BIOHAZARD SIDE

PC-ITO

noreply@blogger.com (El Bio Gamer) — Wed, 17 Jul 2013 05:23:00 +0000

Cualquier Cosa

noreply@blogger.com (El Bio Gamer) — Wed, 17 Jul 2013 05:19:00 +0000

International Tokyo Toy Show

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 19:29:00 +0000

International Tokyo Toy Show:

The International Tokyo Toy Show 2013 took place last weekend and we went down to take a gander at the various toys that they had on display. Unlike the Wonfes, TAF or ACE, the Tokyo Toy Show is largely mainstream toys aimed at the younger audience.

We take a lookie at goodies by Bandai, Takara Tomy, Sega Toys, Bushiroad, Lego, Happinet, Fisher Price, Line, Nintendo (Pokemon), Nerf and more.

First up - life-size Precure figures. How many of you fancy having these around your garden?

Entrance fee for Buyer's Days for most events are free - just bring a copy of your business card.

Heading to the Tokyo Big Site East Hall 1-4.

An area set aside for wheeling n dealing.

My official LINE account is now up to 243,600 followers ^o^

My ID is "@DannyChoo" (dont forget the "@" mark)

Up n coming toy products by Takara Tomy Marketing.

Megatron from "Transformers : Dark of The Moon".

The new Pokemon X and Y launching worldwide on October 12th.

This post contains a video, click here to view.

Loadsa pokemon plushie up for grabs.

Terebi de Pokemon Getto! Poké Ball [テレビでポケモンゲット！モンスターボール] - for those aspiring to become a pokemon master.

This post contains a video, click here to view.

Even more goodies at the pokemon corner.

The new Furby Japanese edition works with iPhone and Android.

Protect your family with Nerf.

Mr. Potato Head is turning Japanese.

This post contains a video, click here to view.

Dancing Face-Stand makes your phone more..."interesting."

Loads of Pretty Rhytym goodies. In Japan many anime targeted at little girls are cleverly crafted to be enjoyed by adults too.

Some of the Pretty Rhythm girls in action below.

This post contains a video, click here to view.

Hatsune Miku X Licca-chan.

This post contains a poll, click here to view.

More 1/6 scale dolls.

Huge plarail [プラレール] diorama.

Madoka Magica movie The Rebellion Story [叛逆の物語] soon.

Bored of Transformers, Takara Tomy now do Madoka and Homura with their new doll brand "liccarize."

Hungry?

Rubie's Japan Iron Man Mark 42 costume will be available for 1,800,000 yen from mid-September. Any takers?

Hot Toy's Tony Stark Workshop Version 1/6 scale figure.

Variant Play Arts "DC Comics" Batman by Square Enix.

Char Aznable x Auris collaboration - the Zeonic Toyota for all Gundam Fans.

Morinaga & Company's booth with a load of noms.

Checking out Drecom's social game "Furusato Jieitai" [ふるさと自衛隊] - illustrated by Mibu Natsuki-sensei who brought you the Tetsudou Musume series.

Tis officially approved by Japan's Self Defense Force too.

The new Mutant Ninja Turtles will begin airing in Japan next spring. How many of you have seen the original anime?

At the Bushiroad booth, big boss Kidani-san gives a presentation on their upcoming title Buddy Fight. More info due to be released in October.

From left to right - CoroCoro Comic Chief Editor Murakami-san, Big Boss Kidani-san and O.L.M CEO Okuno-san.

Bushiroad have the rights to My Little Pony in Japan - I hear the series is popular among American adults? Is it horses having hanky panky?

Huge lego crafts of Luke Skywalker and Darth Vader at the Lego booth.

More Star Wars Lego goodies.

Evangelion jigsaw puzzle in many different shapes and sizes.

This post contains a poll, click here to view.

4D City Scape Time Puzzle Tokyo - for those interested in learning how Tokyo looked like in the past and present.

3D puzzle of famous architectures by Heart Art Collection.

Spongebob Squarepants instrument and plushies.

All kinds of R/C cars and helicopters.

Gintama, Naruto, One Piece and Precure mini-posters.

Shingeki no Jigsaw Puzzle.

Now entering the Bandai booth.

Soft vinyl kaiju figures.

Sentai series - Zyuden Sentai Kyoryuger.

How many of you played Bandai's arcade card game Aikatsu! [アイカツ!]?

Life-size Monsters, Inc.

HG build Gunplas on display.

Space Battleship Yamato 2199 booth featuring a huge replica of Yamato.

This post contains a video, click here to view.

Smart pants for your smart phones...

Wide assortment of Peko-chan goodies at the Fujiya booth.

Exhibitors from outside Japan also gathered for the event - many being OEM.

Macross Sheryl jigsaw puzzle illustrated by HIRONOX-sensei.

Zuttomo Candy-ful Nail - DIY nail art kit for kids.

I've always thought that Sylvanian Families were cute but never ended getting any ^^;

As Tokyo Toy Show is targeted for younger audiences, products like baby strollers were also on display.

Fisher Price also had a booth.

Hello-kitty stuff for the wee lads.

Anpanman face bread at the Anpanman Garden booth.

The Sega Toys booth.

Jewelpod Diamond Premium - a smart phone toy for the young girls.

Anpanman inspired bento boxes.

Plushies from the Nyanko Daisenso game [にゃんこ大戦争] - available on iTunes and Google Play.

Big Sight!

Read more about Mirai Suenaga >>>

Ukishima-cho Factories

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 19:29:00 +0000

Ukishima-cho Factories:

There is another very cool place in Japan that photographers may want to visit thats hardly documented - the factories of Ukishima-cho.

I've always known that there was a place filled with factories but never knew where it was until we just happened to drive past it last night.

Ukishima-cho [浮島町] is located in Kawasaki in a landfill area that is covered with factories as far as the eye can see.
View location with Google Maps

However, as its not really a tourist or residential area (2 registered people live on the island), if you want to visit then you need a car or long walk from Kojima Shinden station [小島新田] on the Keikyu Daishi-line. Would be better if you can take a rental bicycle as the area is huge.

If you go on a clear night that would be best as the plumes of smoke look clearer - if you go on a windy night then your timelapse videos would look awesome.

There is a Japanese term to describe the appreciation of factories through photography and is actually called "Koujo-moe" [工場萌え] or "Factory Moe!"

This search result for Koujo Moe shows you how big this is in Japan.

I was driving on the highway at the time so could only stop in rest pits thus I was only able to get a few photos. Will be going back there in the Summer to spend more time in the area though. Maybe a bunch of us can go together!

