¿Qué se puede hacer cuando nos encontramos con una red insegura abierta?
Facilmente podemos snifear todo el trafico que está pasando por la red capturando información personal y privada, pudiendo hacer lo que queramos con ella. Se puede prestar para realizar phishing, robo de identidad, claves y accesos para sitios bancarios, robo de credenciales para distintos servicios como twitter, gmail, msn, etc.

¿Cómo puedo aprovecharme de esta campaña?
Fácil. Basta con instalar un honeypot en varios puntos de la ciudad para que la gente piense que “alguien, amablemente, libero su wifi”.

Existen otras formas para ayudar a que la gente se comunique, pero esta me parece realmente tonta.

La semana pasada he descubierto una vulnerabilidad Cross-Site Scripting (XSS) en el sitio web de RedBanc.

Redbanc S.A.. es una empresa que presta servicios de interconexión bancaria, es decir permite a los clientes de todos los bancos asociados realizar distintas operaciones, depósitos, transferencias, giros, etc. a través de una red cajeros automáticos, que son computadores interconectados, permitiéndole al cliente realizar una serie de operaciones que antiguamente se debían realizar en una caja normal y con la restricción del horario.

Está de más decir que con esta vulnerabilidad encontrada es posible realizar phishing, robos de identidad (robos de cookies mediante xss) y muchas otras cosas más relacionadas con estáfas usando la confianza el sitio RedBanc.cl.

La vulnerabilidad se encuentra en la no-validación de los parametros de entrada en la URL http://www.redbanc.cl/portal_redbanc/browse?pagina=portal_redbanc/inicio.htm. Si modificamos la variable “pagina” y preparamos un javascript especialmente para el robo de cookies o bien algun sitio web externo que nos permita hacer phishing, basta con que coloquemos el código necesario y se lo asignemos a la variable.

Explicación

Cuando se cambia el valor de la variable pagina el sistema reportará que la página no existe. El mensaje de error tomará el valor que ingresamos en la variable y lo mostrará de la siguiente forma:
- En el caso de http://www.redbanc.cl/portal_redbanc/browse?pagina=veamos/si/existe/la/pagina.htm podemos ver el mensaje de error

Pagina no existe
Pagina veamos/si/existe/la/pagina.htm no disponible

Si nos damos cuenta, lo que dice justo debajo de “Pagina no existe” es justo lo que pusimos como valor de la variable pagina por lo que asumimos que cualqiuer cosa que pongamos en su lugar será mostrado y por ende si inyectamos un código html éste será mostrado e interpretado por nuestro navegador.

PoC

Inyectando un código javascript:
http://www.redbanc.cl/portal_redbanc/browse?pagina=<script>alert('XSS')</script>

Inyectando un iframe con destino a otro sitio, el cual podría contener un sitio web maligno:
http://www.redbanc.cl/portal_redbanc/browse?pagina=<iframe src=http://sitio.web</iframe></iframe>

(más información sobre este último punto en: Haciendo phishing explotando una vulnerabilidad XSS)

He intentado contactarme con los encargados del desarrollo del sitio pero no he obtenido respuesta. El formulario de contacto del mismo sitio web no funciona y he estado enviando correos a info@redbanc.cl (correo que aparece en el sitio web) y ni si quiera me han respondido que leyeron el correo.

Los riesgos

Los chilenos bien saben lo que es RedBanc y deberían imaginar los peligros que puede significar un fallo de este tipo en el sitio web oficial.
Explotando esta vulnerabilidad es posible robar la identidad de personas y obtener información privadas tales como nombres, rut, telefonos, números de cuenta bancaria y claves de acceso. Tratandose de un sitio web que tiene directa relacion con los bancos y tarjetas de débito es posible tambien obtener los dígitos del PIN PASS, usando un poco de ingenieria social y engañando a los usuarios con falsos e identicos sitios y formularios.

Aclaración

La vulnerabilidad fue avisada el Jueves de la semana pasada por primera vez, luego intente contactarme con ellos el día Lunes y tambien el Martes y, siendo Jueves, aún no he obtenido ninguna respuesta, ni si quiera acusando que el correo que les envié fue recibido.

ACTUALIZACIóN – 5/Mar/2010 12:30
Luego de numerosos correos enviados a la gente de redbanc reportando el error y sin obtener ninguna respuesta, decidí publicar este artículo y parece que ha dado resultado, porque la gente de Redbanc ya ha solucionado el problema, obviamente sin agradecer y sin emitir ningun tipo de comentario al respecto, simpemente solucionaron el problema como si nada ha pasado.
Buscando en Google me he dado cuenta que este sitio ha tenido esta misma vulnerabilidad en distintos scripts y y redbanc nunca dijo nada.

Alvaro Veliz me ha reportado el siguiente problema básico de seguridad en la plataforma de ingreso de alumnos. Esta plataforma llamada “Portal Estudiantil” dice ser una “Intranet solo disponible para alumnos regulares y egresados“, sin embargo, ellos mismos dan la opción de que no sea así y que cualquier persona pueda ingresar tan solo probando con RUTs al azar.

