viernes, 5 de julio de 2013

La importancia de un pequeño fallo de seguridad y el mundo en internet

Parece mentira lo importante que puede resultar un fallo de seguridad por pequeño que sea. Es  importantísimo el cuidado que nosotros hemos de tener para que nadie, indevidamente se cuele en nuestros sistemas.
Hoy en día tenemos un gran número de herramientas que permiten ayudar a un atacante que su cometido sea mucho más fácil, sencillo y rápido. Por lo tanto el nivel de conocimiento que pueda llegar a tener esa persona, ya no es tan necesario que sean tan elevado.

A esto hay que añadirle que todo lo que se nos pase por la cabeza podemos encontrarlo en Internet. O bien en un Internet Indexado por los famosos buscadores donde se pueden encontrar todo tipo de detalles y manuales explicativos sobre como hacer cualquier “cosa", hasta  realizar búsquedas en la Deep Web sobre algo más específico y por lo general ilegal o fraudulento.

Cuento esto, porque hace apenas unos días hice la prueba... Un amigo me comentó que para poder romper la seguridad de una web había que ser un experto en seguridad, un “hacker”. Eso no es así del todo. 
El tener todos lo conocimientos de un experto en seguridad informática no quita que cualquier persona con la menos idea de informática pueda realizar un ataque. Esto precisamente es lo que le hice ver a mi amigo.

Hicimos la prueba, cogimos una web al hazas y con un par de herramientas y de búsquedas en Google, encontramos la manera de colarnos hasta la cocina...

Lo primero fue analizar la web con un escáner de vulnerabilidades, y esto nos devolvió un posible fallo de seguridad explotable de SQLi.
Como para esta prueba “no teníamos ni idea” de lo que era eso del SQLi, decidimos hacer una búsqueda en internet, encontrando un manual sobre inyecciones de SQL. 
Algo que supuestamente no habíamos oído hablar nunca de loo y que no sabíamos que era.
La buena gente de Hack x Crack había publicado una guía para saber que es una BBDD y como funciona. Y lo más importante, como realizar ataques de inyección de SQL.
Todo esto explicado de tal manera que pudiéramos entenderlo si saber nada.

Cuando terminamos con el manual lo pusimos en práctica, pudimos ver con nuestros propios ojos que  el fallo de seguridad existía. Intentamos lanzar un par de consultas a la BBDD para ver si respondía y ... así fue.

En este manual también nos hablaron de una herramienta que nos ayudaría a realizar este tipo de ataques, SQLmap. Que además por lo que comentaban estos chicos, era una herramienta por línea de comandos pero tenía un asistente muy fácil de usar.

Cuando nos quisimos dar cuenta teníamos toda la BBDD en pantalla.

La gente debería conciencias de lo importante que es la seguridad hoy en día, ya que a menudo es muy fácil penetrar en un sistema con pocos conocimientos.

Esto que cuento es una pequeña historia real, de la cual podamos obtener la BBDD de la página web, y numerosos documentos personales a un pequeño fallo de seguridad que nos permitió evadir la seguridad de autenticación a la zona restringida y así hacernos con estos documentos confidenciales.

Evidentemente los fallos de seguridad fueron reportados. Pero como en la gran mayoría de la ocasiones lo administradores no suelen hacer mucho caso a este tipo de mensajes, y se puede ver como tiempo después (en ocasiones meses, incluso llegando al año) estos fallos siguen estando expuestos.