Big Data: Tecnologías para arquitecturas Data-Centric

Siempre que publicamos un nuevo libro en 0xWord es un día de celebración. Cuesta mucho sacar adelante este proyecto, y poder decir que hoy tenemos ya a la venta el último ejemplar de "Big Data: Tecnologías para arquitecturas Data-Centric", escrito por Ibon Reinoso, y donde yo he colaborado con el prólogo y con un capítulo con historias de mis "Big Data Security Tales", donde narro mis aventuras con bugs y fallos de seguridad en estas tecnologías.

Figura 1: Big Data: Tecnologías para arquitecturas Data-Centric

escrito por Ibon Reinoso con prólogo de Chema Alonso en 0xWord

El libro, como os he dicho, lo ha escrito Ibon Reinoso que es Arquitecto de Soluciones y Senior Data Scientist, además de haber sido el director y profesor en el Programa Nacional Big Data, donde ha formado en estas tecnologías a más de 1.500 alumnos en más de 20 ciudades. También es el creador de BigBayData.com, pero sobre todo un  amante de los Datos.

Figura 2: Contactar con Ibon Reinoso

El libro es perfecto para meterse de lleno en la arquitectura de soluciones de Big Data, y en sus más de 200 páginas trata temas como Spark, NoSQL, MongoDB, Cassandra, Hadoop, Datos en Stream o Apache Kafka. Fundamentales para entender este mundo.

Figura 3: Big Data: Tecnologías para arquitecturas Data-Centric

escrito por Ibon Reinoso con prólogo de Chema Alonso en 0xWord

El libro, que es una lectura perfecta para iniciarse y ponerse a trabajar desde ya en entornos de BigData, trata también temas fundamentales en el tratamiento de datos, como la gestión de ficheros con Pyhton, los procesos ETL (Extraction, Transformation & Load) de datos, o los fundamentos del lenguaje SQL. Podéis ver el índice en el fichero que he subido a mi canal de SlideShare.

Figura 4: Índice del libro Big Data: Tecnologías para arquitecturas Data-Centricescrito por Ibon Reinoso con prólogo de Chema Alonso en 0xWord

Este libro, además, es el complemento perfecto para otra lectura que debes acompañar a esta, que es el libro de "Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas", que propone el uso de algoritmos de IA sobre entornos de BigData para resolver problemas de ciberseguridad.

Figura 5: Libro de Machine Learning aplicado a Ciberseguridad

de Fran Ramírez, Paloma Recuero, Carmen Torrano, Jose Torres

y Santiago Hernández en 0xWord.

Así que, si quieres un libro para este verano, ya tienes este texto disponible para que te lo puedas comprar, y además, puedes usar tus Tempos de  MyPublicInbox.

Usar tus Tempos de MyPublicInbox 0xWord para adquirir este libro

Para terminar, te recuerdo que tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de "Big Data: Tecnologías para arquitecturas Data-Centric" y que además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace. La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 6: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 7: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 8: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 9: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 10: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Data-Speaks: "V" de Viernes con "Vídeo-posts" para ponerse al día con Big Data, Machine Learning e Inteligencia Artificial

Desde hace más de un año, el equipo de Brand eXperience de nuestra unidad LUCA genera unos posts muy especiales para el blog Data-Speaks. Estos contenidos se centran en explicar conceptos comunes que se utilizan en nuestro trabajo, para que el gran público, tecnólogos y personas del mundo del negocio puedan entender mejor conceptos técnicos complejos.

Figura 1: Data-Speaks: "V" de Viernes con "Vídeo-posts" para ponerse al día
con Big Data, Machine Learning e Inteligencia Artificial

Durante este más de un año se han generado una docena de Vídeo Posts explicando estos conceptos, que van desde qué es la Inteligencia Artificial o el Machine Learning, hasta explicar qué es y para que sirve MapReduce, pasando por explicaciones sobre qué es una Cognitive Intelligence o qué tipos de analíticas podemos generar. Hoy os he recogido todos ellos en este artículo, pero puedes buscar este tipo de contenido y mucho más en el blog de Data-Speaks.


Figura: Vídeo-Post #01 : ¿Qué es la Inteligencia Artificial? 

Figura: Vídeo-Post #02 : Hadoop para torpes: ¿Qué es y para qué sirve? 

Figura: Vídeo-Post #03 : Hadoop para torpes: Cómo funciona HDFS y Mapreduce 

Figura: Vídeo-Post #04 : Hadoop para torpes - Ecosistema y distribuciones 

Figura: Vídeo-Post #05 : ¿Qué es Machine Learning? 