Podemos ver el mensaje en rojo que dice:

La clave que debes ingresar para acceder al Portal Estudiantil es 123456. Esta contraseña la debes cambiar en la pantalla siguiente tal como se te solicita.
IMPORTANTE: Al momento de cambiarla se te pide ingresar tu clave anterior, ésta es 123456, no lo olvides.

Me pregunto cuanta gente, hasta la fecha de hoy, ha ingresado al portal y ha cambiado su clave? Bastaría con generar un script que pruebe una lista de RUTs probables con una clave 123456 y ganar acceso al sistema, obtener informacion de los alumnos y crear dolores de cabeza a los administradores cambiandole todos los datos al usuario. Con estos hechos queda demostrada la poca o nula preocupación por las Universiades cuando se trata de proteger la información personal y la privacidad de sus alumnos.

Por twitter me recomendaron varias opciones. @Apostols me recomendó las herramientas “puppet” y “rlbackup”, mientras que @ssugasti “mondorescue”, pero yo seguia con mi idea de usar directamente “dd”. Debía hacer el mismo procedimiento en mas de 40 servidores, por lo que usar una aplicación “cliente->servidor” no era mi solución. Usar aplicaciones que requieran modo grafico o que requieran mucha interacción con el usuario tampoco me servian, yo necesitaba algo automatizado que pueda dejar corriendo de noche y volver al otro día y encontrar el trabajo hecho.

Leyendo el manual de LVM, especialmente el de lvcreate, encontré la opción “snapshot” que básicamente le toma una “foto” al volumen lógico de origen y crea un nuevo volumen con ese preciso instante en que se hizo el snapshot, de ésta forma la partición original podrá ser actualizara mientras que el snapshot se respalda sin problemas. Luego de eso, el snapshot se elimina y se guarda la imágen. La rutína sería mas o menos asi:

# lvcreate --snapshot /dev/Vol00/var --name var-snap -L100k
# dd if=/dev/Vol00/var-snap of=/backup/var.img
# lvremove -f /dev/Vol00/var-snap

De esta forma, creamos un snapshot llamado “var-snap” en base a la partición (o volumen) /dev/Vol00/var, luego, usando dd, creamos la imágen de dicha partición y la guardamos en /backup. Finalmente eliminamos el snapshot.
Para tener aún más certesa de que todo funcionaría, tambien decidí empaquetar, comprimir y guardar los ficheros, por lo que antes de eliminarla (lvremove) la debo montar y hacer un tar. La rutina quedaría así:

# lvcreate --snapshot /dev/Vol00/var --name var-snap -L100k
# dd if=/dev/Vol00/var-snap of=/backup/var.img
# mount /dev/Vol00/var-snap /mnt
# tar cfjv /bakcup/var.tbz2 /mnt
# umount /mnt
# lvremove -f /dev/Vol00/var-snap

En mi caso, /backup corresponde a un punto de montaje de red NFS.
Mi misión era realizar ésta misma rutina en más de 40 servidores, por lo que necesitaba hacer un script que se paseara por todos los servidores y ejecutara estos comandos.

#!/bin/bash

IDENTITYFILE=$HOME/.ssh/id_rsa
MACHINES=servidores.list
DATE=$(date +%d%m%Y)
NFS=/mnt/imagenes/servers/
DIR_SNAPSHOT=/mnt/snapshot

for server in $(cat servidores.list);
do
        echo "Respaldando $server ..."
        ssh -i $IDENTITYFILE $server "lvdisplay" >/tmp/lvdisplay_temp
        lvdisplay=$(awk '
                /LV Name/ { name = $3 }
                /VG Name/ { print name","$3 } ' /tmp/lvdisplay_temp)
        for _logicalv in $lvdisplay;
        do
                lvname=$(echo $_logicalv |cut -f1 -d ","|cut -f4 -d "/")
                logicalv=$(echo $_logicalv |cut -f2 -d ",")
                echo -e "\tVolumen Logico: $lvname"
                ssh $server "lvcreate --size 100m --snapshot --name $lvname-snap /dev/$logicalv/$lvname"
                ssh $server "mount /dev/$logicalv/$lvname-snap $DIR_SNAPSHOT"
                ssh $server "mkdir $NFS$server"
                ssh $server "tar cfj $NFS$server/snapshot_$lvname-$DATE.tar.bz2 $DIR_SNAPSHOT"
                ssh $server "umount $DIR_SNAPSHOT"
                ssh $server "dd if=/dev/$logicalv/$lvname-snap of=$NFS$server/image_$lvname-$DATE.img"
                ssh $server "lvremove -f /dev/$logicalv/$lvname-snap"
                echo -e "\tArchivo imagen: $NFS$server/image_$lvname-$DATE.img"
                echo -e "\tArchivo tarball: $NFS$server/snapshot_$lvname-$DATE.tar.bz2"
        done
done
scp /tmp/lvdisplay_temp $server:$NFS$server/lvdisplay

El script trabaja con la salida del comando lvdisplay que entrega una salida con los detalles de cada volumen lógico. Lee un fichero llamado servidores.list y hace un recorrido línea por línea, conectándose a cada servidor y ejecutando las instrucciones necesarias. Para hacer el proceso más eficiente y automatizado es necesario, previamente, copiar todas las claves públicas a cada servidor, para evitar la autentificación.

