domingo, 20 de julio de 2014

El día que el LDAP afectó a la Policía

En esta semana me he metido de fondo en el mundo del LDAP, y debo decir que me encanta esta rama de la seguridad, y buscando, leyendo, viendo vídeos, etc. me encontré con un post de Chema Alonso hablando sobre el LDAP en la policía y que me parece bastante interesante y que voy a compartir de lo que me he podido enterar después de la lectura que realicé hace algunos días.

Esto trata en pulsar sobre el candadito de http-s y ver el CRL que aparece en la ruta del LDAP.

Figura 1: CRL en el LDAP de la Policía 
Este servidor permite la conexión de forma anónima, para una comprobación de los certificados renovados, por el cual vamos a tirar para adelante y continuar a ver qué nos encontramos.

Figura 2: Conexión al LDAP de la policía de manera totalmente anónima

Se podría observar como están aquí todas las claves, hashes, Pasaportes, etc. aunque hasta cierto punto es lógico; desde algún sitio tendrán que dar soporte a la administración española...claro que también se debería a ver hecho mejor, que después pasa lo que pasa.

Ya los más boyante de todo, es encontrarte un SHA1, con un objeto llamado EntDirAdmin con atributo userPassword


Figura 3: Hashes, Usuarios y contraseñas en el LDAP de la Policía
Esto Chema, se lo reportó en su día a la Policía, y lo arreglaron de una forma un tanto peculiar, pero más que valida como cualquier otra...Eliminándolo por completo. Pero el problema es que puede que a muchas webs les pase igual, es más; me he tirado noches en vela viendo LDAPs y son bastantes webs afectadas por este problema que es bastante sencillo de buscar, y más con herramientas como OpenLDAP para comprobar si se realizan las medidas, solamente completando el formulario.

Saludos Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...