Voy a comentaros algo que no tiene nada que ver con Lync, pero que me apetece compartirlo con vosotros. En muchas ocasiones queremos utilizar aplicaciones gratuitas sin pensar en la seguridad de las mismas, y solo en que es “gratis”. En la gran mayoría de las ocasiones con que la aplicación funcione y tenga las opciones que consideramos necearias nos damos por satisfechos. Hoy he podido comprobar como una de estas aplicaciones gratuitas (FileZilla Server), deja mucho que desear en cuanto a su seguridad de administración.

Os resumo rapidamente, hoy un cliente me ha solicitado crear un usuario en un servidor FTP para tener acceso a unos directorios del servidor. Hasta ahí todo normal, me conecto al servidor y tratao de acceder al servidor FTP (que había instalado otro proveedor) y me llevo una sopresita .. necesito una contraseña para poder acceder a la gestión del servidor FTP de FileZilla Server. Hasta aqui también todo normal, puesto que no es mala idea que se tenga que acceder mediante una contraseña a la gestión del servidor FTP, así evitamos que alguien pueda crear usuarios y dar accesos innecesarios o creados de forma incorrecta. El problema es que necesitaba crear este usuario de forma legítima y encima en ese mismo momento, por lo que me digo: “por probar no pierdo nada” y hago clic en Cancelar y … mi gozo en un pozo, no me deja acceder a las opciones de administración y las tengo sombreadas (vamos, que no puedo hacer nada)

Pero me vuelvo a repetir: “por probar no pierdo nada” así que lo siguiente que hago es ir al directorio de instalación del FileZilla Server y trato de buscar algún fichero que tenga la contraseña cifrada y “malo será” que con alguna aplicación no pueda hacer algo … pero ahi mi sorpresa. Empiezo a abrir los distintos ficheros XML que existen en el directorio, y ya veo algo “extraño”, un fichero que se llama FileZilla Server y luego una copia (FileZilla Server – copia) umm ….. algo tenía que tener de interesante ese fichero para que alguien lo haya copiado .
Así que procedo a editarlo con el NOTEPAD y acto seguido para agilizar pulso Control + B para poder buscar por la cadena de texto Passw y ver si existe algo interesante y sopresa!!!! me encuentro una línea con el texto Admin Password y al lado la CONTRASEÑA en TEXTO PLANO!!!!!! Al fin y al cabo el fichero tiene la configuración del FileZilla, pero bien podían almacenar la contraseña de administración del servidor de otra forma ….