Figura: Vídeo-Post #06 : Los dos tipos de aprendizaje en Machine Learning 

Figura: Vídeo-Post #07 : ¿Qué se puede hacer y qué no con Machine Learning? 

Figura: Vídeo-Post #08 : Inteligencia Artificial o Cognitivia. ¿Conoces la diferencia? 

Figura: Vídeo-Post #09 : Analíticas en Big Data. Sí, pero ¿cuáles? 

Figura: Vídeo-Post #10 : IoT & Big Data. ¿Qué tiene que ver? 

Figura: Vídeo-Post #11 : Tipos de errores en Machine Learning


Figura: Vídeo-Post #12 : Perfiles de datos. ¿Cuál es el tuyo?


Figura: Vídeo-Post #13 : 5 buenas razones para aprender Python

Y para aprender muchas más cosas, recuerda que el próximo 16 de Octubre tenemos nuestro día grande en LUCA con el LUCA Innovation Day 2019 donde yo voy a dar una de las charlas. Nos vemos allí.

Saludos Malignos!

Autor: Chema Alonso Contactar con Chema Alonso

Big Data Security Tales: WSO2 Carbon y la ayuda del Login #BigData

A los productos de WSO2 Carbon voy a dedicarle varias entradas, porque hemos visto bastantes cosas en ellas, pero antes de nada quería avisaros a todos los que tenéis alguno de estos productos de algo igual de básico a lo que sucedía con Apache Ambari: Su usuario por defecto. Lo que sucede aquí es que este usuario por defecto está en todos, absolutamente todos los productos, de WSO2 Carbon, que no son pocos.

Figura 1: WOS2 Carbon y la ayuda del Login

Si vamos a su web podemos ver que los productos son 100% Open Source, y que tienen soluciones casi para todas las necesidades en entornos de BigData, además de algunos productos de gestión de Cloud, Identidad o entornos móviles, con soluciones para Single Sign-On o para Mobile Device Management.

Figura 2: Familia de productos de WS2 Carbon

Tienen soluciones para gestión de almacenamiento, para API Management, para gestión de colas, etcétera, y en todas ellas, en el panel de Login hay un enlace a Sign-in Help, que te lleva al siguiente cuadro de diálogo en el que se explica que el usuario por defecto es admin/admin y que no se puede eliminar, así que hay que cambiarle la contraseña sí o sí.

Figura 3: Ayuda en la página de Login de los productos WS2 Carbon

Esto es algo que hay que evitar en el software, y cuando un nuevo sistema se instala, durante el proceso de instalación debe exigirse cambiar la contraseña. Tener este tipo de usuarios es un error que al final alguno de tus usuarios va a cometer. En este caso, además, el problema del dorking se agrava con el uso de una firma en el HTTP Header de Server, algo que también hay que evitar. En este vídeo tenéis una pequeña sesión de hacking con buscadores y el uso de los dorks.

Figura 4: Sesión de Hacking con Buscadores usando dorks con Google, Bing y Shodan

Para hacer un dork en este caso solo hay que fijarse en que todos los productos de esta familia usan el HTTP Header Server: WSO2 Carbon Server por lo que localizar todas las instalaciones públicas en Internet haciendo un poco de hacking con buscadores con Shodan o Censys es tan sencillo como buscar esta firma en las respuestas de las peticiones HTTP, y como veis salen más de mil instalaciones públicas.

Figura 5: Búsqueda del HTTP Header "Server: WSO2 Carbon Server"

Sacar todas las URLs de Login de Shodan y hacer una prueba con admin/admin es sencillo, y esto le puede abrir decenas de sitios a un atacante para acceder a paneles de administración de todo tipo, desde sistemas de gestión de identidad, hasta almacenamiento o publicación de apps.

Figura 6: Un panel de identidad de WSO2 Identity Server

En algunos entornos de Single Sign-ON se gestionan, como es habitual, credenciales de los usuarios en muchos entornos, incluso los entornos de Active Directory de la compañía que pueden estar en la Cloud de Microsoft Azure o de Amazon Web Services, por lo que el riesgo puede ser mayor.

Figura 7: Un entorno de Active Directory gestionado en una solución de Single Sign-On

Pero el riesgo puede convertirse en un gran problema si un atacante llega a las herramientas de publicación de apps y las troyaniza, haciendo que la distribución del software de la empresa salga con malware por defecto, tal y como hemos visto en el pasado en otros ataques.

Figura 8: WSO2 Application Server

O incluso si tienes tu panel de Mobile Device Management expuesto para que cualquiera configure a su gusto las apps y los perfiles de los terminales de su empresa.

