EDICIóN GENERAL
288 meneos
 
Menéame: insecure by default

Menéame: insecure by default

La gente de security by default realiza un detallado analisis de la seguridad de menéame, y la misma no sale demasiado bien parada. Aquí sus conclusiones: Para finalizar, las conclusiones son las mismas que siempre: "Un dedo no hace mano, pero sí con sus hermanos", aunque no hay debilidades importantes y el sistema presenta fortalezas destacables, el elevado número de "problemillas" (o vulnerabilidades de criticidad baja-media), podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas..."

| etiquetas: menéame , seguridad
158 130 1 K 745 mnm
158 130 1 K 745 mnm
Lo cortés y prudente en estos casos es avisar primero al dueño del sitio para que arregle los fallos, y luego publicarlo si se quiere.
En un comentario del autor del artículo:

"Me ha llegado algún correo preguntando y para aclararlo. Únicamente añadir que el artículo se envió a Ricardo, autor de la aplicación para que lo tuviera en consideración antes de su publicación. Este respondió en apenas unas horas aclarando todos los puntos que considero oportunos."

Muy bien.
#20 "No veo ninguna razón para no usar https. Es tan facil de hacer... Gasta tan poco..."

¿Gasta tan poco? No tengo muy claro que gaste "tan poco", pero bueno... Estoy de acuerdo en que al menos las páginas de login deberían llevar HTTPS.

El resto del artículo me parece un poco exagerado. Por ahí arriba hablan de informar de las vulnerabilidades al autor... Pero es que no son vulnerabilidades, es un diseño, digamos, "laxo".

Voy a usar el mismo…   » ver todo el comentario
Al final le he echado paciencia y respondo los puntos que veo que fallan:

1.- (OWASP 4.5.1) El primer paso es verificar que la información sensible es transmitida por un canal seguro, es decir, tanto usuario y contraseña SIEMPRE ha de ser transmitido por https, así como la sesión si está integra autenticación.

Totalmente de acuerdo. El HTTPS para el login es muy necesario.

2.- La política de contraseñas ha de ser robusta, esto quiere decir que se ha de contemplar el uso de

…   » ver todo el comentario
Tampoco es tan inseguro, si acaso lo del https... el resto de cosas solo son políticas en los datos de logueo.

#2 tampoco es que hayan detectado un bug y lo hayan publicado... no ha dicho cosas que no se sepan.
La lista está muy bien, pero estaría mejor enviar parches (para eso es software libre), igual que han hecho a menudo Álex Concha (www.buayacorp.com/) o José Carlos Norte (eyeos.org), que son los principales auditores del código.
Entiendo que la seguridad en un sitio menéame no tiene porque ser la misma que en una web de un banco. Perseguir esto me parece ridículo.
#24 Exageración. Increíblemente absurda esta propuesta. Todo lo que envías a Menéame es público. Es absurdo cifrar la sesión para que no puedan "sniffar" el comentario enviado... ¡que se publica en un sitio accesible por todos! ¡D'oh!
Absurdo, totalmente absurdo...

HTTPS para logins OK. En cambio esto me parece una estupidez...

¿Con https para logins te refieres a cuando te logueas?, ¿y cuando, una vez logueado, entras a tu perfil, iría también todo ello sobre https? porque ahí está la clave api y tu móvil p ej.
Obligar únicamente que la contraseña se componga de un número mínimo de caracteres es peligroso, puesto que permite contraseñas tan triviales como por ejemplo "12345" o "meneame"

Próximamente: "la autovía es insegura porque no tiene agentes cada cinco metros vigilando que todo el mundo lleve puesto el cinturón o el casco"
Despues de leer todos los "problemas" de seguridad, observo que el sitio donde está alojado ese artículo y presumo que son los mismos que han realizado el análisis, adolece de la mayoría de esos mismos problemas...

Lo que más gracia me ha hecho ha sido este: "El portal de meneame tiene un sistema de CAPTCHA, para evitar ataques de fuerza bruta, esto quiere decir que la aplicación detecta que desde una misma dirección IP se prueban usuarios y contraseñas incorrectos y solicita…   » ver todo el comentario
Amarillista, y mucho :-)

"La política de contraseñas ha de ser robusta", ¿qué me estás contando? Menos mal que menéame es rocket science y hacen falta contraseñas robustas.

Eso es solo un ejemplo... no me parece demasiado relevante el artículo, ya que las cosas que apunta no tienen porqué aplicar a cualquier sitio.

Como dicen más arriba, esto no es un banco.
#12 No has entendido el artículo:

que por otra parte, como la contraseña tenga 6 carácteres se va a tirar varias semanas (con suerte).

No se trata de probar caracter por caracter (aaaaaa - aaaaab - aaaaac) con todas sus combinaciones sino de escoger una clave típica como p ej "123456" y probar esa clave con todos los usuarios de menéame, probar si yo tengo esa contraseña, si tú la tienes, etc, partiendo de una lista de usuarios de menéame ¿cuantos somos, diez mil?, entonces sólo serían diez mil pruebas o menos.

