El conocimiento es poder, cómo podría crackear 60.000 sitios de golpe

Autor: Armonth | El lunes 17 de julio del 2006 @ 06:05.

"Disclaimer: por primera vez, iré con pies de plomo, en este artículo no se va a revelar la información necesaria para ello, creo que se puede hacer demasiado daño, para entenderlo sigan leyendo".

Hoy he conocido una nueva dimensión de la frase "El conocimiento es poder" concretamente es poder... para joder a gente ajena, tal cual. El caso es que estaba buscando por Google cuando he llegado a la web de un script en PHP para hacer tagboards bastante antiguo, del 2000 o cerca que fue realizado por un conocido mio de la época en que tanto mi sitio web como el suyo estaban en Gran Avenida y para mi sorpresa seguía activa la web.

El script hoy en día teniendo foros, blogs, etcétera, cabría pensar que ya no es tan popular como antaño, pero una búsqueda por el nombre del proyecto en Google dio más de 85.000 resultados y a escasas posiciones de la web oficial un fallo de inyección de código para todas las versiones anteriores a una de las últimas revisiones hechas.

El fallo es muy simple de aprovechar, un formulario directo al fichero php de la web / víctima con un input oculto para hacer saltar una variable mal asignada y así poder introducir código. Una segunda búsqueda después... 62.000 sitios con versiones vulnerables (anteriores a la última) de este script, por lo cual tengo el conocimiento necesario (el cual es muy muy básico) para joder a 62.000 páginas webs.

¿Por qué no lo hago? Porque tengo ética, pero repasándolo fríamente da miedo pensar lo que se puede hacer, le comentaba a Boja sobre ello y qué podría pasar si reenviará todas ellas a una web en particular:

  1. Muchos de esos sitios no están abandonados, solamente usan una versión antigua, algunos con mucho tráfico, añadiendo un redireccionamiento de 60.000 sitios a uno podría dejar colapsado cualquier servidor que no estuviera preparado para recibir decenas de miles de visitas extras de golpe.

  2. La gente al ver ese redireccionamiento pensaría que es un acto del autor del sitio al que se redirecciona por lo que aprovecharían cualquier manera de contacto para ofrecerle unas bonitas palabras de amor.

  3. No me extrañaría que los buscadores vieran con malos ojos una web a la cual 60.000 sitios son redireccionados, más de una expulsión creo yo que caería.

Para los más expertos quizá no os suene a nada nuevo, otros scripts han sido famosos por ser usados por spammers (:coff:phpnuke:coff:) para crackear montones de webs como por ejemplo hizo un turco para mi tampoco es algo nuevo pero sí lo es el saber cómo y tener en mis manos "ese poder".

No sólo eso, lo he comentado con varias personas y dos de ellas han saltado con un "dime cómo que así me forro a visitas" (sigh...) ¿qué debería hacer? teniendo en cuenta que:

  1. La vulnerabilidad es bien conocida y corregida, los sitios se actualizan a menudo pero no actualizan el script por culpa de el webmaster...
  2. Ni de coña tengo el tiempo/me veo mandando ~60.000 emails y conociendo a mis amistades si publico aquí de qué script se trata no tardaran ni media hora en hacer el lammer.

¿Qué hago? ¿simplemente me olvido de ello? Parece lo mejor o al menos lo más práctico.

Comentarios