Figura 9: WSO2 Enterprise Mobile Manager para gestionar apps, certificados y dispositivos

Yo contacté con ellos y he alertado a algunos de nuestros clientes que se veían afectados, pero mientras que este software siga teniendo este usuario y contraseña por defecto, día a día irán apareciendo nuevas instalaciones que vuelven a cometer el mismo error de dejar - tal vez temporalmente - la contraseña por defecto "mientras configuran todo". Si tienes este software en alguna parte de tu infraestructura asegúrate de cambiar esto. Además, como son proyectos Open Source, estoy mirando a ver si podemos hacer un commit con un plugin de Latch para poder poner un 2FA al menos al login en los proyectos más importantes - que son muchos -. Si te animas a colaborar, contacta conmigo.

- Big Data Security Tales: ¡Vigila que tu MongoDB no le de tus datos a cualquiera! (Level 100)
- Big Data Security Tales: Cómo funcionan las MongoDB Injection
- Big Data Security Tales: MongoDB y Cassandra (Level 101)
- Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102)
- Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)
- Big Data Security Tales: Las Interfaces de acceso al HDFS
- Big Data Security Tales: Apache Amabari Default Admin
- Big Data Security Tales: WSO2 Carbon y la ayuda para el Login
- Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server
- Big Data Security Tales: Kibana & ElasticSearch objetivos del ransomware
- Big Data Security Tales: Apache CouchDB Relax... o no
- Big Data Security Tales: Riak NoSQL Database

Saludos Malignos!

Big Data Security Tales: Apache Amabari Default Admin #BigData #Hardening

Las distribuciones de Apache Haddop vienen con una buena cantidad de herramientas para la gestión de los repositorios de datos, pero también para la gestión de los servicios que son necesarios desplegar y administrar en una arquitectura de Big Data. Una de las herramientas para gestionar los servicios es Apache Ambari que ayuda a hacer el despliegue de los agentes, configurar los servicios y monitorizar el estado de salud de cada uno de ellos.

Figura 1: Big Data Security Tales "Apache Ambari Default Admin"

Por supuesto, como os podéis imaginar, tiene un interfaz de administración web que no debería estar publicado y, en el caso de que se pudiera acceder a él desde Internet, debería tener una gestión de identidades robustas. Pero no siempre es así, y en la misma página de la documentación dejan claro que el usuario y la contraseña por defecto son admin/admin.

Figura 2: Usuario por defecto administrador en Apache Ambari

Esto es un muy mala idea. Tener un usuario y una contraseña por defecto en cualquier software es una mala idea desde el punto de seguridad. Que además sea admin/admin deja claro que no hay políticas de seguridad desde el diseño y que a un atacante no le hace falta ni documentarse para buscarla ya que, de seguro, es una que probará cualquier herramienta automatizara ante cualquier formulario de login - no importa si es el interfaz de acceso de Apache Ambari o de cualquier otra plataforma -.

Figura 3: Servidores con Apache Ambari publicados en Internet descubiertos con Shodan

Hacer un poco de Hacking con buscadores por Shodan o Censys para encontrar los portales de administración de Apache Ambari abiertos al mundo no es demasiado complicado, pero reconocerlos mediante un Google Dork o con Bing Hacking tampoco, ya que basta con jugar con los campos de intitle e intext para sacarlos rápidamente.

Figura 4: Portal de Apache Ambari localizado a través de Google

Una vez localizados, cualquiera puede probar admin/admin y tener la capacidad de administrar remotamente todos los servicios de una arquitectura de Big Data que una empresa haya configurado.

Figura 5: Portal de administración de Apache Ambari

Por supuesto, el HDFS, los volúmenes de datos, las configuraciones de replicación o los servicios de que procesan en Real Time las aplicaciones que estén funcionando sobre ellos.

Figura 6: Administración de volúmenes de datos en Apache Ambari

Antes de poner en producción una distribución de Big Data en funcionamiento, asegúrate de localizar absolutamente todas las herramientas de administración de todos los servicios, de haber aprendido cuáles son las configuraciones por defecto y cómo fortificar el entorno y, si puedes, de evitar conexiones desde Internet de cualquier visitante.

- Big Data Security Tales: ¡Vigila que tu MongoDB no le de tus datos a cualquiera! (Level 100)
- Big Data Security Tales: Cómo funcionan las MongoDB Injection
- Big Data Security Tales: MongoDB y Cassandra (Level 101)
- Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102)
- Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)
- Big Data Security Tales: Las Interfaces de acceso al HDFS
- Big Data Security Tales: Apache Amabari Default Admin
- Big Data Security Tales: WSO2 Carbon y la ayuda para el Login
- Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server
- Big Data Security Tales: Kibana & ElasticSearch objetivos del ransomware
- Big Data Security Tales: Apache CouchDB Relax... o no
- Big Data Security Tales: Riak NoSQL Database

Saludos Malignos!

