domingo, 24 de junio de 2018

Disparando Pan de Higo a la Universidad de Córdoba

El día 13 de junio de este año terminé mis prácticas en la Universidad de Córdoba. Han sido 3 meses donde la verdad es que mi compañero de prácticas y yo no hemos hecho nada y donde tampoco hemos aprendido nada. Todo el trabajo que nos dieron fue realizar la web del grupo de investigación del grupo de Informática. Lo peor no es eso, lo peor es que se nos mintió diciendo que íbamos a entrar tras la 1ª o 2ª semana con el grupo de investigación y trabajar con ellos en los proyectos y papers en los que estaban trabajando. En estos 3 meses no entramos con ningún grupo de investigación por supuesto, tan sólo hacer una web que teníamos terminada y subida al servidor a los 3 días.


87 días sin hacer nada. 87 días casi sin ver a nuestros tutores. 87 días de perder el tiempo. Pero eso podría parecer poco.


Estuvimos 2 meses que llegábamos a las 9:30 y al intentar entrar por esa puerta, no podíamos porque estaba cerrada. Como véis en el cristal de arriba, las luces están apagadas. No teníamos llave porque no nos la dieron hasta que ya faltaba un mes.


Como al menos nosotros queríamos seguir trabajando, investigamos un poco hasta que dimos con esta habitación que parecía un almacen donde metían lo que les sobraba. En esta habitación es donde encontré las fotocopias de los pasaportes y DNIs de trabajadores o alumnos de la UCO, algo que os conté en este post. Dichas fotocopias son las que os he remarcado.



El problema era que ahí había mucho polvo y yo soy alérgico, por lo que tampoco podía estar mucho tiempo ahí. Cuando ya me empezaba a notar incómodo, nos salimos y nos pusimos a currar en el suelo de uno de los pasillos. Esto no fue solamente un día ni dos.


Nuestra "oficina" era esta. Estaba bien para lo que teníamos que hacer-nada-. Como trabajo no teníamos, cada uno investigaba lo suyo y al menos sí que hemos podido avanzar en proyectos que estábamos desarrollando.


Mi compañero y yo muchas veces bromeábamos diciendo que "Podemos hackear el reloj y adelantarlo para que sea ya la hora de irnos". El momento más feliz era cuando nos íbamos por esa puerta que estaba todo el día abierta.


Y claro, esa puerta abierta y en ese mismo pasillo un armario rack con los servidores de la Universidad. El armario estaba protegido por un cristal, pero que con 2 patadas lo quitabas y podrías desconectar todos los cables y provocar un buen desastre. Por si os lo preguntáis, no, no había ninguna cámara tampoco.


Esto lo vives un día tras otro y al final te preguntabas "La seguridad de esta gente seguro que es una mierda". Así fue, el último día de prácticas, tomé esta foto como señal de la "victoria", pues he estado unos 3 meses analizando y esperando para ver cómo actúa la Universidad de Córdoba.

Pues todo esto sumó y poco a poco mi cabreo fue aumentando entre que no venía nadie, no nos daban nada para hacer y a veces trabajar en el suelo fui poco a poco recordando una canción de Leño que decía algo como "Puñado de cucarachas van recorriendo las calles, invadiendo nuestras casas y contaminando el aire".



Pero resulta que entre que Rosendo está gira de despedida y yo soy otro Enemigo disparando Pan de Higo, me he pasado todas las prácticas buscando posibles fallos y esperando para ver qué hacían una vez que ya no estuviésemos en las prácticas.



A continuación iré enunciando algunos de los fallos que yo me he ido encontrando que me parecen más destacables.

1. Almacena las contraseñas de la Base de datos y correo como te salga de los cojones.

Esto fue una de las cuestiones que más me tocó. Como sabréis, para subir y migrar una web desde el localhost a un dominio, tenemos que pasar la base de datos y subir, en nuestro caso, la carpeta de Wordpress al servidor, pero claro, no teníamos las credenciales ni de la base de datos ni del servidor.

Lo normal es pedirlo y decir que las apuntes a muy malas en un post-it o almacenarlas en KeePass X. Pero en la Universidad de Córdoba no, en la Universidad de Córdoba, 2 doctores de Informática nos dijeron:

"Hacedle una foto a estos folios. Aquí tenéis las contraseñas que necesitáis". España y olé


Este es el folio con ls credenciales de la Base de Datos de la Universidad.


Y este el del correo.

Esto es un desastre, porque a cualquiera de los 2 nos puede dar por pasar la foto queriendo o sin querer y provocar un gran problema en la Universidad.