La teoría es sencilla, la idea era encontrar un link directo a los distintos archivos multimedia o bien un enlace a algun directorios que los contenga, para luego descargar todo el contenido del directorio.
El fallo por parte de ellos fue dejar que se liste el contenido de directorios, de esta forma pudimos tener acceso a informacón como la siguiente:

Luego, con un poco de magia, simplemente descargamos el contenido de todo ese directorio.

Todo fue gracias al sitio “Satanick” el cual contiene un flash que provee al usuario poder ver series en línea, afortunadamente lamentablemente si vemos el código fuente nos encontramos con la siguiente sorpresa:

Miren detenidamente el código a ver si encuentran algo que nos ayude a nuestro propósito. Encontramos:

file=http://efectoanime.com/server/dn0te/06.mp4

Con esto ya podemos deducir que todos los videos se encuentran en la URL http://efectoanime.com/server/XXX, donde XXX corresponde al nombre de la serie. Como vimos en la imágen que les mostré anteriormente (donde se listaban los archivos del directorio thundercats/), está permitido listado de archivos de un directorio. Nuestro amigo wget será la salvación, ya que con el parametro -r es posible descargar un directorio.

Bien, ahora nos falta automatizar el proceso. Las URL de Satanick, donde se encuetran los videos, son de la forma http://satanick.com/?page_id=XXX, por lo que podemos asumir que cada ID corresponde a una página y en cada página es posible que encontremos links como el que les acabo de mostrar (el html de más arriba). Entonces mi idea fue crear un script que recorriera todas las páginas desde XXX hasta XXX+n. Pensando que si lo hago desde 0 se iba a demorar una eternidad, solo lo hice desde el 3000 hasta el 10000, luego cada página examinada deberá ser parseada y se debe encontrar un patrón que nos permita obtener la URL donde se encuentran los videos.
Yo lo hice de la siguiente forma:

for x in $(seq 3000 10000); do wget -O - http://satanick.net/?page_id=$x |grep "http://efectoanime.com/server" |awk -F '&' {'print $2'}>> lista_videos_satanick; done

Si lo queremos ver más bonito y en forma de “script”:

#!/bin/bash
for x in $(seq 3000 10000);
do
   wget -O - http://satanick.net/?page_id=$x |grep "http://efectoanime.com/server" |awk -F '&' {'print $2'}>> lista_videos_satanick;
done

El archivo “lista_videos_satanick” va a guardar todas las URL que encuentre y quedarás más o menos así:

file=http://efectoanime.com/server/hades/h29.mp4
file=http://efectoanime.com/server/hades/h29.mp4
file=http://efectoanime.com/server/hades/h30.mp4
file=http://efectoanime.com/server/hades/h30.mp4
file=http://efectoanime.com/server/hades/h31.mp4
file=http://efectoanime.com/server/hades/h31.mp4
file=http://efectoanime.com/server/hades/h31.mp4
file=http://efectoanime.com/server/thundercats/Th71.mp4
file=http://efectoanime.com/server/thundercats/Th71.mp4
file=http://efectoanime.com/server/thundercats/Th71.mp4
file=http://efectoanime.com/server/thundercats/Th72.mp4
file=http://efectoanime.com/server/thundercats/Th72.mp4
file=http://efectoanime.com/server/thundercats/Th72.mp4
file=http://efectoanime.com/server/thundercats/Th73.mp4
file=http://efectoanime.com/server/thundercats/Th73.mp4
file=http://efectoanime.com/server/thundercats/Th73.mp4
file=http://efectoanime.com/server/thundercats/Th74.mp4
file=http://efectoanime.com/server/thundercats/Th74.mp4

Lo único que debemos hacer es quitarle el principio “file=” y quitar las líneas repetidas:
sed -i 's/file=//g' lista_videos_satanick
Nos quedará algo así:

http://efectoanime.com/server/shippuden/Shippuden_144.mp4

http://efectoanime.com/server/bl34ch/B255.mp4

http://efectoanime.com/server/shippuden/Shippuden_145.mp4

http://efectoanime.com/server/md/612.mp4

http://efectoanime.com/server/bl34ch/B256.mp4

http://efectoanime.com/server/shippuden/Shippuden_146.mp4

http://efectoanime.com/server/thundercats/Th90.mp4

http://efectoanime.com/server/thundercats/Th92.mp4

De todas estas URL lo que nos interesa es sólo http://efectoanime.com/server/XXX, entonces lo arreglamos:

awk -F '/' {'print $1"/"$2"/"$3"/"$4"/"$5'} lista_videos_satanick

Quedará algo así:

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/thundercats

http://efectoanime.com/server/bl34ch

http://efectoanime.com/server/bl34ch

http://efectoanime.com/server/bl34ch

http://efectoanime.com/server/shippuden

http://efectoanime.com/server/shippuden

http://efectoanime.com/server/shippuden

http://efectoanime.com/server/MD

http://efectoanime.com/server/MD

http://efectoanime.com/server/MD

Ahora debemos eliminar las repetidas:

# awk -F '/' {'print $1"/"$2"/"$3"/"$4"/"$5'} lista_videos_satanick |sort|uniq -d

http://efectoanime.com/server/Vshow

Luego un script que descarge todos los contenidos de los directorios:

for link in $(cat lista_videos_satanick); do wget -r $link; done

Y listo.