Big Data Security Tales: Las interfaces de acceso al HDFS (Hadoop Distributed File System) #BigData #Hadoop

Uno de los elementos fundamentales de las arquitecturas Big Data basadas en Hadoop es el sistema de ficheros distribuido que montan. Tiene proyecto propio dentro de Apache Hadoop y se llama HDFS (Hadoop Distributed File System) y no es más que una sistema de ficheros virtual montando sobre un cluster de equipos, es decir, un DFS al uso con características especiales para los entornos de Big Data de hoy en día.

Figura 1: Big Data Security Tales: Las interfaces de acceso al HDFS

Si buscamos en Internet cuáles son los puertos que utiliza el sistema de ficheros para funcionar, rápidamente llegaremos a una tabla como la que aparece a continuación, donde se ve que existen diferentes puertos usando diferentes protocolos para cada uno de los servicios.

Figura 2: Servicios y Puertos en HDFS

Como se puede ver, el más importante de todos es el de acceso web al HDFS del cluster que va por el puerto 50070 en HTTP y 50470 por HTTPs. Basta con hacer un poco de hacking con buscadores con Shodan para localizar en Amazon Web Services una buena cantidad de resultados que permiten ver el HDFS se muchas organizaciones.

Figura 3: Paneles de administración de HDFS en Amazon

La gran mayoría de ellos están abiertos a todo Internet, y se puede consultar en todo momento información de qué máquinas forman parte del HDFS y realizar algunas operaciones con ellas, que espero estén protegidas con una ACL más ajustada que el panel de acceso web.

Figura 4: Información de nodos en el HDFS de Hadoop

Dentro de las herramientas, por supuesto, se encuentra la posibilidad de navegar por el HDFS creado, pudiendo ver los directorios y ficheros del DFS disponibles, siempre y cuando los permisos dejen hacerlo.

Figura 5: Un Hadoop del 2015 con el HDFS explorable desde Internet por todo el mundo

Podríamos navegar a la carpeta /user y localizar los nombres de los usuarios que están dados de alta en este HDFS, como parte de un proceso de búsqueda de información de un objetivo en un proceso de Ethical Hacking.

Figura 6: Carpetas de usuario en HDFS

O también - y siempre con el objetivo de sacar el máximo posible de información - acceder a las jugosas carpetas con los ficheros de los logs para ver en detalle qué información puede ser extraída de esos archivos tan útiles. Como no era de esperar de otra forma, se puede sacar mucha información útil de cada fichero, desde rutas y nombres de archivos, hasta información de usuarios y actividades realizadas en el sistema.

Figura 7: Contenido de un fichero de log en HDFS

Este solo es solo el interfaz de acceso web al panel de administración del HDFS, pero existen otros puertos que también dan información útil en una auditoría, como los puertos de los DataNodes que muestran la información de la DHT (Distributed Hash Table) donde se pueden ver los equipos integrantes de un determinado cluster.

Figura 8: DHT de los Datanodes indexadas en Shodan

Si tienes un HDFS en una nube, lo suyo es que configures las opciones de seguridad de las interfaces de acceso a él antes de ponerlo en Internet, y asegúrate bien de que nadie tiene acceso a los repositorios documentales finales.

- Big Data Security Tales: ¡Vigila que tu MongoDB no le de tus datos a cualquiera! (Level 100)
- Big Data Security Tales: Cómo funcionan las MongoDB Injection
- Big Data Security Tales: MongoDB y Cassandra (Level 101)
- Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102)
- Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)
- Big Data Security Tales: Las Interfaces de acceso al HDFS
- Big Data Security Tales: Apache Amabari Default Admin
- Big Data Security Tales: WSO2 Carbon y la ayuda para el Login
- Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server
- Big Data Security Tales: Kibana & ElasticSearch objetivos del ransomware
- Big Data Security Tales: Apache CouchDB Relax... o no
- Big Data Security Tales: Riak NoSQL Database

Saludos Malignos!

Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102) #BigData #Hadoop #Pentest

Como ya os anticipé la semana pasada, quería dedicarle varios artículos al mundo de la seguridad de las tecnologías de Big Data desde un vista de pentesting, así que hoy toca una nueva tercera parte después de los artículos dedicados a la configuración sin autenticación en MongoDB y los accesos a Cassandra. Hoy quería hablaros de Apache Hue, un interfaz web para analizar datos que viene dentro de la familia de Apache Hadoop, aunque por lo visto mucha gente no lo sabe.

