Balada triste de The Sur

Esta historia que os voy a contar viene a raíz de una pregunta que recibo muchas veces que viene a decir algo como “He encontrado este bug, ¿pasará algo si les aviso?”. De esto ya publique mis opiniones a cómo reportar un bug en una web e incluso porque no aviso siempre sobre todo en webs que viene con el full-ekip. Ya sabéis que con la entrada del nuevo código penal esto se pone mucho más divertido, pero esta aventura comenzó tiempo cuando un joven aficionado a la seguridad informática iba a terminar el módulo de formación profesional y tenía que buscar una empresa donde hacer las prácticas.

Nuestro joven entusiasta tenía conocimiento de una empresa de su ciudad de Huelva donde, otros años, antiguos alumnos del centro donde él cursaba sus estudios habían realizado las prácticas y le parecía un buen sitio para realizar las suyas. Sin embargo, la asignación de empresas se realizaría por sorteo, por lo que sus probabilidades de ir allí no dependían ni de sus ganas ni de sus habilidades con la informática.

Es sabido por muchos que, la realización de las prácticas en una empresa al acabar la formación académica, puede significar una oportunidad laboral, por lo que él decidió echarle un ojo a la seguridad de la web a ver si podía decantar las probabilidades de ir a esa empresa a su favor, de alguna forma similar a como yo conseguí mis prácticas de objeción de conciencia.

El caso es que no le fue muy difícil a nuestro joven cerebro encontrar un bonito bug en la web del que, con la esperanza de ganar puntos, decidió alertar por correo electrónico a los administradores web.

Entusiasmado y excitado – me lo puedo imaginar después de llevar trabajando con él camino de dos años – nuestro joven protagonista se llevó una decepción cuando al cabo de los días no hubo recibido ninguna respuesta desde la empresa. Llevado por la emoción, tal vez el nerviosismo, o la inexperiencia, Manu decidió enviarles alguna prueba más evidente en otro segundo correo porque… “a lo mejor no han entendido la importancia de esta vulnerabilidad”.

Así, nuestro amigo The_Sur, decidió utilizar la vulnerabilidad para extraer una bonita SAM de uno de los servidores que envió adjunta en un nuevo mensaje de correo electrónico alertando, por segunda vez, de este “agujerillo” de seguridad con la esperanza, no lo olvidéis, de acabar haciendo las prácticas de Formación Profesional en esa empresa.

Al final, la historia termino, no solo con que no obtuvo las bonitas prácticas, sino con la llegada de la Guardia Civil a su casa, la incautación de todo su equipamiento informático y una bonita denuncia que le llevó a un juicio donde le reclaman – aún está la cosa coleando años después – la bonita suma de 20.000 €.

Con el susto en el cuerpo y la camisa que no le llegaba al cuello, decidió ponerse en contacto conmigo para ver si le podía echar un cable. Gracias a eso pude conocer a un tipo genial, brillante y buena gente, que al final acabó trabajando en mi equipo, a pesar de que le pude ayudar más bien poco.

Por si alguien ha creído ver una moraleja subliminal de que yo le abduje para mi equipo porque se había colado en una web para sacar una SAM he de decir que no fue por eso – algún día os cuento qué es lo que fue – y la verdadera experiencia de esta historia es que, mientras que no haya algo similar al tema de hackers.txt, en el que seguimos trabajando, si reportas una vulnerabilidad de seguridad como ésta, más te vale hacerlo por canales oficiales conocidos.

Saludos Malignos!

O todos bot o el spider al rio

Ayer, en los comentarios del post [Y lo que me he ahorrado], Ender me alertaba con buenas intenciones (gracias!), de las implicaciones que tendrá el nuevo código penal, cuando se ponga en práctica este mes de diciembre. Ya, cuando lei hace tiempo lo que se iba a aprobar, dejé publicado un post en el que dejaba claro que, con la entrada en ejecución de éste, nadie iba a avisar de los fallos de seguridad [Date por avisado].

Sin embargo, no deja de sorprenderme este artículo en concreto, que ayer diseccionaba Rubén Santamarta en 48bits [Código penal rima con hemoal] en el que dice:

"3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo...

Ajá! Eureka! Arrakatruki! Tengo la solución. Osea que cuando alguien ponga las medidas de seguridad como el gobierno de los USA en su servidor FTP basadas en un cartel que dice "CUIDADO CON EL PERRO QUE MUERDO", como aquel servidor que os puse en [Cuando salí de USA] donde la único que hay que hacer para vulnerar la seguridad es seguir un enlace... ¿se está cometiendo un delito? Pues se va a cagar Google, Bing, Exalead, los indexadores de blogs, y el pinche pelota que lance cualquier araña para hacer estudios de mercados o aplicaciones 2.0 en las que se mire lo cool que es un dispositivo.


Figura 1: Medidas de seguridad en el FTP de USA
De hecho, se me ocurren mil formas de montar un DDOS de casos que deban de ser de oficio solo con que existan "medidas de seguridad establecidas para impedirlo" de mierda.

Además, si miro los ficheros robots.txt [Funcionamiento de los robots] de casi todos los sitios pone:

User-agent: *

y luego con Disallow donde no se puede entrar, así que asumo que puedo entrar en todo el resto de contenidos porque me han invitado.

Si a esto le sumamos la coletilla del artículo, entonces he visto la luz...

"..o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años"

No,no, que yo solo pasaba por aquí, ¿quieres que me vaya? Pues me voy... avísame cuando esté dentro si te molesto, y nada, y me voy. ¿Esto quiere decir que si yo entro en un sitio, y nadie me dice que me vaya puedo estar dentro?

Lo que es increible, es que pretendan perseguir de oficio a quién avise, porque nada, se hace que las peticiones se den unos pirulos por algunos servidores en 3 o 4 países, pasando por bouncers, proxies, servidores TOR y luego se hace que sean los buscadores los que ataquen a las webs [Buscadores como armas de destrucción masiva] y listo, todo un caos.

En fin, que de todas formas, por si algún día pasa algo, y me véis haciendo una demo, recordad que me llamo Fermín y que este blog, a partir de diciembre se va a dedicar a enseñar como cocinar.

Saludos Malignos!