1.6G Death Note.tar
1.6G Saga de Hades.tar

ACTUALIZADO 16/02/2009

Luego de los comentarios de los responsables de los sitios, dando las gracias y diciendo que no les importa porque de todas formas tiene una marca de agua, etc etc.. Los directorios ya no se pueden listar:

http://efectoanime.com/server/thundercats/

Al fin y al cabo, si les importó el tema. Me alegro que les sirviera el post.

Este sistema de pago del transporte público de Santiago, tiene un sistema que nos permite monitorear en línea los saldos y los movimientos de nuestra tarjeta y de ésta forma saber dónde cargamos con dinero la tarjeta, en qué buses o metro la usamos, cuánto salgo nos queda, etc. Este sistema no es en tiempo real por lo que asumo que no saca los valores directamente de la base de datos del sistema de transporte, además desconozco si tiene permisos para escribir en la base de datos o solamente leer.
El sistema tiene un bug que nos puede permitir, con un poco de ingenio, hacer un ataque de denegación de servicio distibuido (DDoS) y dejar el sistema (de saldos y mov. en linea) offline y posiblemente realizar inyección de código SQL (SQL-Injection) . No me he puesto a investigar que otro impacto podría tener.

El sistema nos permite ver la cantidad de movimientos y saldos de nuestra tarjeta por periodos de mes actual, 60 y 90 días, sin embargo, es posible modificar esos valores alterando el atributo “value” del elemento del formulario. Si, así de sencillo.

Código HTML original:

  	Mes Actual
	60 dias
	90 dias

Pruebas de concepto (PoC)

1. Modificamos el valor de “Mes Actual” por un número negativo.

  	Mes Actual
	60 dias
	90 dias

Y ejecutamos la consulta:

2. Modificamos el valor de “Mes Actual” por el número 5.

  	Mes Actual
	60 dias
	90 dias

Y ejecutamos la consulta:

Si se fijan en la fecha, podrán ver que sólo se mostró información desde hace 5 días.

3. Modificamos el valor de “Mes Actual” por una comilla para generar un error de sintáxis:

  	Mes Actual
	60 dias
	90 dias

Y ejecutamos la consulta:

Si cambiamos el valor de “Mes Actual” a uno muy alto, por ejemplo 99999999999999999999999999999999999999 podemos ver cómo el sistema ya comienza a comportarse de forma extraña, por ejemplo ver la fecha:

Operación: Cartola de movimientos
Tarjeta bip!: 6547XXXXX
Fecha: 11/02/2010 10:57
Movimientos desde: 90/37/-2.7

De ésta forma podemos manejar arbitrariamente la consulta.

Queda más que demostrado que el famoso sistema para ver los saldos y movimientos en línea de la tarjeta bip no está validando los parametros de entrada y con un poco de ingenio podemos realizar distintos tipos de ataques. Se pueden generar simultaneamente consultas pesadas en el servidor, provocando su caída. Tambien, con un poco más de conocimientos y habilidades es posible lograr la inyección de código sql en la consulta.

Hace un par de días tuve la necesidad de escanear 3 redes completas, mas de 50 direcciones ip, en busca de servicios que corrieran en ellas. Obviamente, no iba a ingresar a cada servidor y hacer un netstat o revisar uno por uno que servicios tenia instalado, si para eso existe nmap!
Lo que hicste fue separar los rangos de ip en archivos distintos, para tener un orden y escanear la red en orden según los segmentos y luego hice un script que leia cada archivo y escaneaba la ip en busca de servicios, la salida del nmap la parseaba y lo guarda en un archivo separado por comas. En un principio el script mostraba todo en el stdout pero para que quedara más ordenado, preferí hacerlo en un CSV para poder abrirlo con oocalc.
El script me genera un archivo con la siguiente información:

host, IP, Servicio, Puerto, Version

El script es el siguiente:

#!/bin/bash

nmap=/usr/bin/nmap
params="-sV"
tmp_file=/tmp/nmap_scanner_output
output=Servidores.csv
export SCANNER_ERROR=0

echo "host,IP,Servicio,Puerto,Version" >> $output
for ips in ips.*
do
	echo "Analizando $ips ..."
	for ip in $(cat $ips)
	do
		echo -e "\t-> $ip ..."
		ping -c 1 $ip 1>/dev/null 2>&1|| export SCANNER_ERROR=1
		if [ $SCANNER_ERROR = "1" ]; then
			echo -e "\t\t- Host no activo"
		fi
		if [ $SCANNER_ERROR = "0" ]; then
			$nmap $params $ip |grep -v "Starting Nmap" |grep -v "Nmap scan report" |grep -v "Host is up" |grep -v "Not shown" |grep -v "Service detection performed" |grep -v "Nmap done" > $tmp_file
			export _host=$(grep "Service Info" $tmp_file |sed 's/,//g'|grep "Host" |awk -F ' ' {'print $4'} |sed 's/;//g')
			grep tcp $tmp_file |scanner_ip=$ip awk -F " " '{print ENVIRON["_host"]","ENVIRON["scanner_ip"]","$3","$1","$4,$5,$6,$7,$8;}' >>$output
			echo -e "\n" >>$output
		fi
		export SCANNER_ERROR=0
	done
done

El script necesita para funcionar archivos con el listado de direcciones ip. Los (o el) archivo(s) se deben llamar “ips.“. En mi caso, tengo los siguientes archivos:
ips.192 ips.10 ips.172
Dentro de cada archivo hay direcciones del tipo 192.168.0.X, 10.0.0.X, 172.20.20.X…

$ sh scan.sh
Analizando ips.10 ...
-> 10.0.0.2 ...
-> 10.0.0.3 ...
-> 10.0.0.11 ...
- Host no activo
-> 10.0.0.20 ...
- Host no activo
-> 10.0.0.21 ...
- Host no activo
-> 10.0.0.70 ...
-> 10.0.0.72 ...
-> 10.0.0.73 ...
Analizando ips.172 ...
-> 172.20.20.2 ...
-> 172.20.20.3 ...
Analizando ips.192 ...
-> 192.168.0.55 ...
-> 192.168.0.101 ...

[...]

El script generará un output a un archivo llamado “Servidores.csv”, el cual lo podemos encontrar en la misma ruta donde tenemos el script.

El port forwarding, según el mismo manual de ssh, corresponde a:

Specifies that the given port on the local (client) host is to be
forwarded to the given host and port on the remote side. This
works by allocating a socket to listen to port on the local side,
optionally bound to the specified bind_address. Whenever a con-
nection is made to this port, the connection is forwarded over
the secure channel, and a connection is made to host port
hostport from the remote machine. Port forwardings can also be
specified in the configuration file. IPv6 addresses can be spec-
ified with an alternative syntax:
[bind_address/]port/host/hostport or by enclosing the address in
square brackets. Only the superuser can forward privileged
ports. By default, the local port is bound in accordance with
the GatewayPorts setting. However, an explicit bind_address may
be used to bind the connection to a specific address. The
bind_address of “localhost” indicates that the listening port
be bound for local use only, while an empty address or ‘*’ indi-
cates that the port should be available from all interfaces.

En simples palabras, lo que se hace, es habilitar un puerto local, por el cual se hara un redireccionamiento, a traves de ssh y el servidor remoto, hacia nuestro destino.

Paso a paso

Mapear la dirección de destino a nuestor localhost, en mi caso (y como ejemplo) usaré smtp.gmail.com. Debemos editar el /etc/hosts y agregar a la línea de 127.0.0.1 nuestro destino:
127.0.0.1 localhost.localdomain localhost smtp.gmail.com
Verificamos:
$ ping -c1 smtp.gmail.com
PING localhost.localdomain (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost.localdomain (127.0.0.1): icmp_seq=1 ttl=64 time=0.038 ms
Ahora, para nuestro sistema, el host smtp.gmail.com está apuntando a nuestra misma máquina.

Ahora, hacemos el port forwading usando el parámetro -L de la siguiente forma:
# ssh -L25:smtp.gmail.com:25 zerial@mydomain.org

Una véz logeados, ya va a estar hecho el redireccionamiento de puerto. Lo que hacemos con esa linea es decirle que todo el trafico desde localhost:25 lo lleve a traves de mydomain.org:22 a nuestro destino smtp.gmail.com:25.

Ahora realizamos la prueba, para ver si realmente tenemos salida a smtp.gmail.com:25:
$ telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mx.google.com ESMTP 42sm25383892vws.12

Listo. Obviamente, el Firewall no podrá bloquear el tráfico de localhost y tampoco el de ssh, ya que va cifrado.

Ahora vamos a la práctica, se los enseñaré mediante un ejemplo real buscando un sitio web al azar con la ayuda de Google. Encontramos el sitio “Cibertec.cl” que al parecer cumple todo para poder explotarla.Ç
Si ingresamos al sitio http://www.cibertec.cl y revisamos el tipo de links que contiene, podemos darnos cuenta fácilmente que puede  ser vulnerable a SQLi.

Vamos a comprobarlo cambiando el número 587 por una comilla simple. Entonces ingresamos a http://www.cibertec.cl/detalle.php?item=’ y obtenemos el siguiente mensaje:

Database error: Invalid SQL: SELECT * FROM inventory WHERE id = ‘
MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”’ at line 1)
Session halted.