Figura 1: Apache Hadoop expuesto por no configurar HUE (Level 102)

Cuando alguien se instala un Apache Hadoop desde alguna de las distribuciones que existen para tenerlo On Premise, como HortonWorks, Cloudera o cualquier otra, el paquete viene con muchos interfaces de administración para las diferentes tareas que se necesitan hacer sobre las diferentes tecnologías que se usan en una arquitectura de Big Data.

Hue Web Interface

Uno de esos interfaces es HUE, una solución que aglutina en un único interfaz web las herramientas para acceder y analizar los datos que se tienen en los distintos repositorios. Es una herramienta que permite acceder a los datos en el HDFS, pero también a repositorios SQL, Spark SQL, Solr SQL, bases de datos NoSQL como MongoDB, etcétera. Un punto único de análisis de datos desde donde puedes conectarte a los distintos repositorios con las aplicaciones que integra. Esta la foto.

Figura 2: Conjunto de Apps integradas en Hue para analizar datos

Localizar estos interfaces con un poco de hacking con buscadores no es complicado en Shodan, ya que la aplicación en el backend utiliza un HTTP Header fácil de reconocer del tipo X-Hue-Jframe-Path. Estas variables de servidor son firmas fácilmente utilizables en dorks y que en caso de la aparición de un exploit que los afecte los expone demasiado a los atacantes. Localizar los portales HUE indexados en Shodan es tan sencillo como podéis ver.

Figura 3: Servidores Hue descubiertos en Shodan

Si os fijáis, Shodan no tiene aún una etiqueta "product" para HUE, pero será cuestión de tiempo que añada esa característica y permita reconocer el producto sin importar dónde esté instalado. Como veis, hay cientos de portales abiertos a Internet que pueden ser consultados.

El primer user es el REY

Dependiendo de la distribución que utilices, la herramienta puede venir con un usuario pre-creado o sin ningún usuario en la plataforma. Esto es así porque, el primer usuario que se crea en el interfaz es el que se convierte en superuser y a partir de ese instante él crea desde dentro de la herramienta el resto de los usuarios. Esto es así tanto en Cloudera como en HortonWorks.

Figura 4: Información de Cloudera sobre el primer usuario de HUE

El verdadero peligro radica en que muchas de las instalaciones de Apache Hadoop se hacen sin entender todos los interfaces de acceso que existen, incluidos entre ellos HUE. Esto es debido porque es fácil tener funcionando algunos elementos como el HDFS o las bases de datos, pero si no te creas un usuario en HUE y lo dejas abierto a Internet, cualquiera que llegué se encontrará con el servicio sin colonizar.

Figura 5: A la izquierda un HUE con usuario creado. A la derecha un HUE "sin colonizar"

En algunas distribuciones, el usuario que se crea por defecto es admin/admin - nada rocket science -, así que si la web pide "autenticarse", un pentester lo primero que probaría es esa combinación. Una vez dentro desde este interfaz se pueden hacer muchas cosas. El número de herramientas y conectores a los repositorios es alto, pero es que el atacante ya está dentro del servidor y tendrá acceso al resto de las bases de datos y a los repositorios de ficheros de la DMZ sin pasar por el firewall. Vamos, una alegría.

Figura 6: Con el primer usuario creado se puede administrar el sistema

Además, esta herramienta tiene gestión de usuarios para conectarse a servidores LDAP y permite crear también cuentas con sus ficheros locales, por lo que todo el contenido del disco puede ser accedido con mayor o menor medida desde este interfaz, pero sobre todo cuenta con un gran número de herramientas descritas al principio que permiten sacar datos de todo lo que haya cerca.

Figura 7: Acceso a las apps y los directorios del sistema

Instalar una distribución de Apache Hadoop y no configurar HUE es un serio problema de seguridad, que nosotros añadimos a la lista de plugins de nuestro sistema de Pentesting Persistente Faast, debido a la severidad de este fallo.

- Big Data Security Tales: ¡Vigila que tu MongoDB no le de tus datos a cualquiera! (Level 100)
- Big Data Security Tales: Cómo funcionan las MongoDB Injection
- Big Data Security Tales: MongoDB y Cassandra (Level 101)
- Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102)
- Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)
- Big Data Security Tales: Las Interfaces de acceso al HDFS
- Big Data Security Tales: Apache Amabari Default Admin
- Big Data Security Tales: WSO2 Carbon y la ayuda para el Login
- Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server
- Big Data Security Tales: Kibana & ElasticSearch objetivos del ransomware
- Big Data Security Tales: Apache CouchDB Relax... o no
- Big Data Security Tales: Riak NoSQL Database

Saludos Malignos!