UNIVERSIDAD NACIONAL DE INGENIERIA

Facultad de Ingeniera Industrial y de Sistemas

Seguridad Informtica Tema: Evaluacin de vulnerabilidades de la Comunidad Virtual Taringa con el Paros Proxy Alumnos:
Torres Utrilla, Jos David Chino Martnez, Jonatn Lmber

Delgado Borja, Jos Carlos Chate Huerto Juan Jimmy

1. Descripcin de la comunidad virtual Taringa

Taringa! es una comunidad virtual de origen argentino en la que los usuarios pueden compartir todo tipo de informacin por medio de mensajes a travs de un sistema colaborativo de interaccin. Fue creada el 11 de enero de 2004 (y difundida desde el 14 de abril de 2004) por Fernando Sanz (estudiante porteo de secundaria). En noviembre de 2006 fue adquirida por los argentinos Alberto Nakayama y los hermanos Matas y Hernn Botbol. La fama del sitio se haba acrecentado en gran parte gracias a su reiterada referencia en Internet y TV por diversos temas; se puede citar como ejemplo el encuentro de un chico con la familia de su padre, despus de 25 aos, en menos de 24 horas, o el origen del video intimo de Wanda Nara (una famosa modelo argentina) posteado originalmente en su alternativa exclusiva para adultos: Poringa!, cuyo post tuvo ms de 3 millones de visitas y repercuti en televisin, diarios, y revistas de distribucin masiva en la Argentina y algunos pases limtrofes. Segn Alexa es uno de los diez sitios web ms visitados por los internautas argentinos.

Funcionamiento Taringa! es un sitio de entretenimiento por el cual los usuarios registrados comparten noticias, informacin, videos y enlaces por medio de posts, los cuales permiten comentarios de otros usuarios as como tambin la puntuacin de los mismos por medio de un sistema de calificaciones que le permite a cada usuario registrado, de acuerdo a su rango, entregar una determinada cantidad de puntos por da. En base a ello se elaboran rankings semanales de los posts y usuarios que ms cantidad de puntos recibieron. Taringa! se basa principalmente en la ayuda entre usuarios, por lo cual se convirti en una comunidad muy famosa, que crece rpidamente.

Taringa! no alberga ningn tipo de archivo, lo que la convierte en una pgina para compartir enlaces, los cuales eran proporcionados por los usuarios. Estos enlaces pueden contener diferentes tipos de archivos, como juegos, vdeos, noticias, tutoriales, programas, entre otros. Cabe mencionar que gran parte del material compartido posee derechos de autor y no se hace ningn pago ni aporte a los dueos de los derechos al utilizar dicho material, ya que Taringa! solo alberga los enlaces a dicho material subidos por los usuarios registrados en la pgina web. En el caso de infringir derechos de autor en cada post hay una opcin para denunciarlo y para que as los administradores puedan eliminar dicho contenido.

Taringa! Comunidades Taringa! Comunidades es una nueva herramienta lanzada en septiembre del ao 2009, diseada para que los usuarios del sitio puedan crear un espacio virtual en el cual compartan con el resto de los usuarios intereses, pensamientos, pasatiempos y dems agrupados por una temtica en particular. Los usuarios pueden crear comunidades basadas en intereses, gustos, preferencias y/o afinidades para que luego otras personas se sumen a este espacio con el objetivo de participar, aportar, comentar y/o responder a los temas que respondan a la causa que dio origen a dicha comunidad. Adicionalmente, dependiendo de las reglas establecida por los administradores de la comunidad, los miembros de una comunidad podan crear nuevos temas y/o emitir nuevas respuestas. Algunos ejemplos de posibles Comunidades: Comunidad de Guitarristas - Comunidad para los estudiantes de UBA Comunidad para los amantes del Ajedrez y/o cualquier tipo, siempre y cuando cumpla con el protocolo establecido por Taringa!.

