lunes, 5 de septiembre de 2016

Los reportes, la historia de los forajidos informáticos.

Muy buenas a todos, ya que este blog va dedicado a contar experiencias dentro del mundo del hacking y la seguridad informática, me gustaría compartir a parte de mis experiencias, otras situaciones que les hayan podido pasar otras personas, si estás interesado en contar alguna experiencia contactame, ya sea por Twitter, por Facebook o por correo.

Hoy os voy a dejar algo muy interesante que le pasó a un usuario de Underc0de llamado Copernico.

Los reportes, la historia de los forajidos informáticos.

Para todos los que nos dedicamos al tema de la informática y la seguridad, ya sea por hobby o por trabajo, reportar vulnerabilidades es un trabajo riesgoso que a los diseñadores y administradores no les suele sentar muy bien y por ello suelen reaccionar de mala manera. Esto es bastante comprensible ya que a nadie le gusta que le digan que hace mal su trabajo, imaginaos al panadero, que de repente llegan a su panadería y le cuentan que hace mal el pan, por supuesto no le sentará bien. Sin embargo, si la vulnerabilidad es reportada con educación, respeto y lo más importante, sin hacerse el sabiondo, se suelen recibir respuestas más relajadas pero tampoco mucho más agradables (por lo general un: vale lo revisaremos).

Ojalá hubiese sabido esto hace un año cuando apenas había reportado un par de fallos y lo hacía rápido y mal, sin explicar quién era ni  como lo había descubierto. Mi caso se dio en una tienda de cámaras y dispositivos de vigilancia que tenía, y tiene, un fallo SQLinjection. El no saber cómo reportar y hacerme un poco el sabiondo hizo que me respondieran de una manera seca y como si fuese cachondeo.




Aunque la verdad es que me respondieron más o menos igual que como yo les escribí XD. Lo tengo merecido. Lo dejé correr y seguí a lo mío intentando aprender hacking.

La cosa es que como por aquel entonces no tenía mucha idea (solo hacía SQLI para ser más exactos) solía repetir muchas veces lo mismo a la hora de buscar vulnerabilidades a lo loco por Google (sí, daba asco, lo sé)  me volvió a aparecer la misma página y me pregunté: “¿serán tan inútiles como desagradecidos?” Y me metí de nuevo, por supuesto no lo habían arreglado por lo que les mandé otro mail pero en esta ocasión algo más contundente, les dije su contraseña de administrador –que por cierto, era “Administrador” y el usuario el nombre de la web con un 1 al final, si señor– y que al igual que yo cualquiera podría robarles la información.  Tras esto se enfadaron un poquitín, con razón, y me respondieron lo siguiente.


Es en este momento cuando a alguien con muy mala idea como yo se le pasa por la cabeza: …';shutdown -- … Pero eso es solo para Navidad a modo de regalo.

La verdad es que cuando a uno le llaman criminal se piensa las cosas dos veces pero en este caso supongo que lo dijeron para acojonarme y que les dejase en paz o la policía pasó de ellos, ya que a partir de ese mail no recibí nadad más, aunque a día de hoy siguen igual, pero yo me callo y todos contentos… Sea lo que fuere hay que aprender de los errores, yo ya tengo mi propia “disculpa-advertencia” pre-escrita  para cuando tengo que reportar fallos, la copio, le cambio los nombres de las webs y del fallo y lista para mandar . No es gran cosa pero me encargué de hacer hincapié en que es sin querer y que no les he provocado ningún daño para que se queden tranquilos. No he sido muy laureado durante este añito que llevo de reportar pero no todo son malas noticias el 31 de agosto por fin alguien me agradeció que les hubiese encontrado un fallo. En una web de juegos y apuestas me regalaron 20.000 points y desde aquí se lo agradezco.



Parece ser que no todos los administradores se lo toman a mal y es que si se hace con educación y respeto cuenta la leyenda que algunas empresas lo agradecen… Pero vamos que son solo leyendas, no busquéis beneficio a la hora de reportar porque os vais a llevar un canto en los dientes.
Muchas gracias, espero que os haya gustado.


Gracias Rollth por darme esta oportunidad a un neófito como yo en el mundo del hacking. 

Saluti.

Grasias Copernico por escribi el pos, io solo pensaria en vengasa!!!!

domingo, 10 de abril de 2016

¿Eficacia en los servicios públicos? Cuéntame más...

Hace unos días encontré una vulnerabilidad XSS en esta página web y aunque era una web sin ningún excesivo interés ni mucha información confidencial me decidí a reportarlo.

Tardó en contestarme diciendo que lo había arreglado 11 minutos. Aquí es cuando te preguntas: ¿Y a mi qué me importa todo esto? Y tienes toda la razón, no me importa ni a mí :D

La cuestión es que echándole un vistazo a la página web de la universidad de Granada encontré en relativamente poco tiempo 3 vulnerabilidades diferentes, entre las que había 2 XSS y un upload.php bypasseable. Hasta aquí todo bien (relativamente), el problema llega cuando envías un correo a la universidad y nunca (hasta el momento) se te responde.

Al tiempo entrando otra vez en la web de la universidad, encuentro de casualidad otra XSS, y ya que no se me había contestado al correo decidí poner este tweet.

En esta ocasión si me respondieron al instante por MP y la conversación fue tal que así.



Aquí dejé la cosa y no volví a prestarle atención a este tema hasta hoy cuando he visto esto.

No han arreglado después de casi un mes ninguna de las vulnerabilidades que reporté, ¿Por qué en una web sin mucha importancia tardan en arreglar un fallo 11 minutos y en otra web con mucha información confidencial e importante directamente no lo arreglan? Yo creo que la respuesta es obvia, la gente se toma a broma la seguridad y así, la gente mala como yo os vamos a hackear a todos ¡A TODOOOOOOOS!

Saluti.

Este no tiene grasia, pero eh que no veah la mala leche que me ha entrao por tol cuerpo.

miércoles, 9 de marzo de 2016

Recopilación peticiones.

Muy buenas, cree este blog con la intención de mostrar algunas situaciones que se dan en el día a día de la seguridad informática (no es nada técnico, en caso de que quieras ver post míos sobre seguridad haz click aquí). Y me pareció una buena idea poner algunas de las peticiones que me hacen desde que soy parte del staff de Underc0de.



El primero que quiero mostrar es uno de los que más me han molestado, no por la petición en sí (que me dan todas igual, ya te hagan bulling o tu novia se lie con su jefe), si no porque he conocido a poca gente tan pesada, os pongo unas fotitos para que veais.



Empezó a pedirme esa estupidez a las 16:54, y después de media hora en los que envió mas de 50 mensajes le gasté una pequeña broma a ver si se callaba (Soy un iluso).


Esto siguió un rato bieeeen largo. La siguiente que quiero enseñar es una chica que yo creía que estaba intentando ligar conmigo (por eso de mi belleza absoluta), pero al cabo de una semana me demostró que no, que la gente simplemente es interesada.

No he encontrado la conversación, pero tengo la foto de cuando me rompió las ilusiones de que en algún momento fuera a tener a alguien que me quisiera y la historia amorosa de su amiga (puedo prometer que me estaba tirando mucho la caña).



Este link tiene la historieta que me contó para que hackease el Facebook.

Por último quiero decir que si alguna vez tienes pensado pedirle a alguien que te hackee algo (o cualquier otro favor) piensa que el que está al otro lado de la pantalla también es una persona, e intenta no ponerte pesado (Y PAGA!!!! PAGA!!!!).


Saluti.


No veah lo bien que ma queao pa seh el primero.