La gente de security by default realiza un detallado analisis de la seguridad de menéame, y la misma no sale demasiado bien parada. Aquí sus conclusiones: Para finalizar, las conclusiones son las mismas que siempre: "Un dedo no hace mano, pero sí con sus hermanos", aunque no hay debilidades importantes y el sistema presenta fortalezas destacables, el elevado número de "problemillas" (o vulnerabilidades de criticidad baja-media), podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas..."
Comentarios
Lo cortés y prudente en estos casos es avisar primero al dueño del sitio para que arregle los fallos, y luego publicarlo si se quiere.
En un comentario del autor del artículo:
"Me ha llegado algún correo preguntando y para aclararlo. Únicamente añadir que el artículo se envió a Ricardo, autor de la aplicación para que lo tuviera en consideración antes de su publicación. Este respondió en apenas unas horas aclarando todos los puntos que considero oportunos."
Muy bien.
#20 "No veo ninguna razón para no usar https. Es tan facil de hacer... Gasta tan poco..."
¿Gasta tan poco? No tengo muy claro que gaste "tan poco", pero bueno... Estoy de acuerdo en que al menos las páginas de login deberían llevar HTTPS.
El resto del artículo me parece un poco exagerado. Por ahí arriba hablan de informar de las vulnerabilidades al autor... Pero es que no son vulnerabilidades, es un diseño, digamos, "laxo".
Voy a usar el mismo método que los autores del artículo para analizar la seguridad de un sedán familiar:
- Las ventanillas tienen cristales. Peligrosos en caso de incencio (por asfixia) y por los posibles cortes. Deberían tener rejillas soldadas. El problema del viento en la cara se resuelve con un buen casco integral.
- Los cinturones son endebles y de un solo punto. Deberían equipar cinturones de 6 puntos de anclaje.
- El coche permite a los usuarios entrar sin casco. Debería haber un sistema que obligase a los ocupantes a usar casco integral.
- Las puertas del coche no están blindadas. Un ladrón con suficiente fuerta bruta y una buena palanca podría abrirlas en 2 horas o menos.
- Los cristales no están tintados, por lo que cualquiera que pase al lado puede ver el interior del coche, con la consiguiente pérdida de privacidad.
Vistos estos puntos concluyo que este coche es.... (¡¡chán chán!!) insecure by default!
Al final le he echado paciencia y respondo los puntos que veo que fallan:
1.- (OWASP 4.5.1) El primer paso es verificar que la información sensible es transmitida por un canal seguro, es decir, tanto usuario y contraseña SIEMPRE ha de ser transmitido por https, así como la sesión si está integra autenticación.
Totalmente de acuerdo. El HTTPS para el login es muy necesario.
2.- La política de contraseñas ha de ser robusta, esto quiere decir que se ha de contemplar el uso de números, minúsculas, mayúsculas e incluso caracteres especiales. Obligar únicamente que la contraseña se componga de un número mínimo de caracteres es peligroso, puesto que permite contraseñas tan triviales como por ejemplo "12345" o "meneame". Se muestra el código de la versión 3 del software de meneame donde se identifica la política utilizada.
Parcialmente de acuerdo. Estaría bien como añadido pero no es un fallo de seguridad. Es ser una niñera (aunque sea útil)
3.- (OWASP 4.5.2) La enumeración de usuarios es importante, ya que si se lleva a cabo, se puede generar un diccionario de usuarios, y realizar fuerza bruta inversa, es decir, programar una pequeña utilidad que pruebe todos los usuarios identificados con una contraseña "típica" y como hemos visto en el punto anterior, "12345" o "meneame", son contraseñas que posiblemente existan en el sistema.
Exageración. En nada de acuerdo. Me parece que la "ventana de oportunidad" que abre es demasiado leve como para elimianr esa funcionalidad.
4.- (OWASP 4.5.4) El portal de meneame tiene un sistema de CAPTCHA, para evitar ataques de fuerza bruta, esto quiere decir que la aplicación detecta que desde una misma dirección IP se prueban usuarios y contraseñas incorrectos y solicita que se introduzca el texto de una imagen para asegurar que no se realiza de forma automática. El uso de este sistema es una fortaleza, al igual que "los contadores", que no son reiniciados cuando se produce una autenticación válida. El problema viene dado con las limitaciones, que son algo generosas. Tras dos accesos erróneos aparece el captcha, pero tras 90 segundos, se permite volver a probar sin necesidad de introducirlo.
