martes, febrero 09, 2010

Sorprendente

A veces, cuando hablo de Microsoft Internet Explorer 8.0 me siento con en la canción de Rosendo Mercado: "Navegando a Muerte". Parece que se ha instalado en el hipotálamo popular que MS Internet Explorer 8.0 es malo en seguridad y todo el que no siga la doctrina es un vendido. De hecho, llevo enzarzándome con este motivo con Sergio Hernándo, viejo conocido desde su etapa en Hispasec - dónde ya nos empezamos a enzarzar - porque, aunque él diga que no, en sus artículos se nota la vena reaccionaria anti-Spectra y, especialmente, anti MS Internet Explorer.

La verdad es que después de estar trabajando en el documento que veréis publicado en breve sobre la seguridad en los navegadores me sorprenden los datos que he visto y que a nadie le importa demasiado. Haré una breve relación de algunas preguntas:

1) ¿A nadie le sorprende que Mozilla, durante este año, haya tenido más del doble de vulnerabilidades de seguridad que cualquiera del resto de los navegadores? ¿A nadie le sorprende que la enorme mayoría hayan sido highly critical?

2) ¿A nadie le soprende que Opera ejecute los widgets que vengan de una URL "widgets.opera.com" sin comprobar nada más y que sea tan fácil como suplantar el nombre para calzar un troyanaco?

3) ¿A nadie le soprende que habilitar y deshabilitar javascript en Google Chrome sea arrancar una nueva instancia sin ninguna posibilidad de configuración de parámetros? ¿Cuántos sabéis como se hace? ¿Qué no se pueda configurar políticas de seguridad sobre los plugins?

4) ¿A nadie le sorprende que desde Firefox sea la segunda vez que distribuyen malware desde el sitio oficial mediante plug-ins contaminados?

5) ¿A nadie le sorprende que Google Chrome cambie de versión cada cuatro meses y algo? ¿Y que en la versión 4.0 la actualización haya sido silenciosa sin contar con el consentimiento de administradores de sistemas?

6) ¿A nadie le sorprende que Apple Safari deje vulnerabilidades en versiones anteriores con menos de 1 año de antiguedad sin parchear con la excusa de "upgrade next versión"?

7) ¿A nadie le sorprende que los que hablan de navegadores en Internet Explorer, con los fallos de las versiones 6 o con DEP deshabilitado, que su recomendación sea "usar otro navegador" en lugar de poner "upgrade next version" existiendo la versión IE7 e IE8?

8) ¿A nadie le sorprende que alguien que habla de seguridad en empresas recomiende por seguridad utilizar navegadores no administrables centralizadamente?

9) ¿A nadie le sorprende que Internet Explorer sea el que permita diferentes configuraciones de seguridad en función de 4 zonas de seguridad? ¿A nadie le sorprende que Internet Explorer sea el único que permite configurar permisos por sitios y usuarios en los componentes?

10) ¿A nadie le sorprende que los que se rascan las vestiduras con un fallo explotable sólo en IE6 con el DEP deshabilitado no se las rasgen con estas otras cosas y recomienden "utilizar otro navegador"?

A mi me parece, como dice Rosendo "Sorprendente"! Si no te gusta IE, ¡no lo uses coño! Puedes descargarte cualquiera de estos:

- Descargar Google Chrome 4.
- Descargar Mozilla Firefox 3.6
- Descargar Apple Safari 4
- Descargar Opera Browser 10.

...y no hagas que me sorprenda.

Saludos Malignos!

Publicado por Maligno en 12:01 AM 23 comentarios

Etiquetas: , , , , ,

lunes, febrero 08, 2010

Robots.txt & sitemap.xml

Cuando se hace una auditoría de seguridad de una web es paso obligado consultar el fichero robots.txt para encontrar información jugosa que no se encuentra a través de los buscadores. Lo cierto es que este ficherito, se convierte en buen compañero del auditor revelando en muchos casos más información de la debida cuando, curiosamente, se había creado para lo contrario.

El fichero robots.txt se creó para indicar a los bots que se dedican a hacer crawling qué deben y qué no deben indexar para evitar que información importante quede almacenada en un buscador al alcance de cualquiera. Bueno, no sólo para esto, también para conseguir un mejor rendimiento del servidor ya que, antes del estallido de las técnicas SEO muchos estaban preocupados por la carga de trabajo que generaban en los servidores web la llegada de los bots.

Sin embargo, no deja de ser curiosa la información que de allí se saca por muchos motivos. Algunas veces por la cantidad de detalles que se ponen en los comandos Disallow, que llegan a poner el nombre del fichero completo como este de la página web del premio Alfred N.


Parte del robot.txt de la página de los premios Nobel

Otros, simplemente porque te ayudan a encontrar las zonas de administración internas y a reconocer el software. Este ejemplo es el del caso del ministerio de la vivienda, en el que se puede saber, no sólo la ruta de administración –por suerte hoy no publicada después del incidente-, sino también la versión de software que hay corriendo.


Robots.txt de la web del ministerio de la vivienda en España

Algunos son curiosos, como el de Google, que es enorme y me tuvo intrigadísimo que se quedaran pruebas ahí publicadas, como /u/ o /c/ y que incluso esta segunda desapareciera. ¿Os imagináis que Google se autoindexara recursivamente como lo de buscar Google en Google?


Parte del Robots.txt de Google.es

Una mala configuración del fichero robots.txt puede hacer:

a) Que el bot tarde más en indexar y se penalice el rendimiento del servidor.
b) Que documentos que se desean públicos no queden publicados
c) Que documentos que no se desean públicos queden publicados
d) Que se descubran rutas, zonas de administración o versiones de software utilizadas

Configurar un robots.txt no es muy complicado, y suele ser más un problema de despiste que de conocimiento en sí. Muchas herramientas ya lo configuran por defecto, lo que se puede utilizar para hacer un poco de fingerprinting sobre el sw que se está utilizando y algunos optan por el famoso disallow:* intentando que nada quede en los buscadores. Sin embargo, cuando te encuentras esto, se pasa directamente a la fase de buscar sus buscadores internos.

Quizá la mejor opción es configurar un robots.txt más o menos público, pero que oculte bien los directorios importantes sin dar mucha información en la ruta de los mismos.

Para los amantes del SEO se crearon los sitemap.xml que son más evolucionados y permiten optimizar la frecuencia de optimización y la carga del servidor. Si tienes un sitemap bien configurado en el que se definen, simplemente, las fechas de última modificación de los ficheros, el agente no indexará si ya lo tiene y mejorará el funcionamiento. De nuevo, un exceso de publicación en los sitemaps.xml puede ser muy favorecedor para el atacante.

Por último, me gustaría destacar el buenhacer del uso de las tecnologías en la web de EU2010 que, no sólo no se dignaron ni a pasar la copia gratuita de Acunetix, que detecta XSS for free, sino que han pasado en canoa de sitemaps.xml, robots.txt y cosas así, total, con su opencms ellos lo valen.


eu2010 sin robots.txt


Saludos Malignos!

Publicado por Maligno en 12:01 AM 7 comentarios

Etiquetas: , , ,

Suscribirse a: Entradas (Atom)