Uploaded a couple of these as wallpapers to my Flickr Stream. I left the ISO settings etc in there too. The Sony NEX series handles low light well with minimum noise levels. Although I did tweak these a bit in Lightroom.

Didn't have a tripod with me and even if I did, it was too dangerous to use from the top of the highway ><

If you are going to Ukishima-cho to take photos from ground level then take a tripod - you should be able to get less grainy shots than these.

View from the car as we zoom back to base.

Read more about Mirai Suenaga >>>

Akihabara Shops 8

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 19:29:00 +0000

Akihabara Shops 8:

Akihabara - the worlds largest concentrated area dedicated to anime, games, manga, cosplay, robot, hobby and computing shops. Today we take our regular gander around the otaku haven in this weeks instalment of Akihabara Shops.

Today we take a lookie at places including Yodobashi Camera, Traders, Dospara, Sofmap, Koubu Inari Shrine [講武稲荷神社], Akihabara Crane Lab, K-books, Kotobukiya, Animate and other small stores located in the back streets of Akihabara.

First photo - huge poster for the up n coming eroge title Amairo Islenauts - my team makes the official mobile app that helps you learn Japanese ^o^

Checking out the back streets of Akihabara is always important as thats where most of the gems are.

Akihabara is also for the health conscious too, filled with software and products to keep in "tip" top shape.

Shingeki fever taking Japan by storm.

Shingeki no Kyojin Manga.

The main street in Akihabara is called Chuo Dori.

Cuties in the eroge Magical Charming.

This post contains a video, click here to view.

No doubt that the cutest girls in Japan are in Akihabara - more of them in eroge Berrys.

This post contains a video, click here to view.

Haruhi and Shana DVD's.

Where do you watch your anime watch list?
This post contains a poll, click here to view.

Nagashi Soumen in the comfort of your own home - for only 1,500 yen.

This post contains a video, click here to view.

Akihabara - where you can find both useful and maybe not so useful gadgets.

Katana brollies for the ninja inside of you. Next is to learn how to become a Ninja.

Quite a few small shrines hidden in the back streets of Akihabara.

If Mirai Millennium becomes a game it will have a very retro look and feel about it.

Cutie overload in ALIA'S CARVIVAL

Japanese eroge culture means no more roneriness.

Even more (more?!) cuties in Koi Saku Miyako ni Ai no Yakusoku wo ~Annaffiare~.

This post contains a video, click here to view.

Otome Riron to Sono Shuuhen -Ecole de Paris- - illustrated by Nishimata Aoi-sensei.

This post contains a video, click here to view.

Madousho no Shisho - Librarian of Grimoire out at the end of this month.

This post contains a video, click here to view.

Natsukumo Yururu also out at the end of this month.

This post contains a video, click here to view.

Akiba Rangers - Robots in Disguise.

Akihabara - something for all tastes...

Load of Eroge available at Sofmap.

The latest figure releases - Figma and Nendoroids.

Gunpla Galore. Me not in touch with the Gunpla scene of late. Are MG builds up to the same quality as PG?

Review of these two cuties in the Cu-Poche category.

Anime characters being shop assistants is all the rage ^o^

Sleeves for your trading card games, Moekana and Moekanji.

And if you want Mirai Suenaga sleeves then we got you covered.

Dollfie Dream Sakuya Izayoi up for grabs.

Dakimakura brides.

Light novels - many of which have been or will become anime titles.

Senran Kagura goodies.

Turn your brolley into a cat with these handle covers.

More lovely brides to keep you company at home.

Solar powered spinning figure display.

Gatcha gatcha.

Lovely Cation 2 by Iizuki Tasuku-sensei!

Are you an eroge player? How many you have in your collection?

The traditional Japanese souvenirs.

Steins Gate apparel.

TK421 X 20.

Whenever I get CD's, I usually rip them to MP3 and end up sticking the physical CD on the shelf which I never touch again.

How do you get your music?
This post contains a poll, click here to view.

Loads of Anime merchandise at the Kotobukiya store.

K-ON cushion covers.

The chap at the urinal looks like he got 2 dolphins.

Railgun Girlies.

I love these figures! Check out my review of these lovely ladies - Yui Takamura Off Style Ver and Cryska Barchenowa UN Force Easy Jacket.

Haganai figures.

Kotobukiya Inia Sestina - Muv-Luv.

One day Mirai-chan will grace one of those billboards.

Mirai X Tetsujin.

I'm going to use my one to scare off cats that keep leaving their poo on my doorstep.

More Shingeki goodies.

Which is your fave Tennis Prince?

Two really nice GSC and Max Factory figures soon.

Mikazuki Yozora Nendoroid.

Anime stickers. Looking forward to the Girls & Panzer movie.

You been watching Date A Live?

Be one of the Haiyore! Nyaruko-san characters.

Tried the trial version of Soul Sacrifice but didn't quite tickle my fancy.

This post contains a video, click here to view.

009 RE:CYBORG - if you watched and waited until the end of the credits then you would have seen me in it ^o^

Akihabara Electric Town exit - this is the exit you want to get off to see all the hustle and bustle.

Together with one of my comrades at publishing company Enterbrain after noms at Akihabara Negishi. Enterbrain do titles like Famitsu and Tech Gian.

Previous installments of Akihabara Shops listed up below.

Akihabara Shops 7

Akihabara Shops 6

Akihabara Shops 5

Akihabara Shops 4

Akihabara Shops 3

Akihabara Shops 2

Akihabara Shops

And all Akihabara related posts listed up below.

Akihabara Shops 7

Akihabara Shops 6

Tokyo Doll Store DOLK

Akihabara Shops 5

Akihabara Shops 4

Anime Cafe

Akihabara in the Winter

Akihabara Shops 3

CJ Night Tokyo 2012 Summer

Akihabara Shops 2

And if you are visiting Japan then check out some of the places to visit listed up below.

Ukishima-cho Factories

La Cittadella Kawasaki

Akihabara Shops 7

Mitaka

Roppongi Photowalk

Akihabara Shops 6

Kichijoji

Asakusa in the Winter

Akihabara Shops 5

Yokohama in the Winter

Yui Takamura Off Style Ver.

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 19:29:00 +0000

Yui Takamura Off Style Ver.:

Is you being a fan of Muv-Luv Total Eclipse? Is Yui Takamura be tickling your wee fancy? If so then this rather smexy figure of her in "Off Style" is probably for you.

Product Name: Yui Takamura Off Style Ver. (more details at Skytube)

Series: Total Eclipse

Scale: 1/6

Material: PVC

Height: Around 19.5cm

Spec: Painted

Sculptor: 2%

Release Date: April 2013

Retail Price: 7,400 yen

For those who aren't familiar with Yui, you can see her in action below. If the video has been eaten then check out this search query on YouTube.