Si nos fijamos en la línea donde nos muestra la consulta SQL podemos ver que al final pone “WHERE id = ‘“. Pues esa comilla simple que se ve depsues del signo igual es la comilla que nosotros pusimos en el navegador. De esta misma forma, si agregamos la palabra “prueba” luego de la comilla simple, podemos ver el siguiente mensaje:

Database error: Invalid SQL: SELECT * FROM inventory WHERE id = ‘prueba
MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”prueba’ at line 1)
Session halted.

Ahi aparece la comilla simple seguida de la palabra prueba, justo lo que nosotros escribimos. Bien, ya manejamos lo que queremos que se muestre, ahora debemos insertar el código malicioso.

Prueba de concepto (PoC)

Vamos a aprovecharnos de ésta vulnerabilidad de SQL Injection para realizar phishing y para intentar robar una credencial mediante XSS.

1. Phishing: Vamos a añadir un iframe con un sitio especialmente preparado para éste fin. Pueden hacer la prueba incrustando el sitio de Google: http://www.cibertec.cl/detalle.php?item=%27%3Ciframe%20src=http://www.google.cl%3E%3C/iframe%3E
   (puede leer más sobre esto en un post que publiqué hace un tiempo)
2. Robo de credenciales: El típico aprovechamiento de Cross-Site Scripting usando javascript para redirigir al usuario a un sitio web cuyos parámetros será una cookie. Por ejemplo: http://www.cibertec.cl/detalle.php?item=%27%3Cscript%3Ealert%28this.cookie%29%3C/script%3E

De esta manera podemos afirmar que el sitio web Cibertec.cl es vulnerable a SQL Injection y Cross-Site Scriting.

<script>alert(‘this.cookie’)</script>

Cuando los ataques XSS mediante tags no son posibles, existe la posibilidad de realizar el ataque usando las propiedades de cada tag. Puede ser usando el atributo style, src o algúnos gatilladores de eventos como onMouseOver, etc. Para poder realizar el ataque es necesario usar comillas (simples o dobles), aunque tambien en algunos casos existe la posibilidad de no usarlas, para poder agregar una nueva propiedad al tag en el cual hemos conseguido insertar el código.

En los ataques realizados mediante la propiedad style, podemos usar las siguientes funciones o métodos (en este caso, el código se ejecuta automáticamente al cargar la página):

1. Usando expression(), sólo funciona en Internet Explorer anterior a la versión 8.
2. Usando background:url() o background-img:url(), sólo funciona en Internet Explorer.
3. Usando -moz-binding:url(), sólo funciona en Mozila y en otros motores basados en Gecko (antes de Firefox 3).

Pueden ver un ejemplo de un ataque usando -moz-binding:url() y expression() en éste link (está en un idioma que seguramente no entenderemos pero los ejemplos se entienden sin problemas).

Los ataques vía eventos (handlers) son aplicables de la siguiente forma:

1. Eventos como onMouseOver, onFocus, onBlur, onSelect, onChange, onClick, etc.
2. Usando onError, onLoad y onUnload, para ejecutar código automáticamente al cargar o cerrar la página.

La posibilidad de usar onLoad, onUnload y onError no es muy amenudo y los otros eventos no se ejecutan automáticamente, siempre hay que esperar a que algo los gatille. Por ésto mismo, este tipo de ataque XSS no es muy popular, generalmente se ataca incrustando código en las propiedades tales como style, ya que se ejecuta automáticamente.
Cerca del 2008, la posibilidad de realizar un ataque XSS mediante -moz-binding fue removida (o bueno, fue parcialmente removida ya que aún es posible realizar ataques de éste tipo mediante ficheros xml en el mismo sitio). En el lanzamiento de Internet Explorer 8, a comienzos del 2009, se removió el soporte a la función o método expression(). Tambien fue removido el soporte de javascript o vbscript en background-image.
Con los arreglos que se hicieron en los distintos navegadores,  se dificuló el llevar a cabo  ataques Cross-Site Scripting mediante tags. Por otro lado, los navegadores como Opera y Chrome resisten ataques  de éste tipo mediante la propiedad style.
Podemos usar la técnica del MouseOverJacking. Con ésta técnica, se puede automatizar el ataque XSS. Es una solución que funciona en todos los navegadores, incluyendo IE8, eludiendo la protección anti-clickjacking que trae incorporada.
MouseOverJacking se puede usar en lugar de expression() y -moz-binding(). El ataque está automatizado, por lo que el ataque cumpliría el mismo objetivo que expression y -moz-binding y gracias al soporte multi navegador, es posible atacar a más usuarios.
Se puede realizar con MouseOverJacking lo mismo que con ClickJacking, con la diferencia que el MouseOverJacking es más efectivo, ya que no espera ninguna acción del usuario, no es necesario que el usuario haga click para gatillar el ataque. El ClickJacking espera un click por parte del usuario en cambio el MouseOverJacking simplemente espera el movimiento del ratón.