Exageración. Aparte de que los intentos de fuerza bruta cantarían en el log de accesos que ni Pavarotti...
Fuerza bruta cada 90 segundos me parece algo que ni debería plantearse
7.- (OWASP 4.5.7) La falta de cifrado en la autenticación y resto de la aplicación facilita que una sesión http sea escuchada y con ello sus sesiones, se recomienda para todos los casos establecer las sesiones con el atributo "Secure", este tema es amplio y dedicaremos un artículo íntegramente a el, se puede ampliar información en: profsandhu.com/journals/ic/ieeeic00.pdf
Exageración. Increíblemente absurda esta propuesta. Todo lo que envías a Menéame es público. Es absurdo cifrar la sesión para que no puedan "sniffar" el comentario enviado... ¡que se publica en un sitio accesible por todos! ¡D'oh!
Absurdo, totalmente absurdo...
HTTPS para logins OK. En cambio esto me parece una estupidez...
8.-(OWASP 4.5.8) El servicio de CAPTCHA de la web está externalizado a un tercero: recaptcha,
aunque es una opción, todos los mecanismos de seguridad no deberían depender de otras partes, ya que se aumentan las posibilidades de ser comprometidos si se descubren nuevas vulnerabilidades para ese sitio.
Exageración. Es más probable que el CAPTCHA de una web especializada en eso sea más seguro que uno que has hecho en un rato libre y que ellos resuelvan los fallos de seguridad mucho más rápido que tú lso de tu CAPTCHA casero. Ellos son expertos, tú un aficionado...
Tampoco es tan inseguro, si acaso lo del https... el resto de cosas solo son políticas en los datos de logueo.
#2 tampoco es que hayan detectado un bug y lo hayan publicado... no ha dicho cosas que no se sepan.
La lista está muy bien, pero estaría mejor enviar parches (para eso es software libre), igual que han hecho a menudo Álex Concha (http://www.buayacorp.com/) o José Carlos Norte (http://eyeos.org), que son los principales auditores del código.
Entiendo que la seguridad en un sitio menéame no tiene porque ser la misma que en una web de un banco. Perseguir esto me parece ridículo.
#24 Exageración. Increíblemente absurda esta propuesta. Todo lo que envías a Menéame es público. Es absurdo cifrar la sesión para que no puedan "sniffar" el comentario enviado... ¡que se publica en un sitio accesible por todos! ¡D'oh!
Absurdo, totalmente absurdo...
HTTPS para logins OK. En cambio esto me parece una estupidez...
¿Con https para logins te refieres a cuando te logueas?, ¿y cuando, una vez logueado, entras a tu perfil, iría también todo ello sobre https? porque ahí está la clave api y tu móvil p ej.
Obligar únicamente que la contraseña se componga de un número mínimo de caracteres es peligroso, puesto que permite contraseñas tan triviales como por ejemplo "12345" o "meneame"
Próximamente: "la autovía es insegura porque no tiene agentes cada cinco metros vigilando que todo el mundo lleve puesto el cinturón o el casco"
Despues de leer todos los "problemas" de seguridad, observo que el sitio donde está alojado ese artículo y presumo que son los mismos que han realizado el análisis, adolece de la mayoría de esos mismos problemas...
Lo que más gracia me ha hecho ha sido este: "El portal de meneame tiene un sistema de CAPTCHA, para evitar ataques de fuerza bruta, esto quiere decir que la aplicación detecta que desde una misma dirección IP se prueban usuarios y contraseñas incorrectos y solicita que se introduzca el texto de una imagen para asegurar que no se realiza de forma automática. El uso de este sistema es una fortaleza, al igual que "los contadores", que no son reiniciados cuando se produce una autenticación válida. El problema viene dado con las limitaciones, que son algo generosas. Tras dos accesos erróneos aparece el captcha, pero tras 90 segundos, se permite volver a probar sin necesidad de introducirlo. Aunque apriori este tiempo es alto, el uso de unas decenas de proxys, permitiría probar unos miles de usuarios (conocidos) contra una contraseña en un par de horas"
jajaja, claro, un señor que puede controlar, de forma paralela, digamos, 1000 proxys, se va a poner a intentar sacar por fuerza bruta una contraseña de un usuario en meneame... que por otra parte, como la contraseña tenga 6 carácteres se va a tirar varias semanas (con suerte).
Amarillista, y mucho
"La política de contraseñas ha de ser robusta", ¿qué me estás contando? Menos mal que menéame es rocket science y hacen falta contraseñas robustas.