This post contains a video, click here to view.

Yui was recently released by Skytube and those interested can still order her from one of the following trusted online retailers.

http://1999.co.jp/eng/

http://amiami.com

http://hlj.com

http://jlist.com

http://kidnemo.com

http://toylet.net

Amazon Japan

What do I love about this sculpt? Its the face - its all about the face!

I usually pick figures based on their design rather than character and have always done so.

Yui has a sweet expression followed by nice pose, very clean and well made sculpt and I'm not going to lie - curvy oppai also look lovely too ^o^

Many folks call me a perv (which is fine) but they dont seem to be able to explain why its OK for the many naked statues in Europe to be displayed in public in front of children - not only that but naked men too flashing their little soldier about.

An answer I typically get is "but those European statues are art."

Japanese figures to me are works of art too - who is to judge what art is?

Cute pantsu ><

Something I discovered of late is that placing figures on glass with a light source from below helps bring out the details.

Yui with other Muv-Luv girls around the office.

More figure photo reviews listed up below.

Smart Doll

Cryska Barchenowa UN Force Easy Jacket

Lamp Miku

Dark Magician Girl

Kaiyodo Office Tour

Volks

Mirai Suenaga Doll

Asuka Shikinami Langley Kotobukiya

Dollpa 29 Part 2

Dollpa 29

Find out more about the Culture Japan girls >>>

Se buscan expertos en ciberseguridad

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:25:00 +0000

Se buscan expertos en ciberseguridad:

A estas alturas de la película a nadie le sorprende que los distintos estados a nivel internacional estén buscando refuerzos en sus capacidades de reacción frente a amenazas en la red de manera que las infraestructuras tecnológicas sobre las que se apoyan las comunicaciones, tecnologías así como los sectores estratégicos e infraestructuras críticas, cuenten con medios tecnológicos y humanos suficientes de cara a garantizar la persistencia de los sistemas y la operativa convencional de los mismos.

Desde casos de incidentes, ataques y amenazas relacionados con las infraestructuras críticas como Stuxnet (2010), Duqu (2011), o Flame (2012), hasta el más actual Rocra (2013), dirigido al robo de información crítica y sensible de organizaciones gubernamentales de diferentes países, la evolución de las amenazas hacia ataques más dirigidos (APTs) se constata.

Pero no sólo las grandes organizaciones o instituciones gubernamentales se encuentran en situación de peligro, los ciudadanos también son objetivo. Prueba de ello fue la infección masiva producida por la familia de virus Ransomware, conocido también como virus de la Policía, que ha afectado (y aún afecta) a numerosos usuarios en todo el mundo.

En el caso de España, en INTECO-CERT hemos afianzado nuestra posición como actor clave en la gestión y respuesta frente a este tipo de amenazas y, conscientes de la necesidad de potenciar las capacidades de detección y reacción, hemos puesto en marcha el Centro de Inteligencia en Ciberseguridad. Seguro que más de uno se pregunta, bien pero ¿Qué se hace en este centro? Actualmente llevamos a cabo distintos tipos de tareas relacionadas con el análisis de malware, forense, gestión de incidentes y amenazas, desarrollo y despliegue de herramientas de detección, monitorización y análisis, así como otras actuaciones con alta carga de investigación e innovación.

El objetivo es claro: detectar, anticiparse y reaccionar, en la medida de lo posible, ante los miles de ataques que diariamente sufrimos ciudadanos, empresas y todo tipo de organizaciones. Y todo en colaboración con distintos equipos de seguridad tanto internacional como nacional, y para muestra un botón; el informe que hemos publicado esta semana junto con CSIRT-CV y titulado “Detección de APTs” .

Como no podía ser de otra manera, y fruto tanto de nuestra misión, como de las necesidades de protección nacional que se ponen de manifiesto, en INTECO buscamos ampliar plantilla con 20 profesionales altamente cualificados en el ámbito de la Ciberseguridad. Para no descartar a nadie únicamente por su CV, la selección que se hará desde INTECO se basará en una primera prueba de conocimiento online donde todos los candidatos tendrán la posibilidad de demostrar sus skills técnicos en distintas áreas de especialización (Computer forensics, Análisis de malware, Análisis de vulnerabilidades e Incident handling). Los salarios serán competitivos en función de la valía del candidato, por lo que, para todos aquellos que estéis buscando algo de estas características, solo os queda demostrar lo que sabéis...

Aquí os dejamos los enlaces de la oferta:

+ http://www.inteco.es/announcement/convocatorias/Empleo/tecnico_experto_ciberseguridad

+ https://www.infojobs.net/leon/20-tecnicos-expertos-ciberseguridad/of-ief3994fb89495682834aedd0b26d7f

Darle las gracias Yago, Alex, José Antonio y Lorenzo por permitirnos usar su ventana al mundo.

-----------------------

Artículo cortesía de Daniel Fírvida

Wireshark corrige nueve vulnerabilidades

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:25:00 +0000

Wireshark corrige nueve vulnerabilidades:

Se
ha publicado nueve boletines de
seguridad para Wireshark que alertan y corrigen otras tantas
vulnerabilidades para este software.

Wireshark es una aplicación de
auditoría orientada al análisis de tráfico en redes. Su popularidad es muy
elevada, puesto que soporta una gran cantidad de protocolos y es de fácil
manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta
sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft
Windows.

Las nueve vulnerabilidades
corregidas pueden ser aprovechadas para hacer que el software sufra una
denegación de servicio, bien dejando de funcionar, bien consumiendo todos los
recursos de la máquina.

En escenarios en los que se estén
monitorizando ataques de red con Wireshark, estos fallos pueden permitir al
potencial atacante neutralizar al software antes de lanzar el ataque real y así
pasar desapercibido.

Como es habitual, estos fallos se
pueden aprovechar por medio de dos vectores: mediante la inyección de un código
especialmente manipulado en la interfaz en la que el software esté analizando
el tráfico, o por medio de un fichero de captura de tráfico y que sea procesado
por el programa.

Los disectores vulnerables son
los siguientes: "GTPv2",
"ASN.1 BER", "PPP CCP", "DCP ETSI", "MPEG DSM-CC", "Websocket", "MySQL" y "ETCH" en las versiones anteriores a 1.8.7 y 1.6.15.

