La Ballena

Esto lo vengo tratando de escribir hace muchos días, pero no he tenido mucho tiempo, sin embargo aquí va.

Cuando empecé a investigar sobre hacking, me tope con artículos escritos para e-Zines como RareGazZ o SET, y así como había gente que se tomaba el trabajo de investigar y de publicar lo investigado en estas e-Zines, había de aquellos que simplemente hacían un copy paste de esos artículos y los publicaban en algún sitio, como suyos.

De estos personajes habían muchos, y los siguen habiendo, gente que sin vergüenza alguna se atribuyen la autoría de un articulo.

Jamas pensé que pasaría eso con lo que yo pudiera escribir, vamos que nunca escribí algo tan interesante, ni tan difícil de poder entender, para que un flojo o bruto simplemente se lo plagie.

Resulta que un amigo me pidió que le recomendara donde comprar una cuenta shell para correr un eggdrop, así que me puse a buscar, topandome con este proveedor: http://www.shell-mx.net/

Revisando esa web me encontré con una sección dedicada a preguntas frecuentes, donde un plagero de nombre Jorge Inda publica lo siguiente sobre servidores de IRC: http://www.shell-mx.net/faq/bahamut-conf.html

Al final de dicho tutorial dice: Elaborado Por: Jorge Inda (qdeck)

Pero que aburrida es la existencia de los tontos, si lo mismo encontramos publicado en SWP en Abril del 2002, en la seccion que corresponde a la configuracion:

http://www.hackemate.com.ar/ezines/swp/swp01/swp01/07.txt

Por lo menos el tal Jorge pudo haber puesto su nick, donde decía “sicario”, que ni para eso tubo imaginacion.

Este mirror pertenece a Hackemate, solo para que no exista dudas de lo expuesto, si pongo un enlace de PeruSEC.

“Deambulamos en el laberinto de nuestras vidas y en la oscuridad de nuestras investigaciones; momentos de claridad iluminan nuestro camino como reverberaciones de relámpagos”.
- Arthur Schopenhauer

Que es esto? Simplemente un servidor que aloja varios dominios. Este sistema es el mas usado en alojamiento web, por lo general la causa principal es el ahorro de costos. Hoy en día contratar un hosting es baratisimo, inclusive si contratas un revendedor, y en el Perú la mayoría de empresas contratan este tipo de servicio, hasta compañias relativamente grandes.

Pero que tan recomendable es usar shared hosting?

Si no tienes mucho que perder pues no te hagas mucho problema, pero existen algunos riesgos a tomar en cuenta.

Algunos dominios tienen acceso a shell, a ejecutar scripts, por lo tanto pueden ser usados para realizar hacks en otros dominios en el mismo servidor.

Muchos sistemas web, como manejadores de contenido, a veces requieren permisos de escritura y/o ejecución, y estos no son bien mantenidos ni configurados, por lo tanto terminan comprometiendo a otros dominios.

Funciones como:

Exec ()
System ()
Shell_exec ()

Pueden causar muchos problemas.

Lo mas recomendable es usar un servidor dedicado, tener control sobre las configuraciones de seguridad de Apache, PHP, o cualquer aplicacion que corra en ese servidor.

La razón de escribir esto fue por que un amigo me pregunto: Si yo programo un sistema que tenga algún problema de seguridad, afecta a los demás dominios en mi servidor? La respuesta fue si, con demostración :DDD

Como tarea adicional, de puro ocioso, me puse a ver que dominios usaban hosting compartido, y los resultados son bastante curiosos teniendo en cuenta que algunos de los dominios que encontraba no son de cualquier empresita.

Y como puedo saber si uso hosting compartido, o si alguien usa hosting compartido?

Una forma podría ser usando el buscador de live.com:

http://search.live.com/results.aspx?q=ip%3A__.__.__.__&go=&form=QBLH

Remplazar __.__.__.__ por el ip de tu hosting.

También puedes usar: http://www.myipneighbors.com/

Leí hace pocos días un articulo que habla sobre un tema de seguridad que no es nada nuevo sobre HTTP source streaming, pero que aun sigue siendo increíblemente un problema en muchas paginas, cuyos programadores aun no toman en serio la seguridad o simplemente desconocen de las técnicas adecuadas para programar de manera segura.

Algunos programas necesitan dar la posibilidad de descarga de archivos desde la web, el problema radica básicamente en que el programa suelta archivos con código en lugar de file pointers guardados.

Aquí un ejemplo muy simple del concepto:

www.example.com/download.php?file=newsletter.PDF

Y esto es lo que podria permitir hacer:

www.example.com/download.php?file=download.php

www.example.com/download.php?file=config.php

De esta manera podrías tener acceso al código fuente, y obtener mucha información. Buscando en Google hay muchos sitios que son vulnerables a este tipo de ataques.

http://www.google.com/search?q=allinurl:download.php?file =

Según el articulo, hay por lo menos 250,000 sitios que son posiblemente vulnerables. En una rápida búsqueda que hice, me encontré con varios de estos sitios, que además de permitir obtener el código fuente, me permite obtener el usuario y la clave de acceso a la base de datos, entre otra información.

Fuente: http://0×000000.com/index.php?i=563

Entre los administradores de red, y personas relacionadas con seguridad de la información, es muy común el revisar los archivos históricos de paginas que han sido comprometidas. En su momento fue Attrition.org, luego fue Alldas, los que mantenían una lista de los defacements, sin embargo desaparecieron para luego aparecer Zone-H y hacerse cargo del mismo trabajo.

Hoy Zone-H mantiene una base de datos enorme con los registros de los diversos ataques efectuados a paginas webs, siendo esta una fuente muy valiosa de información para los sysadmins al analizar la frecuencia de los ataques y los métodos utilizados. Sin embargo me entero en su Web que podría dejar de hacerlo, debido a las diversas criticas que ultimamente están recibiendo, por considerar que lo que hacen es incitar a los atacantes a realizar mas ataques a sitios webs.

Visiten su página y voten para que no dejen de archivar los defacements.