Ejemplos:

Reflected XSS

http://site/script?param=%22%20style=%22width:100%;height:100%;display:block;position:absolute;top:0px;left:0px%22%20onMouseOver=%22alert(document.cookie)%22

Persistent XSS

<a href=”#” style=”width:100%;height:100%;display:block;position:absolute;top:0px;left:0px” onMouseOver=”alert(document.cookie)”>&nbsp;</a>

Este artículo corresponde a una traducción al Español de la traducción al Inglés del original, extraído de WebSecurity.

Los errores más estúpidos comunes son validaciones mal hechas para ingresar a intranets, ficheros de respaldos visibles publicamente, directorios con información confidencial no protegidos, etc. Yo, como programador, se como funcionan estas cosas, los clientes quieren muchas cosas por muy poco dinero y, por ésto mismo, el programador decide optar por el camino más rápido posible. Por otro lado, sabemos que a los clientes no les importa mucho la seguridad y que cuando le dices que cobrarás un poco más por el hecho de agregarle seguridad al sitio o al sistema, ellos no lo entienden y prefieren el camino más barato. En fín, mientras no se invierta en seguridad, seguirán sucediendo cosas como las que les mostraré a continuación.

El primer caso (gracias a xwall o más conocido como El Arma Secreta, miembro del Hacklab por la información) es el del Instituto Chacabuco (del Colegio Maristas) quienes tienen una intranet donde podemos encontrar los datos de tosos los alumnos y apoderados. Estos datos son nombre, dirección, e-mail, número telefónico, etc.

Estos pantallazos pertenecen al area de administración de estudiantes (una intranet) que en teoría requiere un login, pero se puede bypassear fácilmente.

Este sitio además de poder mirar información, nos permite agregar, eliminar y modificar datos. Estoy seguro de que la misma forma que cometieron éste error, tienen otros más y que al agregar un usuario puedo adjuntar ficheros y lograr subir un archivo que me permita ejecutar código arbitrario en el servidor.

Pronto publicaré otro sitio con información expuesta.

El IP CIISA es una entidad de educación superior que tiene la misión de formar profesionales y técnicos de nivel superior en las áreas del conocimiento vinculadas a las tecnologías de la información y las redes y comunicación de datos.

Sin embargo, si ingresamos al sitio web y nos vamos a “ExAlumnos” podemos ver como ellos mismos nos indican, publicamente, la clave de acceso para cada usuario.

Dice claramente: “4 primeros dígitos del rut + año de nacimiento“.

Me recuerda mucho a una entrada que vi en SecurityByDefault hace un par de meses atrás, donde ponían un código de seguridad sobre el teclado numérico para escribir el mismo.

Tanto las empresas como los usuarios (clientes) no tienen las suficientes medidas de seguridad al utilizar uno de éstos servicios, muchas veces los usuarios no denuncian una anomalía, por lo que para las empresas es difícil dar solución a algo de lo que no tienen conocimiento. Por otro lado, las empresas, cuando un usuario les denuncia algun problema, no son capaces de dar solución.

Tarjetas de crédito

El proceso corecto para realizar una compra (tanto por parte del usuario como por parte del vendedor) es entregar al vendedor la tarjeta de crédito y el carnet de identidad, el vendedor imprime desde la maquinita una boleta o ticket, el comprador debe firmar y anotar su número de identidad, luego el vendedor debe verificar la validéz de éstos datos con el carnet de identidad. ¿Qué pasa generalmente? El vendedor entrega el carnet de identidad y la tarjeta de crédito antes de que el comprador firme el ticket, por lo que obviamente, el vendedor jamás podrá comparar si la firma y el número de identidad son correctos. Yo he hecho el ejercicio más de una véz, cuando me entregan el ticket simplemente firmo con un “yeah!” y escribo cualquier número de identidad muy distinto al mio, el vendedor lo único que hace es decir “gracias por la compra, hasta luego“. ¿Qué pasa actualmente? En las últimas 5 compras que he hecho, el vendedor no ha sido capáz de pedirme ni si quiera el carnet de identidad.

Con todo ésto, yo me siento vulnerable, siento que si se me pierden mis documentos o me los roban, podrán realizar compras sin ningún problema y claro, cuando yo vaya a reclamar al banco, ellos no me darán ninguna solución. Está de moda en los bancos ofrecer un “seguro anti fraude” que te “protege” de éste tipo de hechos, pero hay que pagar, es decir, hay que pagar por la seguridad que ellos deben ofrecernos.
Yo me he puesto a pensar en más de una oportunidad que perfectamente podría reclamar que jamás he hecho una compra, ya que no tendrían como comprobar que fui yo quien hizo la compra en ese local, ya que el vendedor jamás verificó si mis datos eran reales.
Actualmente, los bancos están implementando en famoso PinPass que, supuestamente, mejoraría la seguridad y ayudaría al usuario a realizar sus compras de una forma más tranquila. En éstas 5 últimas compras que he hecho, el vendedor me pregunta ¿Tiene su pinpass? y mi respuesta es “no” entonces él me dice “ok, entonces presione enter sin escribir nada“.
Yo intenté denunciar éste hecho con mi ejecutivo de cuentas pero no obtuve respuesta. Les dejo el email que le he enviado:

Hola,

En los ultimos 5 o 6 meses, cada vez que compro con mi tarjeta
mastercard, con o sin cuotas, no me piden ni mi carnet ni tampoco me
hacen firmar la boleta. Esto demuestra que el metodo de compra no tienen
ningun mecanismo de seguridad, mi problema nace cuando pienso que que
pasaria si me roban mis documentos incluyendo mi tarjeta de credito? La
persona podra comprar como si nada.