En el correo teníamos un mensaje con información sobre cómo estaba montada la web anterior. Nos decían la URL de la web del sitio, de la base de datos y mucha más información adicional que puede ser utilizada.


¿Esto de almacenar la foto por qué es un problema? Bueno, inicialmente porque si tenemos malas intenciones y pasamos la foto se puede liar una buena. Después está el tema de que puede que nos equivoquemos al pasar la foto o que simplemente suframos un ataque por el cual un atacante tenga acceso a nuestro terminal móvil con un meterpretrer. El atacante podría acceder a la Galeria y obtener la foto.

Tengo que decir que es cierto que ese usuario y esa base de datos solamente contenian los datos del Wordpress que habíamos creado, no todo es tan malo, pero la lógica nos quiere decir que si nos han dejado echar una foto a nosotros, que íbamos de prácticas e íbamos a estar 3 meses, qué no permitiran a gente que lleve trabajando allí años.

2. Pásame las credenciales en texto plano.

Esto también fua algo que me sorprendió bastante. Teníamos 2 profesores que eran nuestros tutores de prácticas, ambos doctores en Informática. Pues con todo su arte van y nos dicen "Creadnos un usuario y pasadnos la contraseña". Mi cara era un poema, pero pregunté "Vale, pero...¿Por dónde os la pasamos?". Hice esta pregunta porque a lo mejor utilizaban un mecanismo interesante para pasarse las credenciales en casos como estos. La respuesta de ambos aún me trae dolores de cabeza.

"Por correo mismo, da igual". Doctores de Universidad. Investigadores. Catedráticos. Lo más de lo más para un "Por correo mismo, da igual". Bravo.


Por si alguno no se lo cree, aquí dejo el correo donde uno de nuestros tutores de prácticas me pidieron la contraseña de su usuario. Yo me frotaba las manos diciendo "Tengo buena mierda para el blog".


Con este correo me reí mucho, ya que lo de "con permisos de administrador" lo hice aposta nada más que para dejar constancia en el blog del problema que sería que accediesen a su correo y viesen esta contraseña.


Igual ocurrió con el otro tutor. Aquí además le puse las cosas fáciles a un atacante diciendo a qué URL tendrían que entrar e introducir esas credenciales.

"Pero Manu, tú eres muy dramático. Vale que han hecho mal pidiéndote las credenciales por correo, pero ellos tienen sus direcciones de correo bien fortificadas".

Bueno...


Este es uno de los tutores


Vemos que reutiliza la misma dirección de correo y probablemente la misma password para sitios tan importantes como DropBox o Linkedin, por lo que podríamos suponer que para su cuenta de correo de la Universidad puede estar utilizando la misma password, por lo que un atacante podría intentar acceder a su correo, ver que se le ha enviado un usuario y contraseña y entrar.


Y nuestro otro tutor igual. Esto es un problema lo mires por donde lo mires. Ya tenemos 2 posibles usuarios a los que podríamos acceder.

"Vale, es un problema...pero seguro que han cambiado la contraseña de la cuenta que le has creado"

Bueno...


Como habéis visto en el correo, el mensaje que les envié tiene 2 meses y aún no han cambiado la contraseña ninguno de los 2. Si os lo preguntáis quién es este, arriba a la derecha tenéis el nombre del profesor y nuestro tutor de prácticas. 2 meses después sigue sin cambiar la contraseña, algo que se puede hacer en 5 minutos que tengas libres. A lo mejor, en esos 5 minutos que te estas tomando un café.

3. Gente que ya no está en la Universidad...y aún con cuenta de administrador.

Esto es posiblemente lo peor de todo. Como he dicho, nosotros terminamos las prácticas el pasado 13 de junio. Yo estoy escribiendo este post el día 15, es decir, 2 días después. Pues adivinad qué.


Sigo teniendo cuenta y encima de administrador. Esto es a lo que estaba esperando. Estaba esperando para ver si una vez que hubiese acabado las prácticas, eliminaban mi usuario, ya que el usuario de ambos tenían todos los privilegios posibles. Pero no, no lo han hecho.

Yo lo hubiese entendido, es más, es lo que se debe hacer. Si ya no hay un trabajador en tu empresa, vas y le eliminas el usuario porque ya no tiene nada más que ver de la empresa. Dejarle su usuario podría ser muy peligroso por posibles casos de pasar información a la competencia.

Creedme que esto pasa mucho, que me he visto muchas empresas con usuarios aún existentes de gente que ya no trabajaba allí.

