A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
https://medium.freecodecamp.org/how-i-hacked-hundreds-of-companies-through-their-helpdesk-b7680ddc2d4c