Eso es solo un ejemplo... no me parece demasiado relevante el artículo, ya que las cosas que apunta no tienen porqué aplicar a cualquier sitio.
Como dicen más arriba, esto no es un banco.
#12 No has entendido el artículo:
que por otra parte, como la contraseña tenga 6 carácteres se va a tirar varias semanas (con suerte).
No se trata de probar caracter por caracter (aaaaaa - aaaaab - aaaaac) con todas sus combinaciones sino de escoger una clave típica como p ej "123456" y probar esa clave con todos los usuarios de menéame, probar si yo tengo esa contraseña, si tú la tienes, etc, partiendo de una lista de usuarios de menéame ¿cuantos somos, diez mil?, entonces sólo serían diez mil pruebas o menos.
Con respecto a los proxies: http://www.google.es/search?q=lista+de+proxies
Por lo cual, no hay que ser tan megahacker como dices, unas "nociones básicas" y listo.
"podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas..."
Conseguiré hacer eso con el nombre de usuario FrancescJosep y publicaré que Gas Natural ha enviado una factura a un cliente con el nombre de Antonio Gilipollas Caraculo MWUAHAHAHAHAHAHAHAHA
podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas...
He oido a todos los karmawhore como se les hacia la boca agua de imaginarse a si mismos en la portada... y con una noticia de su blog!
#9 ¿cientos de usuarios? Venga hombre... que no es difícil, pero creo que los lammers a tanto no llegan.
Yo por eso uso seis asteriscos de contraseña.
Quejarse es fácil, programar no tanto...
Seguro que el tipo es amiwito de Jueins
Tutorial para Hackear Meneame
Tutorial para Hackear Meneame
bastardos.es_ "¡Vaya hombre!, otra vez a la faena. ¿Es que no va a poder ganar uno dinero sin tener que trabajar?"
Ha declarado perl...
#c-14" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/523140/order/14">#14 No se quejan, dicen lo que hay, ¿tan difícil es...:
# Los usuarios deben de utilizar contraseñas fuertes para evitar que su cuenta sea robada
...implantar en php un sistema que detecte que en la contraseña hay al menos un número, una letra y un caracter? en forosdelweb fijo que encuentras la solución.
# El sitio web debería implantar una política de contraseñas fuerte. Obligando el uso de números y mayúsculas, así como comprobar que no se puede introducir una contraseña igual al usuario.
...hacer esto? if ($usuario==$contraseña) lo de números y mayúsculas es como en el punto anterior.
# También debería ampliarse el tiempo de "bloqueo", de 90 segundos a un número mayor y molesto, como 15 minutos
... cambiar el número 90 por 900 (15min)?
# Meneame debería implantar un servidor http seguro por el que transmitir credenciales y sesiones.
... poner un https? dudo que a "los creadores de menéame" le cueste hacer esto.
# El sistema debería contemplar que el usuario introducido para registrarse en la aplicación tiene que ser distinto al nombre de usuario (apodo) que aparece interactuando con las noticias, evitando numeración de "logins" válidos.
...incluir una casilla más en el formulario de registro? una para el nombre de usuario para autentificarse. Después la otra con el nick. Tan solo es hacer login con el primero, luego mostrar el segundo como ocurre ahora.
No se...debo ser el único que piensa que esto no deja de ser un tablón de anuncios...Muy útil, pero solo eso. Seguridad!? Pues en una Web del Banco, sistemas de la administración, etc. ¿Pero en una web de noticias/comentarios? Pues me parece irrelevante, intrascendente y hasta gracioso...
¿Por cierto como se negativo/positivo un comentario/noticia?
"contraseñas fuerte. Obligando el uso de números y mayúsculas"
Eso no son contraseñas fuertes.
Cómparense los ejemplos:
1.- aH8r!z
2.- jokaliumen
Según esa definición, la primera sería "fuerte", con una fortaleza real de 6*6 = 36 bit, mientras que la segunda sería "débil" con una fortaleza de 4.6*10 = 46 bit o como mínimo 7*6 = 42 bit (analizando por sílabas).
Con el añadido de que la segunda es fácilmente memorizable, mientras que la primera normalmente acabaría apuntada, tal vez en un postit al lado del monitor.
Hombre, el codigo de meneame es publico, yo solo publicito la noticia, otra cosa es que la gente de sbd haya avisado antes de publicar el articulo, que eso no lo se.
