El rincón de Zerial

Una véz más, un sitio chileno compromete su seguridad por falta de validación en la entrada de datos o argumentos pasados por url. Es el turno del sitio del web Observatorio Latinoamericano de Seguridad Ciudadana (OLSC) quien sufría de un fallo de seguridad importante al poder acceder a cualquier fichero del servidor, incluyendo los códigos fuentes de los scripts php.
Gracias al script download.php que nos permitia descargar cualquier fichero fue posible obtener información sensible como:

Como es de costumbre, me comuniqué con el encargado de este sitio web y le comenté el problema, él se mostró muy interesado y solucionó de inmediato el problema, su respuesta fue:

Ya hice el cambio que me recomendaste para permitir sólo descargas desde el directorio files. Te agradezco sinceramente el consejo que me diste, no sólo porque ha evitado un problema para la gente de olsc, sino también la gente de otros sitios que he hecho donde también he usado esta función.

La URL vulnerable era la siguiente es http://www.olsc.cl/download.php?f=../../../../fichero/a/obtener, la cual fue removida.

Bien. Hace tiempo vengo hablando sobre las vulnerabilidades web, escribí un artículo sobre los fallos que tenia tiene la web Caffarena y la verdad es que me he encontrado con varias sorpresas en otros sitios web.

Me gustaria hacer una observación a todas las empresas que se dedican al desarrollo de aplicaciones web: Existen frameworks muy buenos, libres y gratuitos y aveces conviene mucho más entender ese framework y no hacer uno propio.

El error que cometen muchas empresas como ésta es que, al usar un mismo framework (desarrollado por ellos mismos), para todos sus clientes, cuando se encuentra una vunlerabilidad en almenos 1 sitio, este mismo fallo se aplica automaticamente a todos sus clientes y de esta forma ponen en riesgo ademas de sus clientes, a los clientes de otras empresas (cuando comparten un mismo servidor de hosting).

Les voy a hablar sobre la empresa GoldenData Ltda., quienes se dedican al desarrollo web. Antes de publicar y decir cualquier cosa, quiero aclarar que yo me comuniqué con estas personas para darles a conocer sus fallos de seguridad en todos y cada uno de sus sitios web obteniendo un cierto interes por parte de ellos para solucionar el problema. En un principio les comenté sobre la falla en su sitio web lo que me respondieron:

Actualmente estamos rediseñando todo el sitio web, así que el sitio actual será desechado en el corto plazo.

Días despues, les envié otro correo electrónico para comentarles que esa falla que tenian en su sitio web se replicaba a todos y cada uno de los sitios de sus clientes, obteniendo la siguiente respuesta:

De verdad me interesa el tema, pero actualmente estoy realmente
colapsado, ya que se juntaron muchos proyectos y temas internos. Voy a
aumentarle la prioridad a ese tema. Estamos en contacto. Saludos!

Ya ha pasado casi un mes desde el primero correo electrónico que les envié y no han solucionado el problema, por lo que no me sentiré mal al publicar sus falencias.

[Leer Más →]

Así es, como el título lo dice, la empresa de autopista Sociedad Concesionaria Vespucio Norte Express S.A. (AVN) no está protegiendo la información de sus clientes y es posible mediante el sitio web obtener información tal como nombres, apellido paterno y materno, direccion de facturación, osea donde vive el cliente, patente del vehículo, información sobre partes, valores a pagar, valores pagados con sus fechas correspondientes, numero de telefono particular, direccion de correo electrónico, fecha de nacimiento, deudas a la empresa.

Tal como lo explica Ivan en su blog, hay que seguir una serie de pasos para lograr el objetivo. Personalmente creo que sería muy complicado escribir un bot que sea el encargado de obtener la mayor cantidad de información posible, pero no imposible. Con un poco de imaginación y destreza podemos lograrlo.

Luego de intentar comunicarnos con la gente encargada del sitio web de esta empresa mediante los correos electrónicos seleccion@vespucionorte.cl y contacto@vespucionorte.cl y sin tener ningun tipo de respuesta, decidimos hacer publico el documento.

Documento completo: http://blog.cuack.org/2009/bug-en-sitio-de-empresa-avn-cl-avenida-vespucio-norte-tags-autopistas/

NIC Chile es la entidad encargada de la gestión de dominios .cl, a cargo de la Universidad de Chile. Actualmente, para realizar la compra de un dominio es necesario entregar una serie de información personal como el rut, nombre, dirección, ciudad, entre otros. Es obvio que esos datos ingresados quedan almacenados en algún lugar y lo que tambien es obvio, acceder a dicha información de una u otra forma.

NIC ha puesto a disposición de todos nosotros algunos datos de esas personas, de manera tal que podamos hacer la relación rut-nombre. La forma en que NIC facilita el registro de dominios es que, al escribir el rut del registrante, automáticamente rellena los campos del nombre de la persona, sin verificación ni ningún tipo de validación.

[Leer Más →]

Hace un par de días, recibí un comentario en mi blog de un estadounidense que estába de viaje por el mundo conociendo hackers. Lo que me llamó mucho la atención es como una persona puede tener tanto tiempo y tanto dinero para darse ese tipo de gustos, asi que se lo pregunté. Brendan (el estadounidense) me contó que se ganó una beca llamada Thomas Watson que consiste basicamente en otorgar estudios sobre algun tema en especifico del cual no se enseñe en las universidades, él quizo estudiar “Los hackers en el mundo”.

Me contactó, nos juntamos en el laboratorio de CMDLabs, en KernelHouse y estuvimos conversando. Me hizo una entrevista que publicará en HackerSpaces, yo tambien aproveché de hacerle algunas preguntas a modo de entrevista.

[Leer Más →]

Hace un par de semanas viajé a Mendoza (.ar), a la expo2009 organizada por LUGMen. Entre todas las cosas que vi, me llamó la atención un libro cuyo titulo es “Voto electrónico: Los riesgos de una ilusión“.

Hasta antes que empezara a leer ese libro y comenzara a informarme al respecto, mi postura sobre el voto electrónico era a favor, yo no estoy inscrito en el registro electoral y pensaba “No me registraré hasta que la inscripción sea automatica y el voto sea por internet“, pero mi pensamiento cambió radicalmente. Nunca me había detenido a pensar ni 5 minutos que es lo que significaba la implementación de este tipo de votación, los riesgos e inseguridades (a nivel técnico).
Como dice en el sitio dedicado a informar sobre los riesgos del voto electrónico en Argentina,

Es un sistema más rápido, más barato, más transparente, elimina el clientelismo político y aumenta la participación ciudadana. Éstas son, según sus defensores, algunas de las ventajas del voto electrónico. El libro “Voto Electrónico. Los riesgos de una ilusión” presentado en Buenos Aires a fines de marzo por la Fundación Vía Libre, con el apoyo de la Fundación Heinrich Böll, procura abrir un debate, informando a la ciudadanía sobre cómo funcionan estos sistemas de votación y cuáles son sus riesgos.

[Leer Más →]