-
Ayer me sorprendió una noticia a primera hora de la mañana en la lista de Aprendices. Al parecer, un tal Lance M. Havok había decidido que lo que el mundo necesitaba era un herramienta para hackear instalaciones de Wordpress: Pwnpress (cuidado con los 404 en esta pagina que son NSFW).
Básicamente se trata de 1000 lineas de código ruby con una mínima gui (eso sí muy graciosa… incluso nos propone escuchar “THE FINAL COUNTDOWN by Europe” mientras la estemos utilizando). En la herramienta se aprovechan diferentes errores que existen en el código fuente de Wordpress para apropiarse de información sobre los usuarios del blog pertinente.
En el mundo de la seguridad informática estos scripts que se aprovechan de problemas detectados en el código fuente del software atacado son conocidos como exploits debido a su capacidad para “explotar” dichos errores para beneficio del hacker de turno. Así nos encontramos con que la supuesta herramienta no es más que un agregado de estas recetas malignas, que por otra parte ni siquiera son invención del tipejo mencionado.
Wordpress tiene errores de seguridad. Existen exploits para aprovecharse de ellos. Existen personas dispuestas a usarlos. Cuanta novedad junta. Lo que realmente me ha ¿molestado? es la poca exhaustividad y mucho FUD con la que se presentaba la noticia en Kriptopolis, con argumentos tan técnicos como que con ella podíamos vulnerar una instalación de Wordpress “sin necesidad de saber hacer la “o” con un canuto”. Interesante.
No soy un experto en seguridad ni un asiduo lector de Kriptopolis, pero si lo fuí durante varios años (1998-2004) del histórico boletín “una-al-dia” de Hispasec, y lo que siempre admire de él era la meticulosidad y seriedad con la que eran presentados todos y cada uno de los artículos. Cuando estas hablando de un tema como el de la seguridad, la información no rigurosa es casi tan dañina como la vulnerabilidad en si misma. Si no tienes cuidado con lo que dices puedes dejar a mucha gente hecha un lio o simplemente atemorizada.
Por ello, y dispuesto a saber realmente a lo que nos enfrentamos, he estado mirando el código fuente de la “herramienta”. A continuación os presento lo que en mi modesta opinión debería haberse presentado en cualquier noticia relacionada con esta herramienta con la intención de que la gente conozca la “magnitud” real del problema y como protegerse del mismo.
Pwnpress: Peligros potenciales
Con la necesaria combinación de exploit + configuración del sistema wordpress atacado, el atacante podría llegar a hacerse con el nombre de todos los usuarios (y los respectivos hash de sus contraseñas y emails) o ejecutar el código que quisiera en el servidor afectado.
Versiones afectadas.
Las versiones sobre las que la herramienta actúa son:
- 1.5.1.1 : exploit_1511_catsqlinjection
- 1.5.1.3 : exploit_1513_codeexec
- 2.0.5: exploit_205_trackback_utf7
- 2.1.3/2.2 : exploit_220_suggestCategories_xmlrpc, exploit_222_pingback_xmlrpc
- 2.2.2 : exploit_222_pingback_xmlrpc
Los diferentes exploits en pocas palabras
exploit_220_suggestCategories_xmlrpc
Mediante una inyección de sql y si -y solo si- sabemos el nombre y la contraseña de un usuario del weblog -cualquier Suscriber o Contributor valdrá- podremos recuperar el listado de todos los usuarios del weblog con los hash de sus contraseñas.
exploit_222_pingback_xmlrpc
Un truco parecido al suggestCategories (pero con la inyección en base64.. buen truco! XD) que esta vez no necesita del usuario/contraseña y se apoya en un bug del sistema de pingback.
exploit_205_trackback_utf7
Este exploit ni siquiera lo ha implementado. Lo cual teniendo en cuenta lo que opina sobre el creador original (“The original exploit from Stefan Esser was mediocre at best. No offense meant, it was just a seriously deficient piece of horse shit.”) no deja de tener su gracia.
exploit_1511_catsqlinjection
Mas inyección de sql. Esta vez solo para versiones realmente antiguas (Feb 2005). Resultado el mismo: el nombre de usuario, su dirección de correo y el hash de la contraseña.
exploit_1513_codeexec
Un exploit diferente para una versión igual de antigua. Dependiendo de la configuración de nuestro Wordpress (register_globals habilitado) permitiría al atacante ejecutar cualquier tipo de código en nuestro servidor.