Más información:

Wireshark Security Advisories

http://www.wireshark.org/security/

Jose Ignacio Palacios
Ortega

jipalacios@hispasec.com

Paypal no paga por un fallo de seguridad descubierto por un chico de 17 años

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:23:00 +0000

Paypal no paga por un fallo de seguridad descubierto por un chico de 17 años:

Robert Kugler, un alemán de 17 años, ha descubierto un grave fallo de seguridad en Paypal. La empresa, lejos de recompensar al estudiante a través de su programa oficial de caza de bugs, le "descalificó" después de haber reportado el fallo, que finalmente ha hecho público. No es el primer desliz de Paypal con respecto a los investigadores.

Robert Kugler ha descubierto un clásico problema de Cross Site Scripting en el buscador de Paypal. En una web de esta categoría, un XSS puede resultar extremadamente serio, puesto que permitiría a atacantes engañar a los usuarios de una manera mucho más sofisticada.

http://picturepush.com/public/13144090

Kugler quiso acogerse al programa de recompensas de Paypal, que anima a la investigación responsable de vulnerabilidades premiando económicamente a los usuarios que encuentren fallos de seguridad. Así motivan un uso responsable de las vulnerabilidades. Mozilla, Google y otros agentes externos que funcionan como intermediarios, actúan de esta forma con éxito desde que se pusiera de moda hace unos años.

Kluger recibió sin embargo un email afirmando que su descubrimiento no optaba al premio por tener 17 años. Finalmente ha publicado el problema en Full Disclosure, quejándose de la situación. Kluger afirma que la respuesta de Paypal fue:

"To be eligible for the Bug Bounty Program, you must not: ... Be less than 18 years of age. If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments."

Pero parece que esto le fue comunicado en privado, puesto que públicamente no se pueden encontrar fácilmente esas restricciones en ninguna página oficial de Paypal ni parece que nunca se haya impuesto públicamente esta restricción.

El investigador en desventaja

Poner restricciones a la entregas de premios después de haber recibido la información es una práctica que, cuando menos, coloca al investigador en desventaja. No conoce las reglas del juego completas hasta que ha enseñado sus cartas (el código vulnerable) a la compañía. Esta, que ya puede arreglar el fallo (en última instancia, es lo que les interesa), decide entonces que los menores de edad no pueden recibir un premio.

Si se tratase de una cuestión legal, existen innumerables formas de sortear el inconveniente, como pedir permiso a sus tutores legales o compensar de otras formas. Pero la realidad es que se ha rechazado a la persona que encuentra un fallo que perfectamente encaja en la dinámica y reglas propuestas por Paypal, por una cuestión "menor" como es la edad... y esto deja en clara desventaja al usuario y da muy mala imagen a Paypal, que no es la primera vez que se ve criticada por otros aspirantes a la recompensa. Se han conocido otros problemas sufridos por investigadores para que la compañía realmente les pague por sus vulnerabilidades.

Otras empresas como Mozilla, llegaron a pagar 3.000 dólares a un chico de 12 años por encontrar un grave fallo de seguridad en el navegador. Cim Stordal, de 15 años, ha descubierto ya fallos en Facebook, Chrome... y en la mayoría de los programas ha sido aceptado y recompensado.

El investigador de seguridad informática es habitualmente joven, y la experiencia demuestra que suele elucubrar sus mejores ideas o potenciar sus habilidades durante su adolescencia. Imponer una restricción de edad como si la "inmadurez legal" fuese un obstáculo técnico en el mundo de la seguridad, no puede más que interpretarse como una excusa por parte de la compañía y una puesta en evidencia de un programa de recompensas que, si bien ha resultado una buena idea en general para todas las empresas que lo han puesto en marcha, Paypal en concreto parece gestionar de forma discutible. O al menos, no parece que le esté otorgando el rédito en buena imagen que, como efecto colateral, también se busca con estas iniciativas.

Más información:

La caza de bugs en Paypal acaba con la publicación de un grave agujero de seguridad

http://unaaldia.hispasec.com/2012/11/la-caza-de-bugs-en-paypal-acaba-con-la.html

PayPal.com XSS Vulnerability

http://seclists.org/fulldisclosure/2013/May/163

Boy bug hunter nabs $3,000 from Mozilla

http://news.cnet.com/8301-17852_3-20020534-71.html

Teen finds bugs in Google, Facebook, Apple, Microsoft code

http://news.cnet.com/8301-27080_3-57369971-245/teen-finds-bugs-in-google-facebook-apple-microsoft-code/

Sergio de los Santos

ssantos@hispasec.com

Twitter: @ssantosv

¿Necesitas listas de *?

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:23:00 +0000

¿Necesitas listas de *?:

Seguro que si haces auditorías de seguridad una de las colecciones más preciadas de tu arsenal es la lista de dorks, RFIs, localizaciones del panel de administración, o esos chorizos para hacer escalado de directorios o la de inyecciones SQL. También no faltan listas de combinaciones usuario/password que como dijo Ken Thompson: Cuando dudes, ¡usa la fuerza bruta!

Estas listas son muy útiles para pasarlas a herramientas tipo Burp, Cansina o WFuzz. Incluso un simple (muy simple) script ad-hoc nos puede ayudar para lanzar peticiones y comprobar su resultado:

import sys
import requests

site, payload = (sys.argv[1], sys.argv[2])

slap = ''
try:
    slap = sys.argv[3]
except:
    pass

with open(payload, 'r') as payload:
    for i in payload.readlines():
        req = requests.get(site + i + slap)
        print "%s %s %s" % (req.status_code, len(req.text), req.url)

Una fuente bastante nutrida de este tipo de listas es la base de datos de dorks de exploit-db o las listas del proyecto fuzzdb, aunque este último lleva tiempo sin ser actualizado.

Otra fuente de conocimiento son los sitios tipo pastebin. Nunca dejará de sorprender la cantidad de información curiosa (a veces rozando lo bizarro) que la gente deja colgada.

Por ejemplo, sin salirnos de pastebin, una lista para comprobar posibles scripts que pudieran contener una SQLi. Otra por aquí para el mismo cometido. RFIs en formato dorks para Google, o como no, "etc/passwd" que continen nombres de usuario para nuestro diccionario de usernames. Como no, tampoco faltan las lista de passwords procedentes de los ataques, algunos ya históricos.

Es evidente que se trata de información bastante heterogénea y tendríamos que hacerla pasar por un filtro para acoplarla a nuestras listas, el más básico es que las entradas no estén repetidas o que estén ordenadas por
porcentaje de éxito encontrado en sucesivos usos. De esta forma no machacamos un objetivo y optimizamos el tiempo de auditoría.

¡¡OWISAM os necesita!!

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:23:00 +0000

¡¡OWISAM os necesita!!:

OWISAM (Open WIreless Security Assessment Methodology), es una metodología abierta para el análisis de seguridad Wireless. Sus fundadores, los hermanos Tarascó, la presentaron en la pasada RootedCon, para que todo aquel que estuviera interesado colaborase editando sus páginas y contribuyendo con ideas.

A día de hoy, aun me pregunto cómo es posible que no existiese antes una metodología similar, con lo comunes que son las auditorias de redes inalámbricas. Si bien es cierto que OSSTMM incluye en el capítulo 9 vagas referencias, muy lejos queda, de lo que ya es hoy por hoy este proyecto.

Es en concepto y forma similar a OWASP, donde se habla de controles técnicos a bajo nivel, herramientas y procedimientos para el análisis. Entre sus páginas ya hay algunas entradas creadas, como por ejemplo los riesgos Top 10:

OWISAM Top10

Pero queda mucho trabajo por hacer, páginas que editar, procesos que documentar, textos que traducir e ideas que debatir. Hace falta que la comunidad una sus fuerza y se ponga las pilas, al igual que ocurrió en su momento con OWASP.

OWISAM: metodología de análisis

En España y en Latinoamérica en general hay mucho talento en este campo, hay claros ejemplos como seguridadwireless y su wifislax, donde todos los temas que trata OWISAM seguramente se han tratado alguna vez. ¿Por qué no darle orden y forma? Todo el mundo se beneficia, los auditores podrán saber qué y cómo mirar en una auditoría y aquellos que quieran ser auditados, sabrán que controles se han estudiado.

Para colaborar, la mejor forma es empezar por subscribirse en su lista de correo y ver en que se puede aportar, para ello, tan solo hace falta mandandar un mensaje a la dirección: owisam_es-subscribe@owisam.org

Presentamos tiké

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:23:00 +0000

Presentamos tiké:
Security Art Work comenzó hace poco más de seis años por iniciativa del que escribe estas palabras, lo que hace que le tenga un especial cariño. Como sabrán, una de las políticas no escritas de Security Art Work siempre ha sido la ausencia de publicidad propia o ajena; Security Art Work fue creado para compartir conocimiento, no como una plataforma para hacer publicidad.
Sin embargo, una vez al año —como mucho— utilizamos el blog como escaparate de algún hecho destacado relacionado con S2 Grupo, tras lo cual volvemos a la programación habitual. Hoy es uno de esos días, con una especial particularidad que ahora mismo entenderán.
Hace aproximadamente un año, comencé a trabajar en una herramienta que mejorase la implantación y mantenimiento de un SGSI y diese respuesta a diversos problemas a los que en el pasado me he tenido que enfrentar. Esta idea inicial creció y con esfuerzo ha acabado convirtiéndose en una realidad, lo que nos lleva de nuevo hasta el día de hoy. Me siento especialmente orgulloso de presentar tiké® en público: la herramienta de S2 Grupo para la gestión de referentes normativos y legales. No sólo por mi papel en su nacimiento o como responsable funcional, sino sobre todo por todo el trabajo que nos ha costado llegar hasta aquí y que no me cabe duda de que ha valido la pena.
No voy a entrar a detallar las funcionalidades de tiké®, que pueden consultar en la página web del producto. Pero sí que me gustaría comentar los pilares sobre los que descansa la aplicación, que soporta actualmente LOPD y SGSI, pero cuyo ámbito ya estamos ampliando al Esquema Nacional de Seguridad, la norma ISO 9001, la Ley de Protección de Infraestructuras Críticas y la norma ISO 22301 (continuidad de negocio):

Gestión integral. Algunos de los principales problemas que encontramos en muchas organizaciones que desean adaptarse a la LOPD o implantar un SGSI son la ausencia de herramientas para abordar determinados aspectos requeridos por el referente en cuestión, la falta de mecanismos de control sobre las iniciativas o la ausencia de trazabilidad al utilizar documentos ofimáticos. Para hacer frente a esto tiké® presenta un modelo integral en el que a través de una única herramienta es posible gestionar y llevar un control de todos los elementos necesarios: proyectos, tareas, catálogo de puestos, indicadores, sistema documental, suministradores, etc., con total trazabilidad de las modificaciones realizadas por cualquier usuario.

Usabilidad. Seguro que esto les suena a típica frase de folleto comercial: “hecho con las últimas tecnologías web” pero les aseguro que en este caso es verdad. Hemos trabajado mucho para que tiké® se adapte de manera transparente a una resolución de 1920×1080 o a la de un iPad colocado en vertical (imagen de la derecha, por ejemplo), y para que todas las pantallas muestren una coherencia funcional y estética que permita un aprendizaje lo más rápido posible. Afortunadamente, ni la LOPD ni un SGSI son cuestiones de física nuclear y mantener o implantar cualquiera de estos sistemas no debería ser una tarea hercúlea, por lo que hemos intentado (y personalmente creo que hemos conseguido) que lo sencillo siga siendo sencillo y lo difícil sea lo menos complejo posible.

Modularidad. Para hacer frente al problema de la duplicidad de elementos, el diseño de tiké® sigue una filosofía según la cual un elemento no es una entidad “propiedad de” un sistema, sino de la Organización. Esto nos ha llevado a introducir dos niveles de modularidad. El primero en la concepción de las pantallas, donde se plantea un núcleo común y un conjunto de pantallas específicas de cada norma, y el segundo dentro de cada pantalla, de modo que algunos elementos, en ciertos casos, pueden contener información específica de una norma. Este enfoque, además de evitar duplicidades, facilita la gestión unificada de las entidades (proyectos, activos, incidencias…) desde un punto central y permite tener una visión global de la Organización.

Modelo SaaS. Evidentemente, con esto no estamos inventando la rueda y por supuesto contemplamos modelos in-house si el cliente así lo requiere. Sin embargo, desde su inicio tiké® ha sido diseñado con una fuerte orientación SaaS. No sólo por las ventajas económicas que implica en el lado del cliente (el suyo) como en el del proveedor (el nuestro), sino también por la ubicuidad del acceso y disponibilidad de la herramienta en cualquier circunstancia, siempre con todas las garantías de seguridad y simplemente mediante el uso de un navegador web.

