web del que, con la esperanza de ganar puntos, decidió alertar por correo electrónico a los administradores web.

Entusiasmado y excitado – me lo puedo imaginar después de llevar trabajando con él camino de dos años – nuestro joven protagonista se llevó una decepción cuando al cabo de los días no hubo recibido ninguna respuesta desde la empresa. Llevado por la emoción, tal vez el nerviosismo, o la inexperiencia, Manu decidió enviarles alguna prueba más evidente en otro segundo correo porque… “a lo mejor no han entendido la importancia de esta vulnerabilidad”.

Así, nuestro amigo The_Sur, decidió utilizar la vulnerabilidad para extraer una bonita SAM de uno de los servidores que envió adjunta en un nuevo mensaje de correo electrónico alertando, por segunda vez, de este “agujerillo” de seguridad con la esperanza, no lo olvidéis, de acabar haciendo las prácticas de Formación Profesional en esa empresa.

Al final, la historia termino, no solo con que no obtuvo las bonitas prácticas, sino con la llegada de la Guardia Civil a su casa, la incautación de todo su equipamiento informático y una bonita denuncia que le llevó a un juicio donde le reclaman – aún está la cosa coleando años después – la bonita suma de 20.000 €.

Con el susto en el cuerpo y la camisa que no le llegaba al cuello, decidió ponerse en contacto conmigo para ver si le podía echar un cable. Gracias a eso pude conocer a un tipo genial, brillante y buena gente, que al final acabó trabajando en mi equipo, a pesar de que le pude ayudar más bien poco.

Por si alguien ha creído ver una moraleja subliminal de que yo le abduje para mi equipo porque se había colado en una web para sacar una SAM he de decir que no fue por eso – algún día os cuento qué es lo que fue – y la verdadera experiencia de esta historia es que, mientras que no haya algo similar al tema de hackers.txt, en el que seguimos trabajando, si reportas una vulnerabilidad de seguridad como ésta, más te vale hacerlo por canales oficiales conocidos.

Saludos Malignos!

12 comentarios:

  1. A mi me paso algo parecido hace tiempo, pero nadie toco mi puerta (gracias a dios).


    A dia de hoy, la vuln. sigue operativa, y cada más gorda... asi que ellos verán.


    Por cierto, muy buen trabajo el generador de botnets de The Sur, estoy trabajando en unas modificaciones que seguro le interesan.


    Un saludo!!

    ResponderEliminar
  2. No se si pasará en el resto de países, pero se demuestra la necesidad de profesionalizar el sector en España. Aunque también la bajeza moral y las ganas de permanecer en la mediocridad y "salvar mi culo a toda consta" de los responsables de IT.
    Aquí no se firma ni un puñetero proyecto.

    En cualquier caso, efectivamente, de la misma manera que colarte en el metro es ilegal aunque las puertas estén abiertas, penetrar a un sistema ajeno también. Así que mejor denunciarles directamente por dejadez y dejarse las puertas abiertas si hay información sensible de terceros.

    Y por supuesto, fuera de Hispania boil beans también...

    ResponderEliminar
  3. puuff que marrón... cada vez me dan más miedo estas cosas, pero joder si les envías las pruebas del bug será para que las corrijan, con un "gracias" nos quedamos conformes, pero no para que te denuncien ¿quién está más loco? Solo me dieron las gracias una vez y de buenas maneras, las demás totalmente pasaron del tema y muchas siguen con unos hormigueros enormes. Me veo que terminaré dejando la informática no solo por estar tan mal valorada si no por evitarme problemas.

    Saludos!

    ResponderEliminar
  4. Yo hace tiempo también tuve algo parecido a lo que le pasó al prota de la historia, y aunque nadie vino a mi casa todavía tengo el susto en el cuerpo.

    De todos modos, en el fondo el mundo de la seguridad es tan poco profesional, por el mero hecho de que son cuatro colegas que se tapan el culo unos a otros.

    Siempre los mismos cansinos en las charlas, y siempre el mismo peloteo, un poco de sangre fresca no vendría mal.

    ResponderEliminar
  5. Me parece vergonzoso cuanto menos. Vamos, que si en lugar de avisarles por correo explotas la vulnerabilidad se la puedes liar bien gorda. Y en vez de eso, seguramente para no quedar mal delante del jefe y admitir la metedura de pata, lo denuncian.

    Para algunas cosas, la mentalidad en España es lamentable. No quiero pensar si me llega a pasar a mí, ilusionado por haber sido capaz de encontrarla y que te respondan con 20000€ de multa por intentar ayudar xD.

    Aunque haga ya dos años de esto, sorry Manu. Mírale el único lado bueno, acabaste en el Soctano :)

    ResponderEliminar
  6. Ya ves lo que son "las cosas" lo que han ganado con la ley esa esque muchas buenas "miradas sucias" queden solo en miradas, pudiendo haberse convertido en avisos..

    Tendrá que abrirse un Webbugleaks, para que la gente reporte ahí las vulnerabilidades de las aplicaciones sin miedo (o con menos miedo)

    Un saludo!

    ResponderEliminar
  7. Disculpen la mala onda pero... este chico "Manu" (que no tengo el placer de conocer)... digamos... se lo tiene merecido :P

    Si mi vecino tiene rota la ventanilla del auto, corresponde que le avise. Si le aviso y no me hace ni puto caso, pues problema de mi vecino. Pero si para "demostrar la vulnerabilidad" le robo el auto, ¡termino preso! Y esta bien que sea asi, ademas.

    Coincido con Gangrolf, si encuentras un bug de seguridad y hay datos sensibles (especialmente si estan los tuyos y la vulnerabilidad te perjudica personalmente) lo que corresponde es, tras advertirles y que no te escuchen, hacerles una denuncia por negligencia. Hackearlos como "venganza" por no escucharte no deberia ser nunca una opcion.

    ResponderEliminar
  8. Joder, justo me ha pasado a mí esto hace poco pero por lo menos no he tenido ninguna consecuencia, pero tampoco ninguna respuesta.

    Lo mejor de todo es que la empresa ofrece servicios de auditoria informática y bla bla bla, y tienen un fallo web como una catedral.

    Les escribí un mail a la atención de la dirección técnica y todavía no he tenido respuesta, ni obtendré creo yo...

    ResponderEliminar
  9. La Guardia Civil detuvo primero a la madre en su centro de trabajo. No esperaron ni a que terminara la clase, que aún recuerdo era de Parménides. El teléfono a su nombre era la clave.
    La incautación del equipamiento informático fue muy amplia: portátil, ordenador, discos duros, cámara fotográfica, teléfono, tarjetas de antiguos teléfonos, papeles, apuntes, discos… hasta querían llevar un libro de Java que estaba estudiando en aquel momento.
    En un papel estaba apuntada la dirección de este blog y uno de ellos dijo en alto “un informático al lado del mal… ¿conoces ese blog?”. Creí morirme al oír eso del mal y les pregunte si eso era muy malo. Para mi tranquilidad la respuesta fue “no, ese es de los buenos”.
    Desde ese mismo día leo tu blog a diario.
    Luci
    PD gracias por el calendario tórrido :)

    ResponderEliminar
  10. Es más divertido aún cuando encuentras un gujero en la web de algún cuerpo de seguridad público y al cabo de meses sigue igual aún habíendolo reportado y habíendo recibido como respuesta un: "Gracias, lo hemos reenviado al departamento correspondiente"...

    No pienso volver a probar si sigue ahí (ya ni me acuerdo de dónde estaba), ya que ahora es delito, si un día pasa una desgracia... se jodan, me reiré un rato.

    ResponderEliminar
  11. Cyberdardanio24/2/11 6:50 p. m.

    Es bastante triste pensar que hay gente que puede comprender tan poco lo importante que son algunas cosas, y que encima tengan la poca vergüenza de denunciar a alguien que les ha enseñado un error de su web para así evitar que nadie les hiciese un daño económico...
    Lo dicho, muy triste, ya no por el desconocimiento informático sino por la mala fe.

    Un saludo.

    ResponderEliminar
  12. Julián Sotos24/2/11 9:48 p. m.

    Ojito con lo que se hace, puesto que con el nuevo código penal en España, el hacer todo esto y mucho menos te puede meter en un auténtico lio.......

    ResponderEliminar