Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/09/2011
Pastebin y otros
Desde hace un tiempo se oye hablar mucho o se envían / twittean muchos enlaces del portal Pastebin, incluso hay herramientas que ayudan a realizar búsquedas en este portal. ¿Cual es la razón de este repentina afición por este tipo de servicios web?
Los portales pastebin.com y codepad.org se están utilizando desde hace aproximadamente una década (desde 2002) para compartir código (texto) entre programadores pero no habían saltado al gran público hasta que el grupo 'hacker' LuzSec lo ha utilizado como su forma preferida para publicar sus actuaciones y avergonzar a sus víctimas. Siguiendo con esta pauta y por la atención mediática que recibe, muchos grupos e individuos han empezado a utilizan Pastebin para sus actividades fraudulentas tales como compartir información confidencial, vender productos, vender exploits y revelar información personal de rivales del mundillo underground, etc.
Curiosamente a pesar que las redes sociales son uno de los medios de Internet con más actividad, también se ha incrementado el uso de portales como Pastebin que ofrecen recursos muy limitados en comparación con la web 2.0. Incluso se está utilizando ampliamente desde Twitter para ampliar la limitada capacidad de los 140 caracteres de cada mensaje. La posibilidad de compartir información sin necesidad de autenticarse también es un punto a su favor en ciertos casos.
Pastebin dispone de una página en la que se presentan los post con más visitas 'Trending Pastes'. Un rápido vistazo por esta página nos permite ver que los pastes más populares son volcados de información comprometida, passwords robados u otro contenido similar.
Pero esto no solo ocurre en este portal, hay páginas web similares que ofrecen el mismo tipo de servicio como por ejemplo: FrubarPaste, YourPaste, Pastie, LodgeIt, Pastebay, Pastebinfail, etc. En la Wikipedia podemos encontrar un listado más extenso. Cada uno tiene una comunidad de usuarios diferente pero siempre están expuestos a recibir un mal uso.
Pastebay suele tener conversaciones chat o iRC, volcados con password, ... También parece que Anonymous lo utiliza con frecuencia porque el propio site se hace publicidad y se mantiene sin censura y accesible de forma gratuita. Pastie.org y Pastebin.com suelen tener de todo un poco aunque Pastebin tiene un volumen de información mucho mayor; veamos algunos ejemplos:
Claves wifi crackeadas, volcado de claves de usuarios, tarjetas de crédito, proxies de navegación en Internet (cuya seguridad por supuesto que no está verificada), logs de keyloggers (artículo interesante sobre eso aquí), información en venta de la que publican solo una pequeña muestra, volcado de información comprometida en ataques dirigidos para avergonzar a la víctima (LulzSec); el reciente anuncio del incidente de la entidad certificadora DigiNotar también se ha publicado en Pastebin.
Respecto a ataques de confidencialidad o ataques a la marca que más pueden afectar a una empresa u organización tenemos los siguientes:
- Exponer información interna: los desarrolladores o administradores de alguna organización pueden utilizar pastebin para su propósito inicial compartiendo información de código interno para mejorarlo o consultar con terceros; de esta forma podrían llegar a publicar información interna que no debería salir.
- Fuga de información: Para cualquier organización siempre habrá documentos o proyectos que deben ser protegidos por lo que no resulta descabellado realizar alguna búsqueda sobre esta información en concreto.
- Difamación: Al publicar información anónimamente, una empresa rival, un cliente o empleado insatisfecho pueden publicar información sin que necesariamente sea cierta, efectuando un daño reputacional sobre la marca afectada.
Pero no todos son malintencionados, también hay otros contenidos interesantes :) ascii art, letras de canciones, el 15M, ...
Como responsables de seguridad una de las nuestras tareas debe incluir la búsqueda en estos dominios de información sobre nuestra organización, dominios, direccionamiento IP, programas propietarios, nombres de directivos o empleados, u otra información de la que se ha referenciado anteriormente. Como auditores de seguridad es imprescindible utilizar estas fuentes en la fase de reconocimiento previo o recogida de información.
Pastebin bloquea las búsquedas o posts excesivos. Si se descargan más de 2 ó 3 posts en menos de 5 segundos, aparecerá el mensaje: "You are downloading too fast" Si nos avisa de esta forma más de 20 veces, bloqueará nuestra dirección IP.
Teniendo esto en mente, se pueden utilizar las siguientes herramientas:
- Scritp de descarga de Alejandro Ramos.
- PasteScraper de Silas Cutler.
- PasteLert de Andrew Mohawk, mediante interfaz web, permite configurar las palabras de búsqueda y que nos envíe las coincidencias por correo electrónico.
- PastEnum, herramienta imprescindible para efectuar búsquedas a medida
Una alternativa es utilizar los buscadores para que hagan este trabajo, bastaría con incluir en Google el texto que se busca y el sitio de referencia: http://www.google.es/search?q=[TEXTO]+site:pastebin.com
- Pastebin-scraper de Andrew Mohawk, es una herramienta web que utiliza en API de Yahoo para buscar en varios pastes
De todas formas la indexación de los buscadores no es inmediata y no todos los dominios se indexan siempre.
- La herramienta Google Custom Search Engine permite realizar búsquedas sobre un grupo determinado de dominios (en principio sobre 10 dominios).
- Una herramienta web similar es Rllyo que permite personalizar búsquedas hasta en 25 dominios distintos. Funciona sobre Yahoo.
Ahora incluso se pude seguir en Twitter una de las cuentas denominada como PastebinLeaks por Jaime Blasco donde aparecen filtrado de SQL-Injection, contraseñas, remote file inclusion, ...
Si estamos interesados en la Seguridad Semántica o en la Monitorización de Presencia, es muy aconsejable utilizar alguna o un conjunto de estas herramientas para monitorizar la información sensible de nuestra organización.