Y claro, ahora que creía que tenia la contraseña de acceso, trato de acceder a la consola del FileZilla FTP Server y acceso completo!!!
Como ya tengo acceso completo a la consola de administración, ya puedo terminar la tarea solicitada por mi cliente. Desde luego me ha sorprendido y mucho, por lo menos me esperaba algo más “seguro?”.
Ahora que cada uno saque sus propias conclusiones, las mías … me las reservo.
Espero que os sea de utilidad!!!
Re: FileZilla Server: "Seguridad" de la Consola de Administración / Autor / 24 abril, 2013
FileZilla Server me parece que cumple con las expectativas de la mayoría de sus usuarios.
La seguridad de un servidor FTP, creo yo, tiene que estar en los accesos por Internet, no desde el servidor que tiene alojada la aplicación, que ya tendrá sus propias medidas de seguridad en los accesos al mismo.
Este artículo, lo que me parece, es que le busca los tres pies al gato.
¿? / Autor / 25 mayo, 2013
Totalmente de acuerdo con el comentario anterior, con el acceso físico a una máquina, ningún sistema es infalible.
Respuesta / Autor / 10 junio, 2013
Buenos días,
Sin ánimo entrar en polémica alguna, el artículo no tiene ninguna doble intención, simplemente me había parecido muy curioso que las contraseñas de administración del servidor FTP estuviesen en texto plano.
Por otra parte, como sabéis el 90% de los ataques a las empresas se producen desde dentro de las mismas. Teniendo en cuenta que he visto personalmente gente que comparte las carpetas de los FTP (no sé para que), imaginaros que alguien se equivoca aplicando los permisos (tampoco nada del otro mundo) y el fichero FileZilla Server.xml es accesible por cualquiera …. Alguien con intenciones … podría descargarse el FileZilla Server (portable) y tener acceso la configuración del servidor FTP de la compañía. Creo que no hay nada que comentar sobre los problemas que esto podría ocasionar:
– Robo de Información
– Degradación del servicio de Internet
– Denegación de acceso a usuarios legítimos
y así un largo etc…. además el usuario podría tener el control del FTP en modo silencioso, simplemente ver que hay en el FTP y descargárselo y que nadie se entere. Si tenemos acceso de administradores sobre su configuración, podremos cambiar cualquier configuración, pues deshabilitaríamos el logging. Por ejemplo, Serv-U (otro servidor FTP) se puede administrar por el puerto 21 (casualidad que nadie lo haya cambiado), por lo que sino nos hemos preocupado de cambiar el puerto de administración, de filtrar quien puede conectarse de forma administrativa, etc… si al final son pequeños “descuidos” los que muchas veces provocan situaciones incómodas …
Está claro que todas las empresas deberían tomar las medidas necesarias.
– Revisar el Registro de Auditorías de forma diaria
– Disponer de un Firewall y Reglas de gestión de Ancho de Banda
– IPS
– IDS
y de ahí otro largo, etc… pero está claro que si alguien confía en un FTP a día de hoy para intercambiar información de forma segura … por lo menos que pueda valorar el utilizar otro software que no permita este tipo de “atropellos” (desde mi punto de vista) y de forma tan sencilla.
Con esto no estoy juzgando nada, solo que directamente no me he querido meter en el “charco” directamente porque no tiene sentido. Únicamente comentar una experiencia puntual y que la gente que quiera tomar alguna decisión sobre esto que lo haga, pero está en su derecho de dejarlo exactamente igual.
Mi blog como bien veis está enfocado a las UC, esto simplemente es algo anecdótico y puntual. No ha tenido el afán ni lo tendrá de entrar en polémicas, pero está claro que si queremos buscarle 1000 pies al gato los vamos a encontrar :-).
Pero lo que si tengo claro es que la seguridad no es una cuestión a tomarse a broma o pensar que esto no podría representar un problema. Solo con ese ejemplo “chorra”, podríamos tener un gran problema. Pero si en vez de ser un problema de la carpeta “compartida” (me repito que lo he visto en más de una ocasión), fuese que alguien tiene un Sniffer (otra casualidad poco probable?) podría “robarnos” al clave de acceso al FTP Server cuando nos tratamos de conectar para administrarlo, etc… Como este ejemplo podría poner otros tantos, pero he querido buscar los más fáciles y no por ello improbables que se puedan dar, para que un usuario sin altos conocimientos técnicos pueda tomar el control de nuestro sistema.
También podríamos haber realizado una mala configuración del FTP Server y publicar la carpeta raíz del FTP, en donde tenemos los ficheros de configuración, etc…
Ahora allá cada uno con lo que considera que debe instalar, configurar, monitorizar o … lo que quiera. Si en su momento el problema para las empresas eran las APPs P2P …. y que muchos administradores las siguen permitiendo …
Me repito, cada uno puede hacer lo que considere oportuno, pero que no solo los problemas vienen desde “fuera”.
Aquí os dejo un artículo de un crack en esto de seguridad, que espero que guste:
http://www.seguridadjabali.com/2012/02/invertir-en-seguridad.html
Leer este párrafo:
*************************************************
Una empleada ese piso hace ademán de levantarse de la silla Micaela se anticipa, se dirige firme hacia ella,
-“Micaela de la Nueva Empresa de Seguridad Informática, vengo del despacho del director Marcos”.
-“Tenemos Problema Urgente!!, una fuga de información alguien instalo algo en la maquina de Jorge”.
-“El despacho del reponsable de contabilidad!, ¿es aquel?”.
Micaela encuentra el despacho abierto, el ordenador esta encendido, la sesión abierta y el cliente de correo también, envía un mail al director desde la cuenta del pobre Jorge de contabiliad …..
-” Soy Micaela, necesitáis seguridad !!! “.
*************************************************
Pues esto a otro nivel se parece mucho, verdad? Porque quien se puede imaginar que un usuario se levanta de su puesto y no bloquea su sesión? O quien no se puede imaginar que un Admin de sistemas no ha configurado una GPO para que se bloquee el equipo a los 5 min (o 10 o 15) de inactividad?
La seguridad no es ni desde donde accedo, ni como, ni un ente pasivo, es todo lo contrario.
Un saludo