jueves, abril 29, 2010

La OTAN y el Yoga compañeros de IP

Otra vez jugando ayer con la FOCA, me encontré con un dominio de la OTAN bastante curiosote. El dominio es la página web del cuartel general de ARRC de la OTAN, los Allied Rapid Reaction Corps, es decir, de los Cuerpos de Reacción Rápida de los Aliados. De todos los servidores y dominios de la OTAN que aparecieron, muchos estaban en sus propios servidores, pero, no éste.


Hoy está caido, pero os juro que hay una web superchula que podéis ver en la caché de Google

Una de las características que implementa la FOCA 2 es la búsqueda de nuevos dominios y servidores por medio del servicio de búsqueda por IP de BING. Así, FOCA resuelve la IP, que aquí hacemos con un sencillo ping:

La IP del servidor que aloja la web de los ARRC

Y busca en BING a ver que otros dominios están alojados en esos servidores, nada extraño.


Los compañeros de IP

La gracia de esta página web, que curiosamente hoy está caida, es que está alojada en un servidor de Hosting con muuuuuuuuchos otros dominios. Entre otros, este simpático, y primer resultado, del Yoga y la Naturaleza, sin contar que la lista parece bastante larga. Buscando en robtex por esa IP también sale una buena lista.

Como por muchos es sabidos, encontrar dominios que comparten servidor, ayuda a encontar otras posibles puertas de entrada a vulnerar la seguridad de lo que haya en el sitio web objetivo. ¿No debería la OTAN tener un servidor hiper-mega-la-hostia-de-seguro para evitar situaciones desagradables por el hackeo de un dominio que comparta IP?

Saludos Malignos!

14 comentarios:

Unknown dijo...

Bueno, tampoco quiere decir que compartan servidor... Simplemente pueden estar compartiendo load balancer, no?

Chema Alonso dijo...

@fvilla, sí. Comparten IP, y por tanto algún equipo comparten en el camino.

Si esto es así, todos los servicios que no reconozcan hostname sólo podrán ser divididos por puerto y eso implica que, más que probablemente, para una web únicamente, no tengan un servidor dedicado detrás.

Saludos!

zhenyxn dijo...

@Maligno muy bueno ;), tus últimos post están molandome bastante!
;)

salu2

Anónimo dijo...

Es curioso, pero tampoco hay que echarse las manos a la cabeza. Sin analizar mucho la web, parece que es una web meramente informativa y sin mucho contenido interesante.

Las medidas de seguridad sirven para proteger algo y ellas deben ser proporcionales al valor de ese "algo". No tiene sentido gastarse un pastizal en "un servidor hiper-mega-la-hostia-de-seguro" si realmente no hay mucho de valor.

Aparentemente, el mayor peligro que puede tener es que les hagan un "deface" y, sinceramente, no creo que les importe demasiado.

pepe dijo...

Totalmente de acuerdo con el anónimo anterior, por cierto, parece que la Web ya está de nuevo en funcionamiento.

Chema Alonso dijo...

@pepe y @anónimo, yo veo como mayor peligro que distribuyan malware a sus usuarios, que esos usuarios sean militares, que el malware sea un troyano espía y hagan una operación de ciber-espionaje por una web de la OTAN en un servidor perdido.

¿no lo véis así?

Saludos!

Chema Alonso dijo...

Creo que ya he visto tantas cosas que se me pone la mirada sucia rápidamente...

Anónimo dijo...

Desgraciadamente, si alguien quiere "troyanizar" el ordenador de un militar no se va a dedicar a "juaquear" webs de terceros para poner malware en una web de la OTAN.

Es tan sencillo como mandar un email con un asunto como "mirar que foto tan chuli", que un alto porcentaje de ellos lo abrirá, otro alto porcentaje se "contagiará" por la LAN y el restante ya alojará a algún bichillo digital en su PC...

En mi opinión, es curioso que una web de la OTAN esté en un servidor compartido, pero ello no quiere decir que esa "cutre-web" necesite una hiper mega seguridad.

Las medidas de seguridad dependen del valor de lo que hay que proteger.

Chema Alonso dijo...

@anónimo, lo que me llama la atención es que la OTAN no tenga 1 servidor con una buena seguridad para todas las cutre-webs.

Tal vez tu aproximación sea válida, pero esta que yo he dicho también. Reducir la superficie de exposición implica reducir al máximo los riesgos.

Tener 1 servidor para las cutre-webs es muy justificable. Te hago yo el análisis de riesgos y el ROI si hace falta ;)

Saludos!

pepe dijo...

Por supuesto, la mayoría de las veces, organizaciones/empresas importantes no dan importancia a estos temas (cutre-webs) y luego se la clavan por ahí. Estoy de acuerdo contigo con que la importancia de la información no pasa solo por asegurar los servidores principales y dejar de lado el resto. Sin embargo, también creo que emplear un servidor dedicado para una Web de este tipo es "exagerado".

Dato informativo:

Analizando algunas Webs de "alrededor" se puede llegar a rootear el server. Al menos 5 o más Webs BSQLi & SQLi y acceso a 3 paneles de administración.
Nota para alarmistas: no he llegado mas allá xD

Salu2

Chema Alonso dijo...

@pepe, lo que yo creo es que la OTAN tiene muuuuuuuuuuuchas webs pequeñitas que podía aunar. Eso es todo. Y sé bueno.... ;)

pepe dijo...

Por supuesto. No hay duda. También creo que estos pequeños detalles son los que después se lamentan.

Jajaj soy bueno, pero el aburrimiento hace mucho.

Yo dijo...

Aunque sea una cutre-web, el impacto mediático que podría tener si consiguen publicar algún contenido inadecuado puede ser bastante amplio.

Unam1 dijo...

Pues efectivamente la web es cutre y "meramente" informativa, pero informativa al fin y al cabo. Ya nos dicen dónde van a estar estos amigos este verano, y parece que hay determinados consejos (documentos Word incluidos) sobre qué han de hacer los militares transferidos con sus animales de compañía, bancos, colegios, etc. Seguro que, como buenos militares, siguen los consejos al pie de la letra.

Buen fingerprinting para empezar con algo de ingeniería social...pero con la mirada muy sucia y con intenciones aún peores.

Esta página no parece destinada a hacer publicidad de OTAN para el gran público, sino para miembros del ARRC. ¿O acaso es una especie de honeypot?

Da para hacer un ejercicio paranoico completo, ¿no creeis?

Saludos

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares