sábado, septiembre 15, 2012

Pull the Plug: Bureaucratic Denial Of Service (4 de 4)

Tras acabar de realizar la petición, como se vio en el apartado anterior, se generará un expediente de baja que habrá que validar. Para ello nos llegará un correo electrónico - al que correo que hemos dado alta  en la petición - con el proceso a seguir, junto con un formulario que habrá que rellenar. Una vez cumplimentado hay que enviarlo, junto con una fotocopia del D.N.I., a la dirección que nos facilitan.

Figura 17: el e-mail de confirmación de la solicitud

Por lo tanto, como podéis observar, de una forma tremendamente sencilla es posible crear en el sistema un expediente de destrucción de dominio y ocultar, al administrador, todo el proceso.

Validación de la solicitud de baja

Una vez obtenidos los datos de la cuenta objetivo y cursado la solicitud de baja en su nombre, la mayoría de los registradores nos requerirán una serie de documentos que acrediten nuestra identidad - aunque, por ejemplo, en el caso de 1&1 no sea necesario, activándose en el momento en que se cursa -. Gracias a los datos obtenidos en el ataque al sistema de gestión de facturas, o incluso si basta con los datos que se pueden obtener acerca del propietario del dominio por medio de Whois o la web, donde la gente no solo publica sus pasaportes sino también sus D.N.I.s,  podremos ser capaces de generar los documentos que nos requieran y, por tanto, validar la solicitud de baja.

Figura 18: Formulario que hay que rellenar para confirmar el "Pull the plug"

Hace unos años todo intercambio que requiriese, por ejemplo, la fotocopia del D.N.I, de una persona se gestionaba a través de correo ordinario y fax. Esto no es un gran problema siempre y cuando la empresa en la que tiene contratados los dominios se encuentre en tu mismo país. Gracias a que actualmente se ha migrado al contacto a través de correo electrónico, se ha deslocalizado el ataque además de facilitar en gran medida la falsificación de los documentos solicitados.

Figura 19: Resultados de búsqueda DNI en Google Images

En el caso que nos ocupa (OVH), cabe destacar que todo el proceso se realiza a través de correo electrónico y, los únicos documentos que se requieren son: la solicitud de baja rellenada y una fotocopia del D.N.I. del propietario que figura en la misma. Si bien ya de entrada es un proceso que puede ser explotado fácilmente, pero si a eso le añadimos que en la mayoría de los casos OVH no tiene por qué tener una fotocopia del D.N.I. ya que no se solicita y por lo tanto sólo tendrá los datos de facturación, podemos falsificarlo fácilmente y, aprovechándonos de que el proceso es electrónico, no tendremos que poner ningún cuidado en ello.

Figura 20: Falsificación de D.N.I. con Photoshop

Para validar la solicitud basta con responder al e-mail de confirmación de la solicitud de baja adjuntando ambos documentos y, esperar entre una y dos semanas a recibir el email de confirmación de la baja del servicio y la destrucción de cualquier dato asociado al mismo, exceptuando aquellos que obligue a almacenar la legislación correspondiente.

Figura 21: Confirmación del "Pull the Plug". Todo en regla.

Conclusiones

Al final, uniendo varias vulnerabilidades lógicas en el proceso de gestión de ordenes, algunos fallos de libro en la seguridad de una aplicación web, era posible solicitar la baja de un dominio, como se ha visto en este ejemplo, pero el ataque podría haber sido mucho peor, ya que controlar el DNS permite controlar todos los servicios que dependen de él.

Figura 22: Ataque David Hasselhoff a un dominio
Por supuesto, uno de los ejemplos más graciosos en el control del DNS, es que puede permitir que un "amigo" te haga un defacement con un ataque David Hasselhoff con todo el amor del mundo.

OVH fue avisado de estas vulnerabilidades antes de publicar este artículo, y a día de hoy (creemos que) están totalmente solventadas.

***************************************************************************************************
- Pull the Plug: Bureaucratic Denial Of Service (1 de 4)
- Pull the Plug: Bureaucratic Denial Of Service (2 de 4)
- Pull the Plug: Bureaucratic Denial Of Service (3 de 4)
- Pull the Plug: Bureaucratic Denial Of Service (4 de 4)
***************************************************************************************************

1 comentario:

Angel A. Núñez dijo...

Muy buena Chema!!!
Buen Fin de semana XD

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares