Hacking con buscadores (nivel noob) : Colándome en CAMPOFRIO

La verdad es que me arrepiento de no haber dedicado más tiempo a estudiar seguridad informática. Es un campo apasionante. Y además, muy al alcance de cualquiera….Pero nunca es tarde ¿no?

De hecho, me encontraba en el ordenador de mi amigo TROY, que además es policía (algo que ya le he comentado alguna vez que proclama demasiado, por eso lo menciono sin más que su nick) via TEAMVIEWER, cuando después de hacer de «amigo informático» optimizando algunos recursos de su sistema: index server, restaurar sistema, etc… Le comenté que estaba dándole duro al tema de la seguridad informática en el que me ha iniciado ese gran profesional y mejor persona que es CHEMA ALONSO, al que tengo la suerte de tener por amigo.

Bueno, pues desde su propio ordenador y viendo que el tema le fascinaba, ya que además tenia un espectador y sabía que me iba a decir «tío a ver que haces que soy policía!!!» pues le enseñe las múltiples facilidades que da a un hacker el uso de sólamente google.

Que conste que dejo claro que esto es de muy bajo nivel, pero aún asi, di en unos segundos con el servidor de una gran compañía, totalmente abierto, con total acceso y con un grave riesgo de intrusión.

Para el que lea esto y no esté muy versado, básicamente google se dedica a indexar todo el contenido de la red. Por tanto, todo el contenido del server es examinado por los buscadores como google, dejando ver muchas veces cosas que no deberían estar a la luz: archivos de passwords sin encriptar o con encriptados fácilmente descifrables, volcados de la base de datos, e-mails y/o direcciones personales (incluso con contenido que podrían facilitar mucho un ataque de ingeniería social) y un largo etc …. La fuente de recursos es casi infinita.

En este caso, probé con XAMPP. XAMPP es una suite que permite fácilmente poner operativo todos los recursos de una web: WEB con MySQL, PHP y Perl. Fácil y rápido, y «demasiado» cómodo. Con frecuencia cuando se usa algún software de este tipo, después no se toman las medidas correctas a posteriori, cumpliendo una regla de oro de la seguridad informática: LO FÁCIL NUNCA ES SEGURO.

Una vez instalado XAMPP habría que acceder a su panel de control y limitar el acceso desde internet y establecer contraseñas de seguridad. Así que desde el ordenador de mi amigo TROY de paso a su vista realicé una búsqueda de sitios con dominio .ES (site:.es) que tuvieran XAMPP instalado, donde en la url se incluya «security» (ya que la url es localhost/security/index.php) y si no se ha configurado correctamente, phpadmin muestra un mensaje de alerta donde dice «php is free accesible by the network» donde pone claramente que es INSECURE.

GOOGLE

Bueno pues después de comprobar que los señores de CAMPOFRÍO invierten poco o nada en su seguridad informática, realice la captura correspondiente. Cualquier ciberdelincuente con ese tipo de acceso libre, podría no solo acceder a toda la red, si no además asegurarse privilegios de administrador para futuros ataques, robo de información, suplantación de identidad, monitorizar el tráfico de la red, en fin, todo un abanico de ciber-delitos.

Aqui la captura que lo demuestra : CAPTURA

Visto esto, como digo, en unos segundos, solo quedaba recoger las alabanzas de mi colega el policía entre su admiración y un poco de canguelo, y escribirles a los señores de campofrío un email informándoles del grave problema de seguridad que presentaba su servidor «SECURE» (LOL). Ni que decir tiene que he esperado hasta que este problema se ha resuelto aunque no he indagado si presentan otras deficiencias, tras 48 horas. Eso sí, ni un triste gracias ….No costaba mucho ¿no?

En fin, si algun noob como yo, ha encontrado útil este artículo, le recomiendo encarecidamente el libro HACKING CON BUSCADORES DE 0xWord de ese gran hacker que es ENRIQUE RANDO, y por el que doy las gracias a Chema que me lo ha regalado. Os aplaudiría hasta que me sangraran las manos.

Andrés Naranjo «XXL-MAN».

2 Responses to Hacking con buscadores (nivel noob) : Colándome en CAMPOFRIO

  1. chwilówka dice:

    Sprawdź ranking na chwilówka i weź szybką pożyczkę internetową lub kredyt przez internet.

  2. My wife and i were very thankful when Raymond managed to round up his web research with the precious recommendations he was given while using the weblog. It is now and again perplexing to simply possibly be releasing tips and hints which usually the others might have been trying to sell. We really take into account we now have you to thank for this. Those illustrations you made, the straightforward website navigation, the relationships your site make it possible to promote – it is mostly unbelievable, and it is making our son in addition to us understand this topic is thrilling, which is certainly very vital. Thanks for the whole thing!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *