Un pentester acaba en prisión por un descuido

Un pentester acaba en prisión por un descuido

Hay que tener cuidado con lo que uno hace, da igual si eres un white hat hacker o investigador con las mejores intenciones del mundo. Y para ilustrar esto, hablaremos del caso de un investigador de seguridad que acabó en prisión por no cuidar el procedimiento al realizar un análisis de riesgos en una web.

El protagonista de la historia es David Levin, CTO -Chief Technology Officer- que trabaja en la compañía de pentesting Vanguard Cybersecurity. El hecho sucedió de la siguiente forma: mientras estaba haciendo pruebas de pentesting sobre la web dedicada a las elecciones en Florida -Condado de Lee- accedió a nombres de usuario y contraseñas de empleados.

Un pentester acaba en prisión por un descuido

Sus intenciones eran buenas -quería saber hasta donde podía un atacante extraer información de la web- pero no cayó en la cuenta de que debía recibir una autorización para ello.

Accediendo a la información descrita mediante inyecciones SQL -usando la herramienta gratuita Havij- quizá lo que más irritó a los oficiales de policía es que antes había informado a Dan Sinclair, uno de los candidatos para el puesto de Supervisor de elecciones, sobre sus hallazgos.

Podéis encontrar un tutorial sobre Havij v 1.16 en Youtube

Entonces, decidió grabar un vídeo (y encima publicarlo) subido a Youtube, explicando lo sencillo que había sido infiltrarse en estos sitios web. Sólo después notificó a las autoridades de lo que había ocurrido.

Levin no lo ve así, claro está, y nadie le discute su intención de ser profesional y ayudar a mejorar la seguridad de las oficinas electorales en EEUU, pero cometió un error de procedimiento que le ha salido bastante caro: extraer y utilizar datos internos para desclasificarlos sin consentimiento.

“Detente pronto, informa éticamente”

Un compañero, de nombre Troy Hunt, dijo al respecto que “las relajaciones en materia de seguridad eran flagrantes”.  pero que Levin tendría que haber parado en ese momento y reportarlo, en lugar de extraer datos directamente de la web.

Esos datos incluían cradenciales almacenadas en texto claro (otro fallo de seguridad masivo) que eran entonces usados para iniciar sesión en la web y navegar por recursos privados -al menos, supuestamente-.

De forma habitual, con el riesgo de tipo inyección SQL es suficiente con una simple solicitud con un carácter erróneo, para obtener la conclusión medianamente fiable de que existe un riesgo de seguridad.

Por ejemplo, una URL con una solicitud como ID=123 podría devolver una excepción SQL interna a la página, si una comilla simple está asociada y, por tanto, deformando la solicitud. Esta excepción no devolvería ningún dato personal y no te llevaría a la cárcel (o al menos no hay precedentes), pero es suficiente para realizar la demostración.

Levin fué arrestado el pasado 4 de Mayo -él mismo se entregó tras conocer la orden de arresto- y fué soltado horas después de que pagase unos 15000 dólares como fianza. Ahora mismo se enfrenta a un delito de tercer grado contra la propiedad ajena.

Moraleja: da igual lo buenas que sean tus intenciones, si no cuidas el método caerán sobre ti con el mazo de Thor 😛

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s