El dialogo entre yo y el vendedor es:

Vendedor: Como cancela?
Yo: Con mastercard
Vendedor: Ok … Deslicela por ahi
Yo: Ok.
Vendedor: Tiene PinPass?
Yo: No.
Vendedor: Ok, entonces presione ‘enter’.
Yo: Ok.
Vendedor: Muchas gracias por su compra, hasta luego!

Esto me tiene bastante molesto ya que de una u otra forma, me estoy
sintiendo presionado por el banco a contratar el “seguro de fraude” (o
algo asi), siento que si no lo contrato, como no me piden carnet ni
firma al comprar, no tendre derecho a reclamo si algo me llega a suceder.

Me gustaria saber que solucion me pueden dar para esta inquietud.

Saludos.

Intentaré escalar el problema a otra persona, hasta que me den alguna respuesta.

Artículo relacionado.

Cajeros automáticos

Hace unos días leí un artículo que hablaba sobre el Skimmer, se trata de un aparato que se sobrepone a la ranura donde se inserta la tarjeta y el usuario no se da cuenta y apenas inserta la tarjeta ésta es clonada.

Irónicamente, este “dispositivo” mejora la usabilidad del cajero, ya que en algunos casos les agrega una leyenda de ayuda de cómo insetar la tarjeta y tambien una leyenda en braile.

El dispositivo de la imágen fue creado con partes de un reproductor mp3. Algunos Skimmers son altamente sofisticados y son capaces de enviar sms cada véz que se inserta una tarjeta.
El artículo completo fue publicado en meneame y se pueden leer comentarios bastante interesantes al respecto. El artículo original lo puedes encontrar aquí.

Teléfonos públicos

En este punto solo quiero enlazar a un articulo que escribi hace un tiempo, contando una anéctoda cuando me sentí estafado por 3 “actores”: el personal del metro de santiago, telefónica y por una persona que abría los teléfonos y se llevaba el dinero.
El artículo se llama: Robo en los teléfonos públicos de telefónica.

Luego de haberles comentado lo que estábamos preparando junto a la gente del HacklabCL y luego de varias reuniones y discusiones, ya hemos puesto fecha a nuestra primera jornada oficial de difusión de la filosofía del software libre.
Se llevará acabo en Kernelhouse el día miércoles 20 de Enero a las 20:00 horas. Los temas a tratar son introducción a los conceptos y paradigmas del software libre, respeto hacia la voluntad del autor, libertad tras las licencias populares y un tema bastanta particular titulado “tangibles e intangibles”.

Y luego me puse a probar distintos emuladores y juegos de consolas: NeoGeo, MAME, SNES, N64, PSX, etc.

Para emular juegos de NeoGeo tenemos el gngeo y el mame-sdl, para snes el famoso zsnes, para n64 mupen64 y para psx el epsxe.
A continuación, una pequeña muestra de cada emulador corriendo algún juego en especial.

Primero les voy a mostrar gngeo con su frontend XGngeo

Para descargarlo pueden encontarlo en su sitio oficial http://gngeo.berlios.de/ o bien buscarlo en los repositorios de la distribución que estén usando. Pueden descargar el frontend XGnGeo desde aquí: http://www.choplair.org/?XGngeo

Con el emulador de MAME puedes jugar tambien los juegos de neogeo. Para emular mame tienes el emulador por línea de comando “mame-sdl” y el frontend llamado qmc2.

Para emular súper nintendo, uso el conocido zsnes (muuuuy antiguo), que está en la mayoría de los repositorios de las distribuciónes GNU/Linux y también lo podemos encontrar en zsnes.com.

Yo recuerdo haber usado este mismo emulador hace muchos años atrás, era uno de mis preferidos, con zsnes pasé varias horas frente al pc jugando. El emulador permite configurar hasta 5 players y además, permite jugar en línea.

Para PlayStation 1 (PSOne, PSX) uso el epsxe. Este emulador es un poco complicado de instalar, necesita un plugin para cada cosa. Por ejemplo, un plugin de video y otro de sonido, aunque generalmente puedes encontrar el emulador con todos sus restos dentro del mismo repositorio. Por ejemplo, en Archlinux lo puedes descargar e instalar directamente de AUR. Luego debes intrusear un poco la configuración hasta llegar a la más óptima para tu hardware. En mi caso, me uso este emulador simplemente para jugar Silent Hill 1.