Estas características definen en esencia lo que hay detrás de tiké®, aunque evidentemente hay mucho más que contar. Al igual que con este blog, seguimos trabajando para incorporar otros referentes así como mejorar los ya implementados y añadir funcionalidades que permitan al usuario una implantación y gestión óptimas. Tras casi un año trabajando en tiké® con una implicación que va más allá de lo profesional sólo les puedo decir que, al menos en mi opinión, hemos conseguido crear una gran aplicación. Ahora es el turno de ustedes. Pueden unirse al grupo de ilustres clientes de tiké® entre los cuales se encuentran Generalitat Valenciana, Colebega S.A. y S2 Grupo, como no podría ser de otra manera.
Si quieren más información o desean ver una demo, pueden contactar conmigo vía mi correo electrónico: mbenet@s2grupo.es, o a través de cualquiera de los canales de S2 Grupo: infotike@s2grupo.es o 902 88 29 92.
Mañana retomaremos, como siempre, la programación habitual.

Los troyanos policiales del borrador de la nueva ley

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:23:00 +0000

Los troyanos policiales del borrador de la nueva ley:

El revuelo ayer fue sin duda el debate de la noticia de que el Ministro de Justicia está pensando en una ley que permita a los cuerpos de seguridad del estado utilizar troyanos para infectar los equipos, smartphones y tablets de criminales de "presuntos" criminales. Este texto daría cobertura legal al uso de sistemas como FinFisher o HackingTeam que ya utilizan otros países como Alemania donde su uso es legal.

Figura 1: Países en Europa donde se han detectado paneles de control de FinFisher

Los problemas técnicos de la investigación policial

El proceso actual sigue estando basado en detectar la dirección IP desde la que se está realizando el delito, localizar la persona detrás de esa dirección IP, solicitar una orden judicial e incautar el equipo. Una vez obtenido el equipo, comenzar un estricto proceso de custodia de evidencias y basar todo en un análisis forense de los datos que se obtienen del terminal. Esto tiene muchos problemas técnicos en todas las fases, que todos conocemos:

- Investigar una dirección IP no siempre es fácil: En España hay una ley de secreto de las comunicaciones que evita que se pueda analizar mucho tráfico de red generado por una dirección IP, lo que dificulta mucho la investigación para detectar los actos delictivos.

- Las direcciones IP no tienen siempre que apuntar a una persona: Los criminales especializados en Internet se lo tienen bien aprendido esto, por eso utilizan conexiones desde direcciones IP de otros países, uso de proxies anónimos - como ya vimos en el caso de Owning Bad Guys {and mafia} using JavaScript Botnets -, redes TOR, o simplemente una red WiFi temporal o de otra persona.

- El cifrado de los datos: Si el equipo tiene TrueCrypt, FileVault, PGP o BitLocker, hay que pasar por un proceso previo de crackeo para luego hacer el análisis forense. Esto no siempre es fácil ni posible. Por ejemplo, un terminal iPhone 4S o iPhone 5 con un passcode complejo, del que el sospechoso se hubiera negado a proporcionar la clave y que hubiera sido apagado antes de ser interceptado, no podría ser analizado al no existir ninguna forma de extraer datos sin tener un equipo pareado o las copias de Apple iCloud.

Con el uso de troyanos como FinSpy o Hacking Team para infectar smartphones o tablets, lo que se busca es resolver este problema de raíz desde las redes del país, lo que daría a los cuerpos de seguridad la capacidad de acabar estos problemas de forma más definitiva.

Figura 2: Publicidad de Remote Control System de Hacking Team

Para ello, también sería necesario contar además con una inversión en exploits - además de trucos de habituales de ingeniería social - y con técnicas de mutación del troyano para evitar la detección de los mismos por medio de los antimalware. Problemas técnicos habituales que se resuelven con normalidad para hacer que estos ataques y estos troyanos no sean tan facilmente detectables como dicen algunos.

El auténtico debate no es técnico

La pregunta, por tanto, deja de ser técnica y recae más en un debate legal o ético para ver si estas medidas están acorde con lo que los ciudadanos de este país queremos o no queremos. Según el texto del borrador, se podría utilizar en delitos con condenas de penadas con más de 3 años, donde caen cosas tan severas como la pederastia o cosas como la piratería de música - bajo debate público largo tiempo -, lo que hace que se nos emborrone el debate sobre el uso que se puede dar a estas herramientas.

Por supuesto, el miedo de muchos es que con estos troyanos - como ya sucedió antes con la proliferación de las cámaras de seguridad que graban a los ciudadanos por las calles hace años, o la puesta en marcha del sistema de interceptación legal de las tele comunicaciones SITEL - caiga en malas manos, y acabe siendo nuestro país un estado totalitarista enemigo de Internet y de sus ciudadanos.

Figura 3: Resolución SITEL en el BOE. Año 2007.

Bajo mi punto de vista, si esto está controlado por la justicia, y hay un control férreo de estos sistemas de seguridad - y entre estos sistemas de seguridad incluyo las armas de fuego que se les dan a las personas que velan por nuestra seguridad, las cámaras de vigilancia que se ponen en las ciudades, los sistemas de comunicaciones como SITEL o estos nuevos troyanos - y se usan para que los malos no se vayan de rositas, creo que estaría bien dotar a nuestros protectores de todas las herramientas técnicas posibles y que no estén en inferioridad técnica frente a los delincuentes, que alguna vez viven con total impunidad.

Solo para que veáis con qué impunidad se sienten algunos, aquí os dejo una conversación que puede encontrarse en la Deep Web sin tener que hacer muchas piruetas. He tapado la foto para que sea lo menos dañino posible, porque creo que con los mensajes es suficiente para que os hagáis una idea.

Figura 4: Uno de tantos en la Deep Web. Algunos ponen hasta sus correos públicos.

Creo que lo que deberíamos conocer es más información sobre los controles que se harían de este tipo de tecnologías y limitar mejor su uso y aplicación, para que esto no sea algo arbitrario a cualquier ciudadano.

Saludos Malignos!

Un informático en el lado del mal - Google+ RSS Informática 64 Seguridad Apple

Habilitar aviso de certificado no verificable en Internet Explorer

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:23:00 +0000

Habilitar aviso de certificado no verificable en Internet Explorer:

En anteriores artículos, nuestro compañero Yago publicó una entrada muy interesante titulada Certificados SSL irrevocables. En esta entrada se debatía la gestión de certificados digitales, en especial la parte designada a la revocación de los mismos y cómo se comporta en este tipo de situaciones un navegador específico.

Para ello, en el artículo se plantea esta gestión desde el punto de vista del que emite un certificado (Entidad Certificadora) como del receptor del mismo (Por ejemplo un navegador a través de un sistema operativo).

Como bien se comenta en el artículo, para comprobar si un certificado es válido, existen dos mecanismos para realizarlo. O bien por listas de revocación (CRL) o a través de servicios en tiempo real como OCSP. Y aquí es donde empiezan los problemas.

Existe tanta controversia en la implementación y veracidad de estos mecanismos, que cada navegador implementa este chequeo en mayor o menor medida.