Workaround (o apaño para no sufrir los ataques en castellano :-)
La instalación de ultima versión estable de Wordpress inhabilitara todos y cada uno de los problemas presentados. En general es buena idea (o imprescindible dependiendo del esfuerzo que emplees en tu blog) hacer una copia de seguridad cada poco tiempo (una semana puede estar bien) y mantener actualizado el software con, al menos, la ultima versión estable.
La verdad es que una de las peores cosas que nos ha traído esta magnifica web 2.0 es la capacidad para que unos pocos generen un tremendo ruido en muy poco tiempo. Aunque claro el tema de “hacer ruido”
daríada por si mismo para otro post.
10 comentarios para “Sobre Pwnpress y cómo informar sobre seguridad informática”
Deja un comentario
LO ÚLTIMO DE LINKED
- Hay días que parece que la meta se aleja según te acercas
- Diseña primero, codifica después.
- La Rumble 2009 calienta motores
- One ticket to Euruko 2009 can be yours
- Días duros, días buenos
- Conciliación
- EuRuKo 2009
- Diseño industrial
- Innovación.. Qu’est-ce que c’est?
- Euskadi, el software libre y otras cosas que estan de moda.
RSS de los últimos artículos
- Dani Latorre en Hay días que parece que la meta se aleja según te acercas
(4 comentarios) - alberto en Hay días que parece que la meta se aleja según te acercas
(4 comentarios) - Ricardo en Hay días que parece que la meta se aleja según te acercas
(4 comentarios) - Álvaro Sánchez-Mariscal en Hay días que parece que la meta se aleja según te acercas
(4 comentarios) - Ricardo en Diseña primero, codifica después.
(8 comentarios) - ana en Diseña primero, codifica después.
(8 comentarios)
RSS de los últimos comentarios
Linked, el blog de Linking Paths
-
Sobre LinkedLinked es el blog de Linking Paths, la empresa aventurera e innovadora formada por Aitor Garcia, Alberto Molpeceres y Roberto Salicio. En él hablamos de nuestros productos, ideas, y de compañías que nos sirven como guía y ejemplo. Si quieres conocernos un poco mejor puedes revisar lo que hemos escrito en los archivos.
-
Proyectos, ideas, etc.
Totalmente de acuerdo Aitor. A veces mis posts son algo cortos, pero qué razón tienes que cuando leí la noticia en Kriptópolis me resultó muy chocante.
Eso sí, lo has explicado expléndido tio.
Por cierto, me gusta vuestro blog, me voy a suscribir ;-)
Un saludo, FeLiPe
Tu blog es personal y por lo tanto la longitud de tus opiniones esta a tu total discreción (aunque incluso llegados a este punto convendría dejar claro que tu post es el doble de largo que el suyo).
Lo triste es que eso mismo se produzca en un site que pretende ser respetado y tomado como referente en el mundo de la seguridad. Gracias por tu comentario, la gratitud nos embarga XD.
Se que hay cientos de miles de jaqueros aburridos deseando cargarse cualquier página, motivo por el que (Dios me libre de volver a hacerlo), publico este mensaje de forma “anónima” (como bien se encargan de inculcarnos nada de lo que hacemos a través de internet puede ser calificado de esta forma).
Soy webmaster aficionado y mantengo varios sitios de páginas con chorradas para compartir con colegas (los del curro, los antiguos compañeros de facultad, los de las vacaciones…). No tengo ni puñetera idea de informática, por lo que todos están gestionados con sistemas de contenidos open source. No tengo tiempo (ni ganas) de estar pendiente de las actualizaciones, se me pasan saltos varias versiones entre actualización y actualización y, jamás, he sufrido (que yo sepa) un ataque.
Seguro que muchos (entre los que me incluyo) antes del bombardeo publicitario de la aplicacioncita no tenían ni idea de que se pudiera “atacar” un blog. Aplaudo este artículo. Ahora se que realmente puedo seguir estando tranquilo.
