Yago Fernandez Hansen
Valoración de los usuarios: / 4
PobreEl mejor 
Addthis

Symantec

El hacker rumano UNU que anteriormente ya había conseguido acceso a una página de la compañia de seguridad Kaspersky Labs, ha conseguido acceso a un servidor Web de la empresa Symantec, también dedicada a la seguridad IT. Este hacker, intentando demostrar la inseguridad de los propios servidores de las empresas dedicadas a la seguridad, también había accedido a otro servidor de la empresa Bitdefender y a uno de la empresa nProtect.Unu ha reiterado en su defensa que el no ha publicado ninguna información privada de los usuarios, sino que simplemente ha alarmado de un fallo de seguridad a estas empresas.

La técnica que utiliza para entrar en estas páginas Web es un tipo de inyección SQL llamada Blind SQL Injection. Este tipo de inyección de código SQL hacia una página Web basada en base de datos de este tipo, no es tan espectacular como la inyección SQL estándar. La inyección ciega o blind injection no visualiza el resultado de la consulta SQL en la propia página Web, sino que se basa en la comprobación de una premisa cuyo resultado puede ser verdadero o falso. Si el resultado (por ejemplo: 1+1=2) es verdadero, la página se visualiza correctamente, si la premisa da falso como resultado (1+1=1) la página no se visualiza. Para el ataque el hacker ha utilizado las herramientas Pangolin y SQLmap.

Este es el post que publica en su propio blog, contando su hazaña. Merece la pena leer su blog para ver las técnicas de penetración que utiliza y los datos que obtiene:

Kaspersky is one of the leading companies in the security and antivirus market. It seems as though they are not able to secure their own data bases.

Seems incredible but unfortunately, its true.

Alter one of the parameters and you have access to EVERYTHING: users, activation codes, lists of bugs, admins, shop, etc.

First, lets see the version, user and name of the database.

thumb_versionuserdatabaseaa4

User host & password for mysql.user

versionxj5

This time I will not (for reasons that need no explanation) publish any screenshot with containing personal details or activation code.

I will only make public the names of the tables.

Though the list is long, the table are very interesting.

codes
users
vouchers
affectstable
bugs_settings
bugshistory
bugstable
builds
categories
commentstable
computertable
editions
filestable
frontpage
grouptable
ignoretable
milestones
paks
pmtable
priority
repfielddetail
repfields
repfieldset
repoptiondetail
repoptions
repquick
severity
statustable
substable
userstable
admin_users
best_buy
cms
cyberCrimeRegs
email_list
fr_link
fr_link_import
interview_request
k_test_users
kbfaq
kbfaq_import
kbrub
kbrub_bu
kbrub_import
login_stats
menu
menu_relations
menus
node
partners
partners_bu
portal_cms_prod_ann
portal_cms_recent_articles
portal_cms_whats_new
portal_product_orders
product_names
retail_login_stats
retail_partners
retail_users
se_login_stats
se_partners
se_users
setup
shopping_com_sales
smnr_items
smnr_items_bu
trials
trials_bu
trials_downloaded_new
trials_rpts
users
users_bu
it_hardware
activation_code_problem
admin_users
best_buy
cms
cyberCrimeRegs
e5users
email_list
fr_link
fr_link_bu
fr_link_import
interview_request
k_test_users
kbfaq
kbfaq_bu
kbfaq_import
kbrub
kbrub_bu
kbrub_import
kbtop_pop
login_stats
menu
menu_relations
menus
ms_crm_files
ms_crm_files_support
ms_crm_intermediary
ms_crm_intermediary_bu
ms_crm_intermediary_support
node
opt_out
partners
partners_bu
portal_cms_prod_ann
portal_cms_recent_articles
portal_cms_whats_new
product_names
retail_login_stats
retail_partners
retail_users
se_login_stats
se_partners
se_users
setup
shopping_com_sales
smnr_events
smnr_items
smnr_items_bu
test_users
test_users_new
trials
trials_bu
trials_downloaded
trials_downloaded_new
trials_rpts
users
users_bu
virus_watch
columns_priv
db
func
help_category
help_keyword
help_relation
help_topic
host
proc
procs_priv
tables_priv
time_zone
time_zone_leap_second
time_zone_name
time_zone_transition
time_zone_transition_type
user
codes
stores
stores_bu
users

