martes, septiembre 27, 2011

Tuenti Security Issues (V de V)

************************************************************************************************
- Tuenti Security Issues (I de V)
- Tuenti Security Issues (II de V)
- Tuenti Security Issues (III de V)
- Tuenti Security Issues (IV de V)
- Tuenti Security Issues (V de V)
************************************************************************************************

Aprovechando que ayer publicaron en Security By Default TuentiDump para hacer backup de una cuenta Tuenti una vez comprometida su seguridad, voy a dejar zanjada esta serie dedicada a la red social de los más jóvenes. Como dije al principio, está dedicada a issues de seguridad que siempre pueden mejorarse,  porque la mejora continua de los servicios hace mejor las cosas. Así que, por favor, que nadie se tome esta serie cómo que Tuenti es insegura (aunque me siga pareciendo que lo del SSL tienen que arreglarlo cuanto antes porque abre infinitos vectores de ataque).

Issue 18: Descuidos en IT. Un proxy abierto al exterior

Una de las cosas que más me llamó la atención fue la de descubrir que en una de las direcciones IP de Tuenti había publicado un servidor Proxy que estaba abierto al exterior, lo que abre nuevas posibilidades de conectarse desde fuera a la red interna.

Figura 17: Un proxy al que conectarse desde Internet

El proxy ya está cerrado y tenía cierto control de acceso pero, como puede verse, además daba información de un dominio interno usado por la compañía para su red, lo que ayudaría a buscar cosas dentro en caso de un ataque dirigido. Buscando por Internet, es fácil casi hacerse con el nombre de muchos de los equipos internos de ese dominio, lo que ayuda a tener una visión clara de la red de Tuenti desde fuera.

sw33ext.tuenti.int - sw35ext.tuenti.int [95.131.168.14] -  proxy2.tuenti.int [95.131.171.193] -  sw11ext.tuenti.int [95.131.171.194] -  sw12ext.tuenti.int [95.131.171.195] -  sw3ext.tuenti.int [95.131.171.196] -  sw14int.tuenti.int - sw16ext.tuenti.int - sw10ext.tuenti.int - sw25ext.tuenti.int -sw38ext.tuenti.int - sw17ext.tuenti.int - sw4ext.tuenti.int - sw7ext.tuenti.int - estaticos.tuenti.int - hades.tuenti.int [172.30.0.210]

He puesto los que aparecen en Google en una búsqueda rápida, pero además, una vez vistos los nombres y las direcciones IP es fácil predecir muchos de los que faltan.

Issue 19: Leaks de IT, Admins y Mega-Admins en Tuenti

Una de las tareas que realicé durante esta serie es la de trabajarme un poco la fase de footprinting del dominio. Así, busque direcciones de correo electrónico de miembros de Tuenti, especialmente de miembros que trabajase en IT o personajes públicos, para buscar lo que preguntaban en foros. Así, por las preguntas que realizan y los datos datos que envían en los foros, es posible descubrir cómo está montada la CDN de la red, o qué problemas tenían con los servidores.

Sin embargo, el que más me llamó la atención fue este pedazo de conversación que me envió un lector anónimo y pelirrojo en el que se puede ver quiénes son administradores de Tuenti (espero que no se conecten por redes inseguras a su perfil) y que, además, utilizan la misma red social, pero con alguna visibilidad más privilegiada para administrar las cuentas.

Figura 18: Conversación de admins en tuenti

Quizá falta una política de concienciación mayor entre los empleados de lo que se puede publicar o no sobre la infraestructura y la seguridad de la empresa.

Issue 20: Relación inmadura con los buscadores de vulnerabilidades

He querido dejar para el final este issue, pero no por eso es menos importante, sino al contrario. Durante los dos últimos años he tenido varias conversaciones con distintos expertos en seguridad que han reportado en un momento u otro vulnerabilidades a Tuenti. Todos coinciden en que la relación es muy difícil. Supongo que las empresas tienen que madurar en seguridad para entender que alguien que reporta un fallo de seguridad lo hace con la mejor de las intenciones y que lo último que hay que hacer es responder o tratarle mal. 

Cuando un investigador reporta una vulnerabilidad, las empresas que han madurado estas relaciones, tienen un trato controlado, constante, y agradecido. Así, empresas como Nokia hacen regalos, Facebook paga a los investigadores de seguridad y Apple o Microsoft reconocen el esfuerzo de los investigadores en los parches de seguridad.

Tuenti no hace eso aún. No está maduro en esas relaciones, lo que hace que se estén dejando de reportar vulnerabilidades y pone en mayor riesgo a los usuarios de la red. Sin embargo, tras conversaciones mantenidas con Sebas Muriel de Tuenti, se que es algo que quieren trabajar desde ya, y crear un canal más amable para los investigadores.

Espero de corazón que esta red social siga creciendo, mejorando, y aumentando el número de registrados a nivel mundial, y que, de una vez... alguien me envíe una invitación para sacarme cuenta en Tuenti. 

Saludos Malignos!

************************************************************************************************
- Tuenti Security Issues (I de V)
- Tuenti Security Issues (II de V)
- Tuenti Security Issues (III de V)
- Tuenti Security Issues (IV de V)
- Tuenti Security Issues (V de V)
************************************************************************************************

3 comentarios:

  1. Va en serio lo de pasarte una invitación? Por si acaso... Te he dejado caer una en tu mail de i64

    ResponderEliminar
  2. Comunicado oficial de Anonymous sobre los ultimos ataques a la DGP:

    http://pastehtml.com/view/b8olo9f75.html

    ResponderEliminar
  3. de todas maneras se puede localizar facilmente los rangos en los que trabajan alunas compañias solo echando un vistazo aqui que casualmente aparece tambien tuenti y mucha mas cosas
    ftp://ftp.ripe.net/pub/stats/ripencc/membership/alloclist.txt

    ResponderEliminar