Quién sabe si continúa la fiesta en Argentina, pero formalmente la EkoParty terminó ayer a la noche, más tarde de lo que se suponía, en el Centro Cultural Konex. El evento de seguridad informática contó con muchas conferencias interesantísimas, pero desde el inicio se sabía que habría una estrella: Juliano Rizzo y Thai Duong presentarían una vulnerabilidad 0 day para ASP.NET.
ASP.NET es el entorno creado por Microsoft para competir con Java y es utilizado aproximadamente por el 25% de los sitios de Internet. Por otra parte, una vulnerabilidad es calificada como "0 day" cuando es, hasta el momento del anuncio, completamente desconocida: es decir, ni Microsoft ni ninguna otra persona en el mundo conocían esta vulnerabilidad, por lo que no hay manera de evitarla o detenerla.
La conferencia fue muy curiosa, ya que comenzaron explicando las cuestiones más técnicas sobre criptografía que hacen posible el ataque. Los conceptos eran fascinantes, pero había tensión en el aire: todos querían conocer, ver la vulnerabilidad. De todos modos, antes de hacerla pública, dedicaron unos minutos a comentar algunos de los problemas de seguridad más notables de ASP.NET. En principio, remarcaron el hecho de que viola la "regla dorada" del desarrollo web: no almacenes ningún dato de importancia crítica en el directorio raíz, ya que Web.config, el archivo de configuración más importante dentro del framework, se encuentra justamente en el directorio "root" y contiene información de usuarios y claves.
Además, la API de criptografía de ASP.NET no autentica los mensajes por defecto y no hay manera sencilla de generar las llaves: algunas veces son creadas en línea, nunca se cambian durante la vida de una aplicación y son utilizadas para todo. Con respecto a la vulnerabilidad, es explotada mediante el Padding Oracle Attack y permite al atacante (según el caso) pues bien, hacer prácticamente lo que desee.
Finalmente Juliano Rizzo y Thai Duong mostraron en una demo cómo funciona el ataque, llevado a cabo mediante POET, una herramientra creada por ellos y, como el código todavía no fue liberado, arrojaron al público al final de la conferencia tres pendrives con la herramienta cargada. Para estas horas, no quiero imaginar cuánta gente ya tiene en sus manos a POET (ni cuántos están experimentando con la vulnerabilidad por su propia cuenta).
Absolutamente todos los sitios desarrollados en ASP.NET son posibles víctimas y no hay nada que puedan hacer todavía para evitarlo. Microsoft, por su parte, publicó un Security Advisory en el que se hace eco de la vulnerabilidad, minimizando su gravedad y asegura que la está investigando, tras lo cual hará lo posible por ayudar a sus clientes. Microsoft dice que la vulnerabilidad "sólamente" permite que se filtre información, cuando depende de las aplicaciones que estén instaladas en el servidor, siendo posible que se comprometa el sistema por completo. De acuerdo a Microsoft todavía no ha sido reportado ningún ataque, pero aunque sea verdad no deberían hacerse esperar.
Buenas,
Seguro que el evento ha sido super interesante, lástima no haber podido ir, aunque en todos estos eventos intuyo ciertas informaciones partidista en contra de una u otra plataforma, y en este caso, en contra de ASP.Net, y que además no es del todo correcta, como lo de la regla de oro que comentas que viola al poner usuarios y claves en Web.config, regla que no rompe ASP.Net sino el borrico que se le ocurre hacer eso :-)
Un saludo!
en el We.config no hay claves de usuarios.... lo mas grave es el connectionString, si se lo coloca sin encriptar.
No creo que a nadie con mas de dos dedos de frente se le ocurra colocar usuarios y claves en el Web.config, todos saben que esa información se guarda en una base de datos, lo que pasa es que aqui lo unico que saben es copiar y pegar y no analizan lo que publican.
Justo eligieron DotNetNuke, tal vez uno de los peores desarrollos sobre .Net.
Con respecto a las claves, es muy mala practica ponerlo en web.config, y los Connection Strings no solo se pueden encriptar, si no que usando configSource los podes poner en otro archivo.
Y las claves globales se manejan en rutas en las que un assembly bien configurado no tiene acceso directo. Siempre en lo posible hay que usar "Medium Trust".
A ver si consigo esa herramienta para probarla contra un sitio bien configurado...
La vulnerabilidad no es en la configuracion ASP.NET, sino de implenentacion de crypto de la API.
Mas información y un workarround: http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
Andan imparables los hackers:
http://www.genbeta.com/actualidad/vulnerabilidad-de-escalada-de-privilegios-en-el-kernel-linux
Y se fueron a la yugular del núcleo.
Si bien publicaron la herramienta la misma se encuentra codificada o encriptada de alguna forma que hace imposible su uso. Es mas en el readme del exploit dice esto: 1. you have to solve some challenges to get the exploit
enjoy ;-) Eso explica porque no se registraron ataques es obvio que pocos o ninguno pudieron resolver este inconveniente.
Saludos
Augusto, (o alguien que haya conseguido la data del tan controversial pendrive) pudiste descifrar el código del exploit??
Intenté algunas pruebas pero por ahora no pude lograr nada. Seguro debe tener que ver con el cifrado en modo CBC Si alguien lo logró aunque sea tire alguna pista
saludos
hay que descomprimir el archivo, luego queda el poet.py ese lo montan en el truescript y ahi habre otro archivo cifrado !! en openssl
Alguien tiene ese archivito poet.py
si luis, lo tengo por algun lado guardado, contactame y te lo paso