And another picture with the colons name , and the name of userstable table.

usertablecolumnsqs7

Don’t forget to check our new article about same problem in bitdefender portugal.
Comentarios (4)
  • sirvoolkon  - Vendemos humo?
    avatar
    Viendo casos asi, y si alguien tiene (pagando) una liencia de symantech o BitDefender...al final nos acusaran, con relativa razón debido a este tipo de sucessos de vender humo. Creo que es bastante vergonzoso que una sola persona comprometa la seguridad de una empresa que gana dinero VENDIENDO SEGURIDAD!.
  • slackbyte  - Seguridad donde?
    avatar
    Alguna vez escuché una frase: "Para que un ordenador sea 100% seguro, hay que desconectarlo de toda red y apagarlo" una frase que siempre tengo en mente. Y en este caso no hay excepción, una vez mas la seguridad de uno de "los grandes" ha sido comprometida, y bien pones que fue por medio de un ataque de tipo blind SQLi, que a pesar de no ser tan espectacular como lo es SQLi, nos enseña que siempre hay pequeños detalles por los cuales uno puede comprometer la seguridad de un site, pero vamos, hay de detalles a detalles.
    Por ejemplo, "No siempre es que un hacker haya vulnerado todo el sistema del FBI, sino que uno de todos los ordenadores carecía de la seguridad necesaria para evitar el ataque" y esto pudo haber sido producto de alguien a quien no le haya parecido seguir las politicas de seguridad del FBI y decidió manipular aplicaciones en contra de dichas politicas establecidas para los ordenadores del FBI (esto solo un ejemplo). (Continua...)
  • slackbyte
    avatar
    (Continuación debido a que en un solo post no se muestra todo...) Sin embargo es muy diferente eso, a no cuidar los "detalles" en plena pagina web, donde todo mundo tiene acceso... vamos! estoy de acuerdo que nunca será 100% seguro, pero esto es como una muestra del compromiso que tiene, en este caso Symantec, por cuidar realmente la seguridad de su site, la cual puede hacer sentir a todos sus clientes que dicho descuido puede verse reflejado en las soluciones por los que ellos estan pagando grandes cantidades monetarias para adquirirlas.
  • juanfra
    avatar
    Eso creo yo también. Actualmente muchas empresas se dedican a vender humo en nombre de la seguridad. Se elaboran carisimas y complejas certificaciones ISO de seguridad (estandarización de procesos críticos), se gasta millones en herramientas automágicas de seguridad tipo plug and play (según los fabricantes) y sin embargo no se invierte lo suficiente en el conocimiento de los que realmente pueden hacer que estas cosas no ocurren.
¡Sólo los usuarios registrados pueden escribir comentarios!

Acerca del autor Yago Fernandez Hansen


Yago Fernández Hansen cuenta con master en ingeniería de software, además de contar con mas de 8 años de experiencia en tecnologías inalámbricas. Es especialista en la implementación y auditoria de redes Wi-Fi. Cuenta con amplia experiencias en motores de datos, sistemas Microsoft, Linux y Networking. Es formador y consultor en seguridad informática y métodos de penetración en redes Wi-Fi para empresas e instituciones. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con publicaciones y artículos de informática, además de ser colaborador directo y revisor de publicaciones técnicas de la editorial Rama. Ha impartido diferentes talleres y seminarios de hacking ético y seguridad en Wi-Fi para empresas, organizaciones públicas y universidades.


Más información en: Linkedin

Conocer mas sobre Yago Fernandez Hansen

Relacionadas Noticias similares