La seguridad no es sólo cuestión de las aplicaciones que utilizas, también hay que ser conscientes de cómo y para qué. Todos los programas (incluido el software libre) trae avisos sobre seguridad, nadie se hace responsable de que tus trabajos (los que te dan de comer) se borren, así que… ¿qué pasa por que alguien encuentre las dirección de correo electrónico con la que mis colegas se bombardean chistes reenviados indiscriminadamente? ¿qué pasa por que pierda las anotaciones de las últimas semanas? ¿qué pasa por que aparezca un artículo que yo no he escrito en la primera plana del blog durante unas horas? ¿acaso no tengo los comentarios abiertos a que se escriban las burradas que la gente quiera dejar?
Seguridad… información es lo que (me) hace falta.
Es necesario que, sin entrar en el sensacionalismo, se informe de los problemas de seguridad que, como he dicho en varias ocasiones, son reales y están ahí. Pero ser conscientes de este hecho jamas debe conducirnos al temor o a la desconfianza. No debemos echarnos a la bartola y pensar que por haber actualizado el blog a principios de este año estamos protegidos como si de un seguro de vivienda se tratara. Como se decía antiguamente: a Dios rogando y con el mazo dando.
No hay que tener temor, todo lo contrario. El hecho de que estos fallos sean públicos es precisamente el motor que impulsa a todos los proyectos opensource a mejorar . Ya sea publicando cómo hacer un troyano backdoor, colaborando activamente en el proyecto o documentando (tú, desarrollador libre que tienes tu blog) cómo protegerte (tú, usuario) de ciertos ataques conocidos (que viene a ser la versión 2.0 de “cómo implementar esos ataques y cómo detectarlos”!).
Yo soy fotógrafo aficionado y si quiero desarrollar mi afición satisfactoriamente tengo que preocuparme, no sólo de proteger mi obra pública y privada, sino de respetar y aceptar sin más las normas impuestas mucho antes de que yo supiera qué era un lápiz. (Que a alguien no le guste que le saquen fotos o que no pueda sacar la cámara en un recinto privado).
Una elección libre implica inexcusablemente un compromiso y asunción de responsabilidades contigo mismo en algunos casos y con terceros en otros. Y la seguridad no sólo es una cualidad del software, también es un compromiso que adquiere el usuario cuando acepta/elige utilizar una aplicación. Si usas Windows, sabes a lo que me refiero sin duda.
Yo entiendo que a las aficiones no se les puede dedicar ni la mitad de los recursos ni tiempo que requieren, que te puede hinchar las narices tener un hacker que publica cómo levantarte la falda, como a mi me las hincha que me manden guardar la cámara en determinados conciertos. Y por hacker me refiero a un artesano, no el término periodístico tan mal utilizado y tan mal entendido.
Inevitablemente, somos libres, yo para saltarme las normas1 o no hacer lo que no te apetece, como todo el mundo :-), todo se reduce al comprimiso que has tomado y las responsabilidades que has asumido. Todavía hay sistemas informáticos de organismos importantes vulnerables a ataques plenamente conocidos o con pequeñas variaciones de ellos y el mundo, inevitablemente, sigue funcionando.
Un gran post Aitor, sí señor.
por que claro, por mi cara bonita no me van a dar un pase de prensa para el concierto de Electric Six en Madrid del 28 de octubre:-). ↩
He formateado mal el comentario anterior: el asterisco de normas es una referencia a las dos últimas líneas. Y ahora que me releo, quería decir “saltarme las normas”. :-)
Arreglada la edición. Este tipo de comentarios son los que hace que merezca la pena tener un weblog. De nuevo la gratitud nos embarga. Gracias.
<
p>[...] t
<
p>[...] t
[...] Es realmente triste que algo escrito con la mejor de las intenciones, en una sección llamada “Opinion”, actúe de centro gravitacional de tanto zafio lector. Pero es simplemente inadmisible que se preste soporte mediático a sus ruines, catetas y mediocres críticas en diferentes portales y comunidades, lo cual no deja de recordarme sucesos bien cercanos. [...]