Voy a comentaros algo que no tiene nada que ver con Lync, pero que me apetece compartirlo con vosotros. En muchas ocasiones queremos utilizar aplicaciones gratuitas sin pensar en la seguridad de las mismas, y solo en que es «gratis». En la gran mayoría de las ocasiones con que la aplicación funcione y tenga las opciones que consideramos necearias nos damos por satisfechos. Hoy he podido comprobar como una de estas aplicaciones gratuitas (FileZilla Server), deja mucho que desear en cuanto a su seguridad de administración.
Os resumo rapidamente, hoy un cliente me ha solicitado crear un usuario en un servidor FTP para tener acceso a unos directorios del servidor. Hasta ahí todo normal, me conecto al servidor y tratao de acceder al servidor FTP (que había instalado otro proveedor) y me llevo una sopresita .. necesito una contraseña para poder acceder a la gestión del servidor FTP de FileZilla Server. Hasta aqui también todo normal, puesto que no es mala idea que se tenga que acceder mediante una contraseña a la gestión del servidor FTP, así evitamos que alguien pueda crear usuarios y dar accesos innecesarios o creados de forma incorrecta. El problema es que necesitaba crear este usuario de forma legítima y encima en ese mismo momento, por lo que me digo: «por probar no pierdo nada» y hago clic en Cancelar y … mi gozo en un pozo, no me deja acceder a las opciones de administración y las tengo sombreadas (vamos, que no puedo hacer nada)
Pero me vuelvo a repetir: «por probar no pierdo nada» así que lo siguiente que hago es ir al directorio de instalación del FileZilla Server y trato de buscar algún fichero que tenga la contraseña cifrada y «malo será» que con alguna aplicación no pueda hacer algo … pero ahi mi sorpresa. Empiezo a abrir los distintos ficheros XML que existen en el directorio, y ya veo algo «extraño», un fichero que se llama FileZilla Server y luego una copia (FileZilla Server – copia) umm ….. algo tenía que tener de interesante ese fichero para que alguien lo haya copiado .
Así que procedo a editarlo con el NOTEPAD y acto seguido para agilizar pulso Control + B para poder buscar por la cadena de texto Passw y ver si existe algo interesante y sopresa!!!! me encuentro una línea con el texto Admin Password y al lado la CONTRASEÑA en TEXTO PLANO!!!!!! Al fin y al cabo el fichero tiene la configuración del FileZilla, pero bien podían almacenar la contraseña de administración del servidor de otra forma ….
Y claro, ahora que creía que tenia la contraseña de acceso, trato de acceder a la consola del FileZilla FTP Server y acceso completo!!!
Como ya tengo acceso completo a la consola de administración, ya puedo terminar la tarea solicitada por mi cliente. Desde luego me ha sorprendido y mucho, por lo menos me esperaba algo más «seguro?».
Ahora que cada uno saque sus propias conclusiones, las mías … me las reservo.
Espero que os sea de utilidad!!!
