Ciberentrevista a kamborio (por Mercè Molist)
El Miércoles 28 de Noviembre de 2001, Mercè Molist, periodista de el diario El País, me escribió un correo electrónico donde me pedía si le podia contestar a algunas preguntas para un artículo que iba a escribir y que finalmente salió publicado el Jueves 6 de Diciembre de 2001 en el suplemento CiberP@ís, que acompaña al diario El País todos los Jueves.
Hola!
Soy Mercè Molist, periodista del CiberP@ís. No recuerdo si hemos hablado alguna vez pero yo si te he leído bastante en las listas de correo. Encantada de saludarte 🙂
Te escribo por la página que has colgado donde explicas lo de La Moncloa. Voy a hacer una noticia sobre esto en el próximo Ciberpais y querría tener algo mas de información que la que sale en la pagina web.
¿Que consecuencias tiene que pueda leerse el código VBScript? ¿Que puede hacer un atacante malicioso con esta información? ¿Hasta donde puede penetrar? ¿Solo para cambiar la web o se puede ir mas allá?
Ser capaz de leer código que se ejecuta en los servidores web, ya sea escrito en VBScript, JavaScript, Perl, PHP o cualquier otro, no debería de tener ninguna consecuencia, a no ser que:
a) En ese código de guarde información sensible como nombres de usuarios y passwords
b) Existan errores de programación en ese código que nos faciliten información para poder explotarlo
En el caso de La Moncloa, se cumplen las dos premisas.
Como ya he dicho, no existen mayores problemas en tener acceso al código. Por ejemplo, desde mi página web se puede bajar el código que usa mi servidor, pero la diferencia es que yo he hecho esto a propósito, he licenciado el software como GPL, y he puesto un link para su descarga gratuita, no ha sido por una mala configuración del servidor.
Una vez que tenemos acceso al código es cuando empieza un trabajo de investigación, analizando la información que se ha obtenido y como nos podemos aprovechar de ella. Aquí es donde yo me he parado, no he seguido investigando y no he intentado sacar ventaja de este fallo porque no quiero mayores problemas. Si intentara aprovecharme del fallo estaría cometiendo un delito.
Hasta donde de podría llegar? No lo se. Como ya he dicho todo depende del posterior trabajo de investigación, pero en muchos casos, cuando se pueden ver errores como estos es casi seguro que se puede llegar muy lejos.
En el caso de La Moncloa, suponiendo que finalmente pudiera acceder a la base de datos, no podría modificar muchas partes de la web, solamente aquellas que dependen de la propia base de datos. En este caso, por ejemplo, estamos hablando de los discursos de Aznar.
La gente puede pensar que soy un cobarde, o que solo he hecho la parte fácil por que no se hacer la difícil. No es un problema de valentía o de sabiduría, es una cuestión de principios. Enuncio el problema, espero a que se resuelva y publico la información completa para que otros puedan aprender de los errores.
Lo mismo para el nombre de usuario y password. ¿Cómo los descubriste tu? ¿No están ni shadow los passwords o que pasa? ¿A partir de la entrada como usuario es fácil hacerse root?
Descubrir el nombre de usuario y password fue cuestión de minutos, unos dos minutos desde que entre en el sitio fue lo que me llevó averiguarlo. En las ultimas semanas he estado realizando una investigación sobre los sitios web que verifican «la entrada de datos que efectúan los usuarios». A día de hoy, hay muchos sitios que resultan vulnerables (a primera vista, habría que hacer un análisis mas detallado para poder llegar a conclusiones), puesto que no efectúan ningún tipo de validación.
Mediante una entrada de datos malformada conseguí provocar un fallo en tiempo de ejecución en la aplicación web (esto que suena tan técnico es realmente una tontería). Gracias a este fallo y porque el servidor no estaba configurado adecuadamente para no mostrar en que parte de la aplicación se producía el error, pude conocer la localización exacta de los archivos con el código fuente. Además, los permisos de estos archivos no estaban correctamente fijados lo que finalmente me permitió ver el codigo fuente.
Estamos hablando del nombre de usuario y password para acceder a una base de datos, no los que nos dan acceso al sistema. Por este motivo el password no estaba escondido (shadowed). Además, La Moncloa corre sobre un servidor IIS de Microsoft, donde no existe el concepto de «shadow», puesto que este término solo se aplica a sistemas UNIX y similares. A partir de ahí, llegar a conseguir permisos de administrador en el sistema sería casi imposible, como mucho tendríamos acceso a la base de datos. Como ya he dicho antes, para saber con seguridad hasta donde se puede llegar habría que hacer un estudio de la situación que, por motivos legales (mejor dicho, por motivos ilegales 😉 me niego a hacer.
Después de publicar la información en tu web, ¿has recibido alguna reacción de Moncloa, sabes si como mínimo lo han arreglado o siguen pasando de todo?
Es un poco pronto para que se hayan enterado en La Moncloa. Como ya he dicho en mi sitio web, no me he puesto en contacto con ellos como he hecho en el pasado con otros sitios vulnerables, porque no existe información de contacto en el sitio web de La Moncloa. Eso es lo que me ha obligado a hacer publica la información.
De momento, la vulnerabilidad sigue ahí. Es un poco pronto para que se hayan enterado, o simplemente no dan credibilidad a mi información, o quizás estén muy seguros en si mismos como para pensar que realmente se podría entrar en el sitio web. Habrá que esperar unos días para que tomen medidas, o a que otra persona termine mi trabajo de investigación y les modifique la web. Todo se verá.
Artículo publicado en el CiberP@ís:
Agujero en la página de La Moncloa, al día siguiente de modernizarse