977
www.securitybydefault.com/2008/11/meneame-insecure-by-def... La gente de security by default realiza un detallado analisis de la seguridad de menéame, y la misma no sale demasiado bien parada. Aquí sus conclusiones: Para finalizar, las conclusiones son las mismas que siempre: "Un dedo no hace mano, pero sí con sus hermanos", aunque no hay debilidades importantes y el sistema presenta fortalezas destacables, el elevado número de "problemillas" (o vulnerabilidades de criticidad baja-media), podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas..."
menéame
#2 tampoco es que hayan detectado un bug y lo hayan publicado... no ha dicho cosas que no se sepan.
De cualquier manera asi perl ya estara avisado
Y como dice 3, no es un portal inseguro, simplemente tiene cositas por pulir que pueden llevar a algo mas gordo.
Ha declarado perl...
Lo que más gracia me ha hecho ha sido este: "El portal de meneame tiene un sistema de CAPTCHA, para evitar ataques de fuerza bruta, esto quiere decir que la aplicación detecta que desde una misma dirección IP se prueban usuarios y contraseñas incorrectos y solicita que se introduzca el texto de una imagen para asegurar que no se realiza de forma automática. El uso de este sistema es una fortaleza, al igual que "los contadores", que no son reiniciados cuando se produce una autenticación válida. El problema viene dado con las limitaciones, que son algo generosas. Tras dos accesos erróneos aparece el captcha, pero tras 90 segundos, se permite volver a probar sin necesidad de introducirlo. Aunque apriori este tiempo es alto, el uso de unas decenas de proxys, permitiría probar unos miles de usuarios (conocidos) contra una contraseña en un par de horas"
jajaja, claro, un señor que puede controlar, de forma paralela, digamos, 1000 proxys, se va a poner a intentar sacar por fuerza bruta una contraseña de un usuario en meneame... que por otra parte, como la contraseña tenga 6 carácteres se va a tirar varias semanas (con suerte).
He oido a todos los karmawhore como se les hacia la boca agua de imaginarse a si mismos en la portada... y con una noticia de su blog!
¿Por cierto como se negativo/positivo un comentario/noticia?
¿No pasa eso ya con la famosa mafia?
Efecto meneame -> más visitas -> mejor valoración de publicidad -> más pasta en muchos casos -> etc etc
que por otra parte, como la contraseña tenga 6 carácteres se va a tirar varias semanas (con suerte).
No se trata de probar caracter por caracter (aaaaaa - aaaaab - aaaaac) con todas sus combinaciones sino de escoger una clave típica como p ej "123456" y probar esa clave con todos los usuarios de menéame, probar si yo tengo esa contraseña, si tú la tienes, etc, partiendo de una lista de usuarios de menéame ¿cuantos somos, diez mil?, entonces sólo serían diez mil pruebas o menos.
Con respecto a los proxies: www.google.es/search?q=lista+de+proxies
Por lo cual, no hay que ser tan megahacker como dices, unas "nociones básicas" y listo.
"Me ha llegado algún correo preguntando y para aclararlo. Únicamente añadir que el artículo se envió a Ricardo, autor de la aplicación para que lo tuviera en consideración antes de su publicación. Este respondió en apenas unas horas aclarando todos los puntos que considero oportunos."
Muy bien.
Conseguiré hacer eso con el nombre de usuario FrancescJosep y publicaré que Gas Natural ha enviado una factura a un cliente con el nombre de Antonio Gilipollas Caraculo MWUAHAHAHAHAHAHAHAHA
# Los usuarios deben de utilizar contraseñas fuertes para evitar que su cuenta sea robada
...implantar en php un sistema que detecte que en la contraseña hay al menos un número, una letra y un caracter? en forosdelweb fijo que encuentras la solución.
# El sitio web debería implantar una política de contraseñas fuerte. Obligando el uso de números y mayúsculas, así como comprobar que no se puede introducir una contraseña igual al usuario.
...hacer esto? if ($usuario==$contraseña) {echo "el usuario no debe de ser igual a la contraseña"} lo de números y mayúsculas es como en el punto anterior.
# También debería ampliarse el tiempo de "bloqueo", de 90 segundos a un número mayor y molesto, como 15 minutos
... cambiar el número 90 por 900 (15min)?
# Meneame debería implantar un servidor http seguro por el que transmitir credenciales y sesiones.
... poner un https? dudo que a "los creadores de menéame" le cueste hacer esto.
# El sistema debería contemplar que el usuario introducido para registrarse en la aplicación tiene que ser distinto al nombre de usuario (apodo) que aparece interactuando con las noticias, evitando numeración de "logins" válidos.
...incluir una casilla más en el formulario de registro? una para el nombre de usuario para autentificarse. Después la otra con el nick. Tan solo es hacer login con el primero, luego mostrar el segundo como ocurre ahora.
¿Gasta tan poco? No tengo muy claro que gaste "tan poco", pero bueno... Estoy de acuerdo en que al menos las páginas de login deberían llevar HTTPS.