De cualquier manera asi perl ya estara avisado
Y como dice 3, no es un portal inseguro, simplemente tiene cositas por pulir que pueden llevar a algo mas gordo.
#39 Hmmm no había caído en eso del móvil y la clave API. Muy buen detalle
Pues añade a la autenticación por HTTPS que para visualizar y modificar los datos sensibles también se use.
"podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas..."
¿No pasa eso ya con la famosa mafia?
#18 no, si cualquiera es capaz de encontrar un proxy, para eso está google; pero ya cualquiera no es capaz de integrar un ataque distribuido usando 1000 proxys, que además, una conexión normal ADSL tampoco te soporta la comunicación simultanea con 1000 proxys.
#26, vale, primero que lo de "amigos" no sé cuantos amigos estarían dispuestos ha hacer eso, y segundo, entonces ya no hablamos de que "en unos minutos se hacen varios miles de pruebas", porque si vas de proxy en proxy, de uno en uno, siendo muy generosos, hablamos de 1 intento cada 4 o 5 segundos.
#23 ¿Cuantos amigos tienes?, pues tantas ADSLs tienes. Es más, nadie dijo que las conexiones deberían de ser simultáneas. ¿tan difícil es hacer un script que se conecte a un proxy, pruebe, se conecte a otro, pruebe, se conecte a otro, pruebe...?
Se lo pasas a tu amigo y ya sois dos, se lo pasas a otro y sois tres...
De lo que se trata es de evitar la espera de 90seg, no de usar mil proxys a la vez..
#33 A ver... pongamos que probar la contraseña con un proxy lleve 4 segundos:
Tu ADSL no soportará 1000 proxies simultáneos pero si 30: 30 intentos cada 4seg -> 450 intentos por minuto, supongamos que somos diez mil usuarios: 10.000/450 = 22.22 minutos. Tan solo 23 minutos para probar con todos los 10mil usuarios. Pongámosle tres horas porque no todo es perfecto ¿tres horas es tanto?.
YO creo que esto ya a suc3dido..jajaja
Muy interesante lo didáctico de la fuente original de la información, p.ej.
http://www.owasp.org/index.php/Top_10_2007
No veo ninguna razón para no usar https. Es tan facil de hacer... Gasta tan poco...
No estoy de acuerdo en lo de la debilidad de los passwords. No veo realmente factible un ataque offline, por lo que lo de ahora es suficiente.
#5
Estoy totalmente de acuerdo. Los sitios web deben esforzarse en su seguridad porque se lo deben a sus usuarios, pero que un ataque pueda apoderarse de los envios o del sistema de votación en un sitio como Meneame, es irrelevante.
Todo proyecto,software etc en internet está en proceso,casi frenético,hay una versionitis aguda.nunca está perfecto.
Pero hay mucha PARANOIA DELIBERADA por la red.
Si no es para vender antivirus,son vulnerabilidades críticas, para que le des al windows update,y claro, si es pirata, pues no.
Así que cómpralo...pues NO.
Yo protejo mi sistema y mis datos bién.
¿ Que es lo peor que puede pasar ?
¿ Formatear...?
*Nota importante : Obviamente la versionitis no sé si es tanto por las mejoras implementadas o si es una huída hacia adelente de los crackers que corren como guepardos.
A los cuales soy muy aficionada.
Pues por lo menos el menéame es mucho más divertido y ameno que el Digg (Incorregíblemente yankis).
Lo que hecho de menos es el corrector, y el buscador.
(Bueno, es que uso Firefox 3.1 Beta 1, y apenas acepta complementos)
hOygan soy MATAJACKER de barrapunto y voy a jackear el meneame ese que dicen.
Es un poco putdón, exponer los fallos del sistema en su propia web, ya que ahora habrá cientos de usuarios probándolos e intentado sacar las claves.
Que sirva de lección tambièn para los usuarios que usan su mismo nombre y contraseña tanto en sus correos como en todo servicio que usan.
Yo si lo veo un poco relevante, sobretodo teniendo en cuenta que esta plataforma, mal aprovechada y explotada, es el mejor spam legal, permitido y aceptado por todos que existe.
Efecto meneame -> más visitas -> mejor valoración de publicidad -> más pasta en muchos casos -> etc etc
Los de securitybydefault son unos monos pajilleros
"permitiendo el control temporal sobre las noticias publicadas.."
El control de las noticias ya los tienen unos pocos de ideologia determinada, y no precisamente de forma temporal.