Con respecto a los proxies: www.google.es/search?q=lista+de+proxies

Por lo cual, no hay que ser tan megahacker como dices, unas "nociones básicas" y listo.
"podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas..."

Conseguiré hacer eso con el nombre de usuario FrancescJosep y publicaré que Gas Natural ha enviado una factura a un cliente con el nombre de Antonio Gilipollas Caraculo MWUAHAHAHAHAHAHAHAHA
podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas...

He oido a todos los karmawhore como se les hacia la boca agua de imaginarse a si mismos en la portada... y con una noticia de su blog! xD
Yo por eso uso seis asteriscos de contraseña.
#9 ¿cientos de usuarios? Venga hombre... que no es difícil, pero creo que los lammers a tanto no llegan.
Seguro que el tipo es amiwito de Jueins xD

meneame.net/story/tutorial-para-hackear-meneame
¡Jueins, vuelve!
_ "¡Vaya hombre!, otra vez a la faena. ¿Es que no va a poder ganar uno dinero sin tener que trabajar?"
Ha declarado perl... :roll:
#14 No se quejan, dicen lo que hay, ¿tan difícil es...:

# Los usuarios deben de utilizar contraseñas fuertes para evitar que su cuenta sea robada
...implantar en php un sistema que detecte que en la contraseña hay al menos un número, una letra y un caracter? en forosdelweb fijo que encuentras la solución.

# El sitio web debería implantar una política de contraseñas fuerte. Obligando el uso de números y mayúsculas, así como comprobar que no se puede introducir una contraseña igual al…   » ver todo el comentario
No se...debo ser el único que piensa que esto no deja de ser un tablón de anuncios...Muy útil, pero solo eso. Seguridad!? Pues en una Web del Banco, sistemas de la administración, etc. ¿Pero en una web de noticias/comentarios? Pues me parece irrelevante, intrascendente y hasta gracioso...
¿Por cierto como se negativo/positivo un comentario/noticia?
Hombre, el codigo de meneame es publico, yo solo publicito la noticia, otra cosa es que la gente de sbd haya avisado antes de publicar el articulo, que eso no lo se.

De cualquier manera asi perl ya estara avisado :-)

Y como dice 3, no es un portal inseguro, simplemente tiene cositas por pulir que pueden llevar a algo mas gordo.
#39 Hmmm no había caído en eso del móvil y la clave API. Muy buen detalle :-)

Pues añade a la autenticación por HTTPS que para visualizar y modificar los datos sensibles también se use.
"podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas..."

¿No pasa eso ya con la famosa mafia? :roll:
#26, vale, primero que lo de "amigos" no sé cuantos amigos estarían dispuestos ha hacer eso, y segundo, entonces ya no hablamos de que "en unos minutos se hacen varios miles de pruebas", porque si vas de proxy en proxy, de uno en uno, siendo muy generosos, hablamos de 1 intento cada 4 o 5 segundos.
#18 no, si cualquiera es capaz de encontrar un proxy, para eso está google; pero ya cualquiera no es capaz de integrar un ataque distribuido usando 1000 proxys, que además, una conexión normal ADSL tampoco te soporta la comunicación simultanea con 1000 proxys.
#33 A ver... pongamos que probar la contraseña con un proxy lleve 4 segundos:

Tu ADSL no soportará 1000 proxies simultáneos pero si 30: 30 intentos cada 4seg -> 450 intentos por minuto, supongamos que somos diez mil usuarios: 10.000/450 = 22.22 minutos. Tan solo 23 minutos para probar con todos los 10mil usuarios. Pongámosle tres horas porque no todo es perfecto ¿tres horas es tanto?.
#23 ¿Cuantos amigos tienes?, pues tantas ADSLs tienes. Es más, nadie dijo que las conexiones deberían de ser simultáneas. ¿tan difícil es hacer un script que se conecte a un proxy, pruebe, se conecte a otro, pruebe, se conecte a otro, pruebe...?

Se lo pasas a tu amigo y ya sois dos, se lo pasas a otro y sois tres...

De lo que se trata es de evitar la espera de 90seg, no de usar mil proxys a la vez..
hOygan soy MATAJACKER de barrapunto y voy a jackear el meneame ese que dicen.

xD
Yo si lo veo un poco relevante, sobretodo teniendo en cuenta que esta plataforma, mal aprovechada y explotada, es el mejor spam legal, permitido y aceptado por todos que existe.

Efecto meneame -> más visitas -> mejor valoración de publicidad -> más pasta en muchos casos -> etc etc
Es un poco putdón, exponer los fallos del sistema en su propia web, ya que ahora habrá cientos de usuarios probándolos e intentado sacar las claves.
Que sirva de lección tambièn para los usuarios que usan su mismo nombre y contraseña tanto en sus correos como en todo servicio que usan.
comentarios cerrados

menéame