Podría tener malicia y cuando cree los usuarios de mis tutores, podría asignarle el rol de colaboradores en lugar de administradores y así me aseguro de permanecer en el sistema hasta que yo quiera, pero no, fui bueno y los dejé como administradores.

Pero claro, esto da origen a un escenario bastante gracioso...que es el de realizar un posible "XSS" en la web del grupo.

4. Con todos los permisos fuera de la Universidad

Ocurrió algo gracioso. Al crear la web, yo puse una política en los permisos para que solamente fuese posible editar algo de la web desde la red wifi del grupo de investigación. Esto provocaba que en casa no podíamos editar nada.

Pues un día llegó uno de nuestros tutores y la conversación fue la siguiente:

"-Buenas, oye, que la web va mal a la hora de editar algo desde casa.
YO: Ya, es por seguridad, para que nadie fuera de esta red pueda modificar nada de la web.
-Ah, eso está genial, pero cámbialo para que pueda editar cosas desde casa.
-Bueno ¿Qué permisos quieres que le de?
-Todos, tú se los das todos y no te compliques."

Pues ale, un chmod 777 -R y a tomar por culo todo.

Y por supuesto, hoy desde casa ya podía añadir esta línea que he señalado. Al igual que podía añadir esta línea podría añadir cualquier cosa, hasta un usuario.


Le daba a guardar...and that's all.


Y conforme cree el usuario se me ocurrió una idea..."hacer un XSS" a la Universidad.

5. XSS a la Universidad durante 8 horas...y nadie se ha dado cuenta.

Planteé un XSS peculiar. Vale que no aproveché ningún fallo de seguridad, pero igualmente, con los otros 4 fallos anteriores mencionados se podrían aprovechar. Es más, voy a utilizar los fallos anteriores para hacer el XSS.


Para el ataque utilicé una Raspberry con una tarjeta SD con Raspbian en el que metí Tor y una VPN. El siguiente paso era irme a la Biblioteca que tengo justo en frente de casa con la Raspberry.

La Raspberry es pequeña, por lo que pensé que si me iba a la biblioteca y colocaba y conectaba la Raspberry a uno de los monitores y a la corriente de la Biblioteca podría controlarla como si fuese un equipo de la biblioteca.


Otra ventaja es que tenía este mando inalámbrico, por lo que podría dejar conectada la raspberry sin que se viese-recuerdo que al ser pequeña tiene una gran ventaja de que se puede camuflar fáclmente-. Con este mando me podría sentar lejos de donde deje la Raspberry para que así nadie me ve interactuar con el ordenador de la Biblio y pasar desapercibido.

Otra opción sería llevarme un portatil y acceder a la Raspberry mediante Escritorio Remoto y así no tenemos una pantalla en mitad de la Biblio con su escritorio cambiándose sin tener a nadie delante. El problema de esto es que ahí ya si nos ve la gente interactuando con nuestro portatil.

Sería interesante también imprimir con una impresora 3D un tipo de funda para que así parezca que estamos usando un móvil en lugar de un mando para controlar un PC.

Yo hice esto, me fui con ese mando y me puse en unas de las silla que hay en la biblioteca pero lejos de la plaz del ordenador en el que dejé la Raspberry. Cuando veía que alguien se iba a acercar a la Raspberry, paraba. Me fui a una hora a la que había poca gente, por lo que lo puede hacer todo bastante rápido, así que lo preparé todo y en la parte de presentación de la web puse...bueno, esto.


Esto estuvo 8 horas, después, a la mañana siguiente, restauré la portada original. Todo esto con la Raspberry con una VPN y entrando con Tor y en la red wifi de la Biblioteca. Cuando terminé, destrocé la tarjeta SD.


Lo mejor de todo sería que cuando comprobasen los logs, se iban a ir al mapa de visitas que implantamos en la web, ya que los mismos tutores nos dijeron que querian este mapa de visitas para saber quién accedía a la web. Yo al estar con una VPN, podría simular mi ubicación. Esta captura es de cuando aún estaba en las prácticas, y ahí me conecté desde una VPN que me ubicama en Reino Unido, y ahí vemos la banderita de UK.

Si se fijan en eso, pues se equivocarán. Además me sorprendió que pasaron más de 8 horas y nadie se dio cuenta. Nadie se conectó a la web, de lo contrario a lo mejor otro gallo cantaría.

¿Hackeamos el Mundo?

P.D: Todo esto lo he hecho desde uno de los usuario de mis tutores, ya que usar el mio podría ser cantoso. Desde uno de los usuarios de uno de mis tutores cree otro usuario con privilegios de administrador y lo hice todo.

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...