Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/09/2011
Pastebin i altres
Des de fa un temps se sent parlar molt o s'envien / twittegen molts enllaços del portal Pastebin, fins i tot hi ha eines que ajuden a realitzar recerques en aquest portal. Quina és la raó d'aquest sobtada afecció per aquest tipus de serveis web?
Els portals Pastebin.com i Codepad.org s'estan utilitzant, des de fa aproximadament una dècada (des del 2002), per a compartir codi (text) entre programadors, però no havien botat al gran públic fins que el grup ciberpirata LuzSec ho ha utilitzat, com la seua forma preferida, per a publicar les seues actuacions i avergonyir a les seues víctimes. Seguint amb aquesta pauta i per l'atenció mediàtica que rep, molts grups i individus han començat a utilitzar Pastebin per a les seues activitats fraudulentes: com ara compartir informació confidencial, vendre productes, vendre exploits i revelar informació personal de rivals del món underground, etc.
Curiosament, i malgrat que les xarxes socials són un dels mitjans d'Internet amb més activitat, també s'ha incrementat l'ús de portals, com ara Pastebin, que ofereixen recursos molt limitats en comparació amb la web 2.0. Fins i tot s'està utilitzant àmpliament des de Twitter, per tal d'ampliar la limitada capacitat dels 140 caràcters de cada missatge. La possibilitat de compartir informació sense necessitat autenticar-se també és un punt a favor seu en certs casos.
Pastebin disposa d'una pàgina en què es presenten els articles amb més visites, 'Trending Pastes'. Un ràpida ullada per aquesta pàgina ens permet veure que els enganxaments més populars són bolcats d'informació compromesa, contrasenyes robades o un altre contingut semblant.
Però açò no sols ocorre en aquest portal, hi ha pàgines web semblants que ofereixen el mateix tipus de servei, com per exemple: FrubarPaste, YourPaste, Pastie, LodgeIt, Pastebay, Pastebinfail, etc. En la Wikipedia podem trobar un llistat més extens. Cada un té una comunitat d'usuaris diferent, però sempre estan exposats a rebre un mal ús.
Pastebay sol tindre conversacions xat o iRC, bolcats amb contrasenya, ... També sembla que Anonymous ho utilitza ben sovint, perquè al propi lloc web es fa publicitat i es manté sense censura i accessible de forma gratuïta. Pastie.org i Pastebin.com solen tindre de tot un poc encara que Pastebin té un volum d'informació molt major; vegem alguns exemples:
claus wifi crackejades, bolcat de claus d'usuaris, targetes de crèdit, servidors intermediaris de navegació en Internet (la seguretat del qual per descomptat que no està verificada), registres de keyloggers (article interessant sobre això ací), informació en venda, de què publiquen només una xicoteta mostra, bolcat d'informació compromesa en atacs dirigits per a avergonyir la víctima (LulzSec); el recent anunci de l'incident de l'entitat certificadora DigiNotar també s'ha publicat en Pastebin.
Respecte a atacs de confidencialitat, o atacs a la marca, que més poden afectar una empresa o organització tenim els següents:
- Exposar informació interna: els desenvolupadors o administradors d'alguna organització poden utilitzar Pastebin per al seu propòsit inicial, compartint informació de codi intern per a millorar-ho o consultar amb tercers; d'aquesta manera podrien arribar a publicar informació interna que no hauria d'eixir.
- Fuga d'informació: per a qualsevol organització sempre hi haurà documents o projectes que han de ser protegits; per la qual cisa no resulta gens desgavellat realitzar alguna recerca sobre aquesta informació en concret.
- Difamació: en publicar informació anònimament, una empresa rival, un client o empleat insatisfet, poden publicar informació sense que necessàriament siga certa, efectuant un dany a la reputació de la marca afectada.
Però no tots són malintencionats, també hi ha altres continguts interessants :) Ascii art, lletres de cançons, el 15M, ...
Com a responsables de seguretat, una de les nostres tasques ha d'incloure la recerca en aquests dominis d'informació sobre la nostra organització, dominis, direccionament IP, programes propietaris, noms de directius o empleats, o una altra informació de què s'ha referenciat anteriorment. Com a auditors de seguretat és imprescindible utilitzar aquestes fonts en la fase de reconeixement previ o arreplega d'informació.
Pastebin bloqueja les recerques o articles excessius. Si es descarreguen més de 2 o 3 articles en menys de 5 segons, apareixerà el missatge: "You are downloading too fast". Si ens avisa d'aquesta manera més de 20 vegades, bloquejarà la nostra adreça IP.
Tenint açò en ment, es poden utilitzar les eines següents:
- Scritp de descàrrega d'Alejandro Ramos.
- PasteScraper de Silas Cutler.
- PasteLert d'Andrew Mohawk, mitjançant interfície web, que permet configurar les paraules de recerca i que ens envie les coincidències per correu electrònic.
- PastEnum, eina imprescindible per a efectuar recerques a mesura
Una alternativa és utilitzar els buscadors perquè facen aquest treball, bastaria d'incloure en Google el text que es busca i el lloc de referència: http://www.google.es/search?q=[TEXT]+site:pastebin.com
- Pastebin-scraper d'Andrew Mohawk, és una ferramenta web que utilitza en API de Yahoo per a buscar en diversos enganxaments.
De tota manera, la indexació dels buscadors no és immediata i no tots els dominis s'indexen sempre.
- L'eina Google Custom Search Engine permet realitzar recerques sobre un grup determinat de dominis (en principi sobre 10 dominis).
- Una eina web semblant és Rllyo, la qual permet personalitzar recerques fins en 25 dominis distints. Funciona sobre Yahoo.
Ara fins i tot es vaig poder seguir en Twitter un dels comptes denominats com PastebinLeaks per Jaime Blasco, on apareixen filtrat de SQL-Injection, contrasenyes, remote file inclusion...
Si estem interessats en la Seguretat Semàntica o en la Monitorització de Presència, és molt aconsellable utilitzar-ne alguna o un conjunt d'aquestes eines, per tal de monitoritzar la informació sensible de la nostra organització.