viernes, 24 de marzo de 2017

I am the admin and I am the fucking Boss [II de III]

Ayer comencé con la primera parte de esta serie de artículos de I am the admin and I am the fucking Boss. En esa primera parte preparamos el escenario sobre el que nos vamos a mover. Ese escenario consistía en que necesitábamos que los usuarios pertenecientes al grupo Voluntarios y los pertenecientes al grupo Administradores del Arca, fuesen adinistradores para así poder entrar a la carpeta Archivos del Arca, aunque después a la carpeta Administración solamente iban a poder tener acceso los Administradores del Arca y no los voluntarios.



Hoy vamos a "romper las reglas" y vamos a, desde Voluntario1, perteneciente al grupo Voluntarios que no tenía acceso a la carpeta administración, entrar a la carpeta Administración.


Ya que hemos recordado que desde Voluntario1, NO NOS DEJABA ENTRAR A ADMINISTRACIÓN, sigamos con esa generosidad de recordad, para hacer memoria y recordar que A LOS ADINISTRADORES NO SE LES SUELE PROHIBIR NADA. Esa regla, es de oro para esta entrada.


Una vez que nos aparezca el mensaje de "Se denegó el permiso de acceso a esta carpeta", pulsaremos en Ficha de seguridad y, aunque no sepamos mucho del tema, casi si usamos nuestra intuición podemos llegar al punto de poder seleccionar un Usuario o Grupo. Algo que nos puede anticipar el resultado final de esta "historia de amor y desamor" con la seguridad.


Llegamos al punto en el que hemos podido añadir nuestro grupo "VoluntariosArca". Recordemos que cada miembro del grupo Voluntarios, pertenecía al grupo Administradores para que sean los únicos que tengan permisos para acceder a la carpeta Archivos del Arca, carpeta que es la que contiene a los archivos Administración y Voluntarios.


Ya vemos que hemos consiguido establecer que el grupo Voluntarios, grupo al que pertenece nuestro usuario actual Voluntario1. Solamente tenemos que aplicar los cambios y aceptar. Como somos administradores nuestros cambios se van a aplicar correctamente, por el contrario, sino lo fuésemos, los cambios no se aplicarían.


Y "casi por arte de magia" hemos conseguido entrar a la carpeta administración desde el usuario Voluntario1, un usuario dentro de un grupo que no tenía permiso para acceder a la carpeta en cuestión. Esto, por supuesto es un gran fallo de seguridad, ya que si todos los usuarios, o algunos, son administradores, cualquiera de estos podrá realizar estos cambios y entrar a carpetas que en un principio no tenían permisos, por la regla, la mágica regla de que a los administradores no se les niega nada.

Ya solamente falta ver cómo se podría evitar este fallo, un fallo que me inspiró una empresa que contactó conmigo porque fue afectada por un fallo de seguridad y cuando lo vi, fue un ataque similar al que os cuento hoy. Posiblemente usasen un Metasploit para realizar el ataque, pero esta es una opción de hacer un ataque sin herramientas hacking y sin conocimientos en Metasploit. Así que lo dicho, mañana o pasado veremos el cómo solucionarlo. 

¿Hackeamos el Mundo?

*********************************************************************************

*********************************************************************************


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...