Sistema de usuarios

Todos los usuarios exceptuando a los novatos disponen de una determinada cantidad de puntos por da con los que pueden evaluar las colaboraciones (posts) ajenas. Cada vez que un usuario califica un post, el autor del mismo ve incrementada su puntuacin personal, lo que con el tiempo le permite ascender en el rango de usuarios. Cabe mencionar que los puntos para dar no son acumulables. Los rangos o tipos de usuarios son: Novatos: Son los usuarios recin llegados a la comunidad. Su actividad est restringida a postear y comentar en la seccin Novatos, pero su acceso al contenido del sitio es total. No pueden dar puntos. Se deja de ser Novato creando un post que consiga 50 puntos o ms. Antes de la versin 3 de Taringa! (marzo de 2007) no se pasaba por Novato, sino que se era inmediatamente "Full User". New Full User: Se es New Full User cuando un "Novato" consigue 50 puntos o ms en un solo post. Los New Full Users pueden hacer uso pleno de Taringa!, incluidos los comentarios y post en la seccin general. Poseen 10 puntos por da para calificar los post de otros usuarios. Antes de la versin 3 de Taringa! este rango tampoco exista. Full User: poseen los mismos privilegios que los New Full Users. Se denomina Full Users a quienes se registraron antes de la versin 3 de Taringa! o a quienes fueron en alguna oportunidad Silver User o Gold User. Estos miembros pueden otorgar 12 puntos por da. Silver User: Son los usuarios que se posicionan entre el puesto 51 y 100 del T! Rank. Diariamente pueden otorgar 20 puntos (momentneamente fuera de uso). Gold User: Son los usuarios que se posicionan entre el puesto 1 y 50 del T! Rank. Diariamente pueden otorgar 30 puntos (momentneamente fuera de uso). Great User: Son los usuarios que se "merecen" este rango, por ejemplo por haber informado acerca de un bug, que su post salga en noticias o que es un usuario ejemplo en la comunidad. La nica diferencia con los New Full Users o los Full Users es que poseen 17 puntos por da.

 Moderador: Un Moderador es el encargado de mantener el orden, la paz y el respeto en Taringa!, prestando atencin al Protocolo. Cuenta con 35 puntos para dar por da. Los usuarios slo son promovidos a moderadores por los Administradores, fijndose en ciertos requisitos que los usuarios deben cumplir. Administrador: Los Administradores poseen los mismos privilegios que los Moderadores pero, adems, estn encargados del constante desarrollo del sitio en materia tcnica, teniendo acceso al cdigo fuente de la pgina. Estos pueden otorgar 50 puntos diariamente. T! Rank El T! Rank (Taringa! Rank) es un ranking de usuarios interno que se genera diariamente gracias a una frmula matemtica que calcula la participacin y el contenido que los usuarios comparten en el sitio. A los primeros 50 usuarios del ranking se los cataloga como Gold Users, los cuales pueden otorgar hasta 30 puntos diarios a otros mensajes. Los usuarios posicionados entre el puesto 51 y 100 se los cataloga como Silver Users, pudiendo otorgar hasta 20 puntos diarios. Cuando un usuario deja de estar entre los primeros 100 del ranking se los recataloga como Full Users pudiendo otorgar hasta 12 puntos diarios.

Software de usuarios Los usuarios de este sitio hacen programas para mejorar el uso de l, entre otros, "MensajeaT", para enviarse mensajes privados entre usuarios, y "BBCoder", para crear mensajes con formato. Pero no solo realizan software independiente, tambin hay barras de herramientas para navegadores como Firefox e Internet Explorer. Adems Taringa! ha creado recientemente un libro en cual es una recopilacin de los mejores y ms divertidos posts de este sitio que se pueden adquirir en cualquier tienda de libros.

