Saltó la noticia la semana pasada, con su consecuente mención en nuestros enlaces de la SECmana: La empresa detrás del troyano FinFisher, utilizado supuestamente por Gobiernos para espiar, Gamma International, había sido comprometida por completo, publicándose posteriormente 40GB de datos que incluían información interna de la compañía, sus productos, código fuente, acuerdos, whitepapers, información financiera, y un larguísimo etc.
Rápidamente, la información filtrada se comenzó a analizar (y eso que una gran parte se encontraba tras ficheros zips protegidos con contraseñas fuertes y que requerían crackeos varios), y la web netzpolitik.org mantuvo un post en el que fue recopilando todo lo que se iba encontrando y analizando de la filtración. Tras esta borrachera de información, que todavía no ha sido analizada por completo, recibimos la sorpresa de un texto distribuido por la web http://data.langly.fr/ llamado A DIY Guide for those without the patience to wait for whistleblowers, en el que supuestamente se comenta con detalles cómo se pudo comprometer la compañía y cómo se consiguió recopilar la información filtrada en internet, al más puro estilo ezine de los 80-90 en texto sin formatear y arte ASCII
 |
| Texto sobre cómo se comprometió, por pasos, toda la compañía Gamma International y lo referente al troyano FinFisher |
Os recomiendo el texto encarecidamente, ya que de forma muy clara, desmitifica lo ocurrido y demuestra como con un conjunto de pasos típicos en procesos de pentesting, se es capaz de provocar un daño tan grande como el que ha sufrido esta polémica compañía. Básicamente, los pasos fueron los siguientes:
- Recopilación de información acerca de todo lo referente a FinFisher y Gamma International
- Obtención de información del portal de soporte finsupport.finfisher.com, determinando que el software utilizado para este servicio es utilizado por otros también, aún siendo un producto desarrollado ad-hoc
- Detección de inyección SQL en el software utilizado gracias a analizar recursos de otras instalaciones de dicho software.
- Permisos de lectura de ficheros gracias a la inyección SQL detectada, para obtener todos los ficheros pertenecientes al software
- Tras análisis del código, se detecta una nueva vulnerabilidad de subida de ficheros a través de la gestión de tickets con los clientes, lo que permite a su vez la subida de una shell en PHP.
- Acceso al sistema de ficheros del servidor, que únicamente se utiliza para servir la web.
- Pivotar a otros servidores de la red para acceder a otros recursos y servicios, obteniendo acceso a los documentos que posteriormente se filtrarían, así como la supuesta copia del software espía protegida con contraseña en un fichero .zip (FinSpy-PC+Mobile-2012-07-12-Final.zip)
El enlace del texto completo es el siguiente: http://data.langly.fr/blackhat
Moraleja: No subestimar ninguno de los servicios y servidores publicados en Internet, todos pueden ser susceptibles a fallos, vulnerabilidades o despistes que pueden provocar más de una mofa en Internet y en redes sociales.
2 comments :
Y pensar que esa empresa es famosa por vender piezas de software a 1.4 millones de USD.. ¿no?
Este caso, y el de BICInoseque de España (el fiasco ese que publicaron anteriormente), me están haciendo dar cuenta que para hacerme rico no debo seguir perfeccionando mis cualidades de programador, sino de un buen vendedor chanta.
Por cierto, saludos y felicitaciones por el sitio, que esta cada vez mejor.
Publicar un comentario