El resto del artículo me parece un poco exagerado. Por ahí arriba hablan de informar de las vulnerabilidades al autor... Pero es que no son vulnerabilidades, es un diseño, digamos, "laxo".
Voy a usar el mismo método que los autores del artículo para analizar la seguridad de un sedán familiar:
- Las ventanillas tienen cristales. Peligrosos en caso de incencio (por asfixia) y por los posibles cortes. Deberían tener rejillas soldadas. El problema del viento en la cara se resuelve con un buen casco integral.
- Los cinturones son endebles y de un solo punto. Deberían equipar cinturones de 6 puntos de anclaje.
- El coche permite a los usuarios entrar sin casco. Debería haber un sistema que obligase a los ocupantes a usar casco integral.
- Las puertas del coche no están blindadas. Un ladrón con suficiente fuerta bruta y una buena palanca podría abrirlas en 2 horas o menos.
- Los cristales no están tintados, por lo que cualquiera que pase al lado puede ver el interior del coche, con la consiguiente pérdida de privacidad.
Vistos estos puntos concluyo que este coche es.... (¡¡chán chán!!) insecure by default!
"La política de contraseñas ha de ser robusta", ¿qué me estás contando? Menos mal que menéame es rocket science y hacen falta contraseñas robustas.
Eso es solo un ejemplo... no me parece demasiado relevante el artículo, ya que las cosas que apunta no tienen porqué aplicar a cualquier sitio.
Como dicen más arriba, esto no es un banco.
Se lo pasas a tu amigo y ya sois dos, se lo pasas a otro y sois tres...
De lo que se trata es de evitar la espera de 90seg, no de usar mil proxys a la vez..
1.- (OWASP 4.5.1) El primer paso es verificar que la información sensible es transmitida por un canal seguro, es decir, tanto usuario y contraseña SIEMPRE ha de ser transmitido por https, así como la sesión si está integra autenticación.
Totalmente de acuerdo. El HTTPS para el login es muy necesario.
2.- La política de contraseñas ha de ser robusta, esto quiere decir que se ha de contemplar el uso de números, minúsculas, mayúsculas e incluso caracteres especiales. Obligar únicamente que la contraseña se componga de un número mínimo de caracteres es peligroso, puesto que permite contraseñas tan triviales como por ejemplo "12345" o "meneame". Se muestra el código de la versión 3 del software de meneame donde se identifica la política utilizada.
Parcialmente de acuerdo. Estaría bien como añadido pero no es un fallo de seguridad. Es ser una niñera (aunque sea útil)
3.- (OWASP 4.5.2) La enumeración de usuarios es importante, ya que si se lleva a cabo, se puede generar un diccionario de usuarios, y realizar fuerza bruta inversa, es decir, programar una pequeña utilidad que pruebe todos los usuarios identificados con una contraseña "típica" y como hemos visto en el punto anterior, "12345" o "meneame", son contraseñas que posiblemente existan en el sistema.
Exageración. En nada de acuerdo. Me parece que la "ventana de oportunidad" que abre es demasiado leve como para elimianr esa funcionalidad.
4.- (OWASP 4.5.4) El portal de meneame tiene un sistema de CAPTCHA, para evitar ataques de fuerza bruta, esto quiere decir que la aplicación detecta que desde una misma dirección IP se prueban usuarios y contraseñas incorrectos y solicita que se introduzca el texto de una imagen para asegurar que no se realiza de forma automática. El uso de este sistema es una fortaleza, al igual que "los contadores", que no son reiniciados cuando se produce una autenticación válida. El problema viene dado con las limitaciones, que son algo generosas. Tras dos accesos erróneos aparece el captcha, pero tras 90 segundos, se permite volver a probar sin necesidad de introducirlo.
Exageración. Aparte de que los intentos de fuerza bruta cantarían en el log de accesos que ni Pavarotti...
Fuerza bruta cada 90 segundos me parece algo que ni debería plantearse » ver todo el comentario
Próximamente: "la autovía es insegura porque no tiene agentes cada cinco metros vigilando que todo el mundo lleve puesto el cinturón o el casco"
meneame.net/story/tutorial-para-hackear-meneame
¡Jueins, vuelve!
Tu ADSL no soportará 1000 proxies simultáneos pero si 30: 30 intentos cada 4seg -> 450 intentos por minuto, supongamos que somos diez mil usuarios: 10.000/450 = 22.22 minutos. Tan solo 23 minutos para probar con todos los 10mil usuarios. Pongámosle tres horas porque no todo es perfecto ¿tres horas es tanto?.
Absurdo, totalmente absurdo...
HTTPS para logins OK. En cambio esto me parece una estupidez...
¿Con https para logins te refieres a cuando te logueas?, ¿y cuando, una vez logueado, entras a tu perfil, iría también todo ello sobre https? porque ahí está la clave api y tu móvil p ej.
Pues añade a la autenticación por HTTPS que para visualizar y modificar los datos sensibles también se use.