Il Webserver “nascosto” che ci mostra le credenziali di root

MySql_Root_1v2

In queste ultime settimane una storica editoria Italiana che vanta un fatturato di oltre 500 milioni di euro nel 2014, fonte Wikipedia, ha pubblicato sull’Apple Store e Play Store una nuova applicazione per leggere un celebre fumetto.

Purtroppo la prima versione di questa App sta ricevendo notevoli commenti negativi nei rispettivi store, le criticità riportate sono basate sulla lentezza nell’ottenere i contenuti e sui continui crash durante la lettura del fumetto.

Ricerca

quickstart-zap

A fini di ricerca ho voluto visualizzare il traffico generato dall’Applicazione installata sul mio iPad Mini, ho così provveduto ad aprire BackBox Linux e il software preinstallato ZAP Proxy, proprio come feci tempo indietro rilevando che era possibile leggere più di 20 Quotidiani o Riviste gratuitamente scavalcando il sistema di pagamento.

Directory Listing

L’analisi del traffico attraverso il Proxy Server è durata veramente poco, l’applicazione attraverso uno script PHP autentica l’utente attraverso una richiesta POST in chiaro e ne consegue che l’utente viene autorizzato o meno allo scaricamento dei fumetti. Se non è autorizzato viene invitato ad acquistare il fumetto.

Se l’utente è autorizzato inizia il download del PDF contente le nuove e avvincenti storie del xxxxxx più famoso della storia 😀

Con una semplice analisi del traffico scopro già le prime lacune in termini di sicurezza informatica:

  • Assenza del protocollo SSL per l’invio delle credenziali dell’utente;
  • Invio delle credenziali in chiaro (es. username=andrea.d&password=nonteladico);
  • Server pubblico senza la ben che minima protezione agli accessi;
  • È possibile ottenere illecitamente il fumetto conoscendo la path del file PDF, poiché ad esso non è associato alcun meccanismo di autenticazione.

Nuovamente quindi è possibile leggere il fumetto eludendo il meccanismo di pagamento, con un grosso danno economico alla casa editoriale. È un punto importante e molto critico che favorisce la pirateria ai danni della società, ho già parlato di questi aspetti in passato ed ora non voglio soffermarmi ulteriormente anche perché sono un loro fedele cliente da oltre 20anni e continuerò ad esserlo.

Il secondo dettaglio che mi è saltato all’occhio aprendo il PDF nel mio Browser Firefox è che il server permette il Directory Listing son quindi riuscito a vedere i vecchi e nuovi numeri che usciranno nelle prossime settimane! :O

Vi ricordate il danno di immagine della Sony quando vennero trafugate in anteprima delle pellicole cinematografiche?! Bene e se iniziassi a distribuire i futuri numeri del fumetto prima della loro uscita ufficiale, di quanto diminuirebbero le vendite lecite?

Credenziali di Root

Ho continuato la mia navigazione, lecita, all’interno del server scoprendo uno script in python e un file di configurazione XML che contengono le credenziali del server MySQL, credenziali che riportano come nome utente “root ed è quindi possibile dedurre che le credenziali SSH e MySQL coincidano non essendo presente un utente specifico per MySQL.

Mi sono cadute le braccia, un utente malintenzionato potrebbe quindi accedere con i massimi poteri sul server e “giocarci” a proprio piacimento!

Nessuno Conosce l’URL

Riflettendo sul caso mi è venuto in mente un recente articolo di Paolo, nel quale parla di un Penetration Testing andato a buon fine e delle scusanti che l’Acccount Manager gli ha riportato.

Il server web in questione non ha alcun dominio associato, quindi l’Applicazione accede direttamente all’IP del Server di produzione. Server che probabilmente ha il solo compito di autenticare gli utenti e distribuire i file PDF!

La casa editoriale o lo sviluppatore potrebbe rispondermi “Non vi è alcun riferimento a quel server sul nostro sito Web, perché preoccuparsene!?” la risposta è facile! Quel server è su INTERNET e accessibile a TUTTI, non è stato implementato alcun sistema di autenticazione e non vi è neanche un briciolo di buona volontà nel renderlo sicuro! Ne riparleremo quando Google scansionerà il contenuto del server e le credenziali saranno alla mercé del più infimo lamer che userà il server per diffondere Phishing, Malware, ecc ecc!

 

 

  • Tiziano Dal Farra

    🙂 non si rendono nemmeno conto.
    Sorvolo su facili commenti.
    In effetti, cosa vuoi dire a ‘sto tipo di management?? il problema non sono nemmeno loro. Ma chi ce li ha messi, a fare quello che (non) fanno. E li pagano pure. Detto tutto [#tutto]

  • Se non ci sono riferimenti da nessuna parte google non scansiona il sito…

  • Ottima analisi 😉

  • Riccardo

    Ottimo articolo complimenti; ma li hai avvisati della scoperta ?

  • Raptus

    Ciao, prova anche su https://pweb.irenmercato.it/

  • Luca

    Che vergogna. E questa sarebbe la sicurezza di cui noi dobbiamo fidarci ciecamente? Complimenti per l’articolo! Hai provveduto a segnalare la falla? Potrei sapere di quale casa editrice si parla?

  • Le username e password nelle URL, per la cronaca, mi sono capitate anche in una mail “reminder” che mi arriva regolarmente: per incentivare il servizio con gli utenti pigri, presumibilmente, invitano a cliccarci in modo che l’utente si trovi direttamente loggato nel loro sito.

    Che devi dire, a questi 😀