Datos estadsticos Agosto de 2009 Usuarios Registrados = 2.793.166

Posts Totales = 2.492.152 Comentarios Totales = 16.625.635 Octubre de 2009 Usuarios Registrados = 3.005.897 Posts Totales = 2.796.629 Comentarios Totales = 18.265.474 Febrero de 2010 Usuarios Registrados = 3.629.776 Posts Totales = 3.763.511 Comentarios Totales = 24.433.386 Junio de 2010 Usuarios Registrados = 4.591.217 Posts Totales = 5.015.879 Comentarios Totales = 32.153.613 Octubre 2010 Usuarios Registrados = 5.676.985 Posts Totales = 6.720.560 Comentarios Totales = 41.292.415 Diciembre 2010 Usuarios Registrados = 6.005.528 Posts Totales = 7.435.278 Comentarios Totales = 44.849.138 Marzo 2011 Usuarios Registrados = 6.623.943 Posts Totales = 8.720.187

Comentarios Totales = 52.926.103

Controversias El 6 de mayo del 2011, la Cmara Nacional de Apelaciones en lo Criminal y Correccional de Argentina demanda a los propietarios de Taringa por la violacin a la Ley de Propiedad Intelectual, argumentando que son "participes necesarios " por las acciones que realizan los usuarios dentro de la pgina5 .

2. Descripcin del Paros Proxy.

De la pgina web del PAROS:

Se escribi un programa llamado "Paros" para personas que necesitan para evaluar la seguridad de sus aplicaciones web. Es gratuito y completamente escrito en Java. A travs de la naturaleza Paros proxy, todos los HTTP y HTTPS de datos entre el servidor y el cliente, incluyendo las cookies y los campos de formulario, puede ser interceptado y modificado.

3. Descripcin del proceso de evaluacin de seguridad de la comunidad virtual Taringa

Deseamos evaluar la seguridad de la comunidad virtual Taringa, una comunidad ampliamente usada en Latinoamrica, sobre todo en Argentina y

hacer recomendaciones que deben tomar los dueos de sta comunidad virtual para hacerla ms segura y eficiente.

Para ello probemos la seguridad de algunos de sus servicios:

Primero ingresamos a la pgina Taringa con un usuario Como vemos, podemos obtener el usuario y la contrasea, con ello vemos que la contrasea no se encuentra encriptada.

Luego creamos a un nuevo usuario Esto lo hacemos con la finalidad de poder grabar tramas para un usuario y ejecutar las mismas tramas pero con un USER ID distinto, para ver la seguridad de los servicios que ofrece el aplicativo web Taringa.

 Luego obtenemos la contrasea y usuario del nuevo usuario creado Esto lo hacemos para comprobar la inseguridad de la encriptacin de la contrasea.

 Ahora probemos la seguridad del servicio de posteo Para ello con el usuario Jonatn que hemos creado ingresamos al servicio de Posteo y grabamos esa trama en el Paros.

Oh sorpresa!!...tenemos el ID del usuario Jonatn en la trama que hemos grabado del servicio de Posteo.

 Ahora obtenemos el USER ID del usuario Carlos grabando la misma trama.

Para ello ingresamos con el Usuario y la contrasea del usuario Carlos y realizamos el proceso de Posteo y grabamos esa trama con el Paros.

Comprobamos que el servicio no es seguro

Nos encontramos en la sesin de Carlos y lo que haremos ser copiar el ID del usuario Jonatn en la Trama que hemos grabado para postear y la ejecutaremos en el Paros, demostrando que el servicio no es seguro ya que podemos ingresar directamente al servicio de posteo para el usuario Jonatn sin la necesidad de cerrar la sesin de Carlos lo que nos demuestra que el ID del usuario no est sujeta a la contrasea y usuario correspondiente. Estamos en el usuario de Carlos

Luego ejecutamos la trama de posteo en el Paros con el ID de Jonatn

Oh sorpresa!!...ingresamos directamente al servicio de Posteo para Jonatn Chino!! 6 millones de usuarios pueden ser atacados con la utilizacin de sus servicios de posteo y envo de mensajes sin que ellos puedan hacer algo!!

4. Recomendaciones

Las contraseas deben estar encriptados, para que cualquiera no pueda obtenerlas. El USER ID debe estar amarrado a la contrasea y usuario correspondiente. Todos los servicios que ofrezca el aplicativo deben estar amarrados a la contrasea, no slo al USER ID. Deben haber ms parmetros en las tramas de servicios de posteo y envo de mensajes, para que los servicios no sean fcilmente atacados cuando se conozca el UDER ID. El USER ID debe ser un nmero correlativo para los distintos usuarios, que dependa de muchos parmetros para que si interpretacin sea ms difcil.