martes, junio 19, 2012

No le vemos problema alguno a los reportes que nos envías

Hace unos dias, revisando unos scripts que realicé en Perl decidí adaptarlos con algunos modulos a una pagina shtml. Tenía montado un servidor Apache corriendo en mi maquina, aceptando scripts en CGI para poder probar las salidas que realizaban desde el servidor hasta el cliente. Decidí buscarme un alojamiento que me brindara la posibilidad de programar Perl en el servidor contratado.

Para mi sorpresa, al ejecutar uno de los scripts que subo descubro que tengo mas privilegios en el servidor desde mi cuenta gratuita de los que me esperaba. Tas reiterados correos electrónicos a la compañía durante dias advirtiéndoles de algunos errores en sus configuraciones, y la única respuesta que recibo es:
//No le vemos problema alguno a los reportes que nos envías//
Como no sé si esto es una cosa solo en mi cabeza, os paso algunos de los los reportes que he enviado que no son considerados como problema:

Reporte 1:

Esta empresa como muchas otras tiene un Panel de Control donde el cliente mantiene un usuario y una contraseña para acceder desde la pagina web del proveedor a sus servicios - facturaciones, dominios contratados, espacio contratado, etc. - y paralelamente acceso a su Cpanel para la configuración de sus servicios dado por otro usuario y otra contraseña.

Figura 1: Información en datos de cuenta

En el primer reporte podemos comprobar como en el Panel de Control del Site podemos ver en texto plano el usuario y la contraseña que da acceso al Cpanel de la configuración de todo nuestro sitio. ¿Realmente es un problema?¿Un error?¿Es normal? Si lo es no se porque tener dos usuarios y dos contraseñas distintas de acceso.

Reporte 2:

Programe un script que listase en una tabla los archivos de un directorio dado con su enlace, pero al hacerlo se me olvidó indicar el directorio a listar. Como aún no tenia claro qué directorios iba a emplear configuré un simple my $dir = '../'; con lo que me dí cuenta de la mala gestión del administrador del sitio.

Figura 2: Ejecución de un listado de ficheros desde Perl

Fue entonces cuando me picó en la nuca ese gusanillo que te hace la tipica pregunta de “¿Y si…?” Pues si. ¿Y si pruebo todo lo que puedo obtener de aquí para tener los suficientes argumentos y que la empresa a la que no le debo nada proteja a sus clientes? Por lo menos los clientes que tengan cuentas que estan pagando un dinero por tener sus ficheros protegidos.

Tras eso cree distintos scripts en Perl que ejecutaban comandos en el sistema. Y estos son los resultados.

Figura 3: Salida de un comando df -h

Figura 4: Salida de un cat /etc/passwd

Sin extenderme más, he de decir que abandono mi cuenta en este hosting, porque no me gustaría que cualquier pudiera acceder al código de mis programas, así que mejor no usar este servidor.

Terminando con este llanto a gritos

Llevo mas de dos semanas intentando de buena fe contactar por todos los medios con esta empresa que suministra espacio protegido a la gente. Me he tomado las molestias de recopilar todo tipo de información para que se guíen a la hora de ver qué ocurre, moletandome para nada, porque la única respuesta ha sido:
//No le vemos problema alguno a los reportes que nos envías//
Pues vale, sin problemas, aquí queda escrito, saludos a http://www.host-ed.net/ por la colaboración aen este articulo.

Saludos
Miguel Francisco Morata

9 comentarios:

  1. ja! qué insolencia!
    Para difundir realmente. Muchas gracias.

    ResponderEliminar
  2. No le vemos problema alguno... Vaya tela.

    ResponderEliminar
  3. La verdad que es un pena que la gente le da tan poca importancia a la seguridad. Muchas veces el problema es el desconocimiento de lo que puede pasar. Yo conozco ya un caso de un amigo, y cuando digo amigo no me refiero a mi, aunque me podría haber pasado también. Y el resultado fue que a todas las paginas le metieron un bonito javascript para temas de seo. solamente tuvo que cerrar el foro por que ademas se lo llenaron de spam. A veces uno sabe como acertar, si se lo dices se ofenden, y si te callas comprometes tus datos. No comprenden que nuestro objetivo no es ofender si no todo lo contrario ayudar. Gracias Chema seguro que mas de uno se asustara como vea que tiene ahí su hosting.

    ResponderEliminar
  4. Pues oye, si no le ven ningún problema, será que no lo hay... Tú es que te alteras por nada :P

    ResponderEliminar
  5. A mí me pasó algo parecido hace poco. Me encontré una manera de obtener datos personales de una web de ¡UNA ADMINISTRACIÓN PÚBLICA! De buena fe, les llamé para comentarles el problema. Se movilizaron, todo sea dicho.. hasta me pusieron al teléfono con un jefe de informática de allí. Le expliqué qué pasaba. Me hizo un par de preguntas (pocas, para mi gusto) y me prometió que me llamaría cuando lo arreglaran. Ha pasado alrededor de un mes y ahí sigue el fallo. Y claro, tú puedes no contratar con esta empresa de hosting, pero ¿cómo dejas de "contratar" con una administración pública?Es una vergüenza. Más, pensando lo que me habría pasado a mí si mi web tuviera el mismo error y alguien me denunciara. A lo mejor eso es lo que tengo que hacer, ir a la AEPD...

    ResponderEliminar
  6. No me extraña que no vean ningún problema.. de la lista de premios de que presumen, no hay ningún empresa de seguridad... casi casi se merecen una auditoria gratuita :D

    ResponderEliminar
  7. Eso pasa frecuentemente, me imagino que como los servidores son gratuitos no les ponen mucho empeño, al contrario de los pagados (o eso quiero pensar).

    Hace unos años encontré algo parecido en 000...... se podía acceder a cualquier archivo mediante una función de curl, al decírselo al administrador me dijo que no era posible porque esas funciones estaban deshabilitadas, eso hasta que le mostré el archivo passwd, luego lo arreglaron.

    ResponderEliminar
  8. Un aplauso has echo lo correcto avisar primero a los administradores y luego publicar la informacion ;)
    En cuanto al host ... cuanto pasotismo en cuanto la seguridad... no me asombro nada he visto de todo en pequeñas, medianas empresas

    ResponderEliminar
  9. Yo me he topado con lo mismo en una cuenta de pago en la que no está permitido el uso de ssh. ¿quién lo necesita si puedes acceder subiendo a tu web un phpterm? Triste pero cierto.

    ResponderEliminar