Para los más paranoicos existe el problema de la privacidad, ya que si un cliente (Un navegador por ejemplo) realiza una petición a una de estas CA para determinar si un certificado es válido o no, por el mecanismo que sea (OCSP o CRL), la CA bien podría estar almacenando las direcciones IP de quien se conecta, y a qué dirección URL está accediendo.

Otro problema bien podría ser el de la disponibilidad. Muchos navegadores realizan peticiones a una CA antes de aceptar un certificado. Esto, que en principio podría ser una buena práctica, se puede convertir en un punto de fallo para la empresa (Emisor de certificados) que disponga el servicio, pudiendo ocasionar picos elevados de consultas, con la consiguiente disminución del servicio.

El tiempo es un factor importante en el caso de que se opte por el mecanismo OCSP. Por defecto, el tiempo de espera entre una petición cliente-servicio OCSP se encuentra en torno a los 15 segundos. Si a una petición de este tipo se le aplican las velocidades de otros países, latencias en la red, caídas del servicio y una infinidad de posibles problemas de conexión, tendremos un bonito navegador que no sabrá qué hacer ante un imprevisto de esta índole.

Y la última que se me ocurre, y no menos importante, es cuando se realiza un ataque. Hace ya tiempo, Moxie Marlinspike implementó en su archiconocida herramienta sslstrip un ataque contra OCSP conocido como el ataque del 3, el cual ya Chema Alonso anotó en su blog. A grandes rasgos, y en un ataque de tipo Man in The Middle, este ataque tenía éxito ya que enviaba a toda petición de tipo OCSP una respuesta indicando un mensaje de inténtelo más tarde (TryLater), ya que a estos campos no se le aplica la firma digital. No hay comprobación, no hay alerta.

Gracias a estos posibles problemas que una persona se puede encontrar en su día a día, los equipos de desarrollo implementan en los navegadores aquellos mecanismos de verificación que tengan un menor impacto en el usuario final, en cuanto a experiencia de usuario.

Con todo esto que hemos comentado en anteriores párrafos, me quedo con un comentario en ese mismo artículo escrito por exoddus, en el que cita que porque una CA no publique sus mecanismos de revocación para el cliente, eso no quiere decir que los certificados no se puedan revocar. Pero también me quedo con el mensaje de Yago. ¿Y los usuarios qué? ¿Qué mecanismos tiene el navegador o el sistema operativo para alertarnos cuando algo de esto pasa? ¿O es que tenemos que mirar las propiedades y extensiones de todo certificado digital?

A partir de Windows Vista y a través de políticas de grupo, es posible definir, configurar y optimizar el comportamiento del sistema a la hora de realizar este tipo de comprobaciones a nivel corporativo.

A nivel de usuario, si por ejemplo accedemos a la URL que indicó Yago (https://sede.malaga.es) a través de Internet Explorer, nos encontraremos con una imagen similar a la siguiente:

Imagen 1.- Internet Explorer sin alertas aparentes con certificado no-verificable

Como bien se comentaba en el artículo anterior, a partir de Windows Vista se realizan las comprobaciones a través de los dos mecanismos citados anteriormente, pero con el consiguiente de que si no obtiene respuesta de ninguno de ellos (Sea por la causa que sea), el navegador no mostrará ningún tipo de alerta.

Este comportamiento es así por diseño del propio Internet Explorer, ya que como hemos citado anteriormente, existen tantas posibilidades de que una petición de verificación no se realice con éxito, que el sólo hecho de incluir una alerta o fallo degradaría en muchos casos la experiencia de un usuario cuando éste navegase por Internet.

Esto no quiere decir que el navegador (En el caso de Internet Explorer) no incluya este tipo de aviso o alerta. La incluye, pero hay que activarla, ya que ésta viene desactivada por defecto.

La activación de esta característica es una tarea trivial, y sólo hace falta una pequeña modificación del registro para que puedan disfrutar de ella aquellos usuarios que así lo deseen.

En el caso de que se desee configurar para un usuario en particular la recomendación es aplicar este cambio en la clave HKEY_CURRENT_USER (Perfil de usuario autenticado en la máquina).

Imagen 3.- Configuración de parámetro FEATURE_WARN_ON_SEC_CERT_REV_FAILED para avisos de fallo de chequeo

Si se desea aplicar este cambio a nivel de equipo, se puede realizar a través de la clave HKEY_LOCAL_MACHINE. Este cambio afectará a todos los usuarios que utilicen el sistema.

Una vez habilitada esta característica, y si volvemos a encontrarnos con un fallo de chequeo a nivel de revocación, el navegador Internet Explorer nos mostrará una alerta del siguiente tipo:

Imagen 4.- Activación de característica de alerta de certificado no-verificable

Un saludo a tod@s!

Juan Garrido

MVP Enterprise Security

@tr1ana

Referencias:

http://msdn.microsoft.com/en-us/library/ee330735(v=vs.85).aspx

http://technet.microsoft.com/en-us/library/ee619754(v=ws.10).aspx

Reversing malware tales: Crypto-Reversing

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:23:00 +0000

Reversing malware tales: Crypto-Reversing:

En el capítulo anterior dejábamos el asunto en que los 'amables' secuestradores nos habían entregado una herramienta para descifrar los ficheros del rescate.

Hoy vamos a averiguar exactamente que es lo que hace esa herramienta, nuestro objetivo es averiguar todos los parámetros del cifrado (la clave, el algoritmo ...)

El programa es de muy fácil empleo y tiene una interface gráfica simple pero intuitiva

Antes que nada, y dado que el fichero es detectado como un troyano por muchos AVs, vamos a ver que opina BSA al respecto, solo nos detendremos brevemente, ahora el objetivo es otro, ya habrá tiempo de analizar las maldades.

Como se puede ver, BSA detecta cierta actividad digna de sospechar.

Vayamos hacia la parte criptográfica del asunto. En primer lugar vamos a usar OllyDbg para ver que funciones emplea para realizar el descifrado, con suerte puede que sea algo fácil de seguir.

¿Dije suerte? ¡ Con la CryptoAPI hemos topado ! Bienvenidos a un mundo de múltiples funciones y tipos de datos bastante esotéricos

En primer lugar, la función candidata a prestarle más atención es CryptImportKey como podemos ver en MSDN esta función hay que llamarla así:

A efectos de este análisis nos interesa -mucho- el campo *pbData ya que es lo que va a contener la clave y detalles como el algoritmo en cuestión.

Ese parámetro contendrá un 'BLOBHEADER' y el BLOB propiamente dicho. (un BLOB es, groso modo, un array de datos)

No obstante, vemos que ese BLOB puede ser de varios tipos, y algunos de ellos van cifrados, ahí entra en liza el parámetro hPubKey. Así que lo primero que nos interesa es ver como llama el programa a la función CryptImportKey, para eso vamos a usar API-MONITOR

Vemos que el parámetro no se usa (0x00000000) así que nos hemos quitado de golpe una complicación.

El segundo punto es averiguar el tipo de BLOB que le está pasando el programa a la función para poder parsearlo y extraer la información que nos interesa.

En este punto hay varios caminos a seguir, compartí el binario con Alberto Ortega y el encontró un camino diferente. Voy a explicar como lo hice yo (y si el se anima a explicar su método, le dejamos las puertas abiertas)

Para acceder a los datos de la función el camino que yo elegí fue usar API-hooking y forzar al programa a que llame a 'mi' CryptImportKey en vez de la oficial. De esa forma me enviaría a mi los datos y podría verlos en tiempo de ejecución.

Para esta labor, encontré MUY útil la herramienta WinAPIOverride, esta herramienta tiene una funcionalidad parecida a API-Monitor, pero además permite inyectar una dll en el proceso y sobre-escribir (override) cualquier función. Viene con un SDK que se integra en Visual Studio y ejemplos para hacer tu propia DLL.

Vamos a re-escribir la función CryptImportKey() haciendo que acepte el BLOBHEADER y el BLOB, abra un fichero y ponga en el la información de ese BLOB. El primer paso es analizar el BLOBHEADER

Tomando como referencia la estructura de un BLOBHEADER

Nos interesa bType (para saber el tipo de BLOB que está usando el programa) y aiKeyAlg para saber que algoritmo está usando

La nueva función CryptImportKey queda así:

Si todo va bien, cuando el programa llame a CryptImportKey, será redirigido a mCryptImportKey y esta función recibirá los datos, los analizará y volcara en el fichero dump.txt los datos del BLOB

Ejecutamos el binario desde WinAPIOverride con nuestra DLL:

Y vemos que se crea el fichero dump.txt con los siguientes datos:

Tipo de blob 0x08

Version 0x02

Algoritmo 0x00006610

Primera fase completada:

Tipo de Blob: PLAINTEXTKEYBLOB (0x08)

Algoritmo: AES (0x00006610)

Ahora que ya sabemos el tipo de BLOB que es y conocemos su estructura:

podemos analizarlo y obtener la clave. Para ello modificamos nuestra función mCryptImportKey de la siguiente forma:

Y con eso, haremos que vuelque en el fichero la longitud de la clave y la propia clave. Ejecutamos desde WinAPIOverride y obtenemos en dump.txt:

Tipo de blob 0x08

Version 0x02

Algoritmo 0x00006610

longitud de la clave 32

Datos de la clave (censurado)

Perfecto, ya sabemos el algoritmo AES, la longitud de la clave 32 bytes (que equivale a AES-256 bits) y la propia clave, solo nos queda saber el 'cipher mode' es decir, si está empleando CBC, ECB, CFB ...

Para averiguarlo, volvemos a la captura de Olly y en este caso nos interesa la función CryptSetKeyParam que es donde se determina la forma en la que se va a cifrar

De MSDN, nos quedamos con el parámetro KP_MODE del que podemos leer:

Y si vemos como se llama esta función desde API-Monitor:

Vemos que identifica el KP_MODE como 0x02 que, define el modo ECB como 'cipher mode'

Y con esto, concluye el análisis criptográfico del programa, hemos averiguado el tipo de algoritmo, la longitud de su clave, el método del cifrado y la propia clave en sí

Múltiples vulnerabilidades en diferentes cámaras IP (TP-Link, MayGion y Zavio)

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:23:00 +0000

Múltiples vulnerabilidades en diferentes cámaras IP (TP-Link, MayGion y Zavio):

Nahuel Riva y Francisco Falcon de Core Exploit han descubierto y publicado múltiples vulnerabilidades en cámaras IP de los fabricantes TP-Link, MayGion y Zavio. También han desarrollado diversas pruebas de concepto para demostrar estos fallos de seguridad.

Las vulnerabilidades que afectan a las cámaras IP TP-Link son:

CVE-2013-2572: un atacante remoto podría utilizar los credenciales fijados en el fichero de configuración 'boa.conf' para acceder a la interfaz web de administración.

CVE-2013-2573: un error de falta de filtrado de parámetros de entrada en '/cgi-bin/mft/wireless_mft.cgi' podría permitir la inyección de comandos de forma remota.

Como prueba de concepto, se inyecta un comando en la siguiente URL para alojar una copia del fichero que almacena los credenciales de los usuarios en el directorio raíz del servidor web, aprovechando la vulnerabilidad CVE-2013-2573:

http://DIRECCIÓN_IP/cgi-bin/mft/wireless_mft?ap=travesti;cp%20/var/www/secret.passwd%20/web/html/credenciales

TP-Link TL-SC 3130G

quedando accesible desde la URL: http://DIRECCIÓN_IP/credenciales

Se ven afectados los dispositivos con firmware v1.6.18P12, y se han comprobado los modelos:

TL-SC 3130 (solo la vulnerabilidad CVE-2013-2572 afecta a este dispositivo)

TL-SC 3130G

TL-SC 3171G

TL-SC 4171G

TP-Link ha publicado una actualización de firmware que corrige los errores en su página web.

Por su parte las cámaras IP del fabricante MayGion presentan otras dos vulnerabilidades:

CVE-2013-1604: un atacante remoto no autenticado podría aprovechar un problema de ruta transversal para realizar un volcado de la memoria del dispositivo y obtener credenciales válidas de usuario.

CVE-2013-1605: un fallo de desbordamiento de memoria podría permitir la ejecución de código arbitrario de forma remota.

Los investigadores han publicado dos sencillas PoC escritas en python para probar estos dos fallos:

Para obtener un volcado de la memoria del dispositivo (CVE-2013-1604).

import httplib

conn = httplib.HTTPConnection("DIRECCIÓN_IP")

conn.request("GET", "/../../../../../../../../../proc/kcore")

resp = conn.getresponse()

data = resp.read()

conn.close()

Para causar un desbordamiento de memoria y conseguir que el registro 'Instruction Pointer' sea sobrescrito con el valor 0x61616161 (CVE-2013-1605).

import httplib

conn = httplib.HTTPConnection("DIRECCIÓN_IP")

conn.request("GET", "/" + "A" * 3000 + ".html")

resp = conn.getresponse()

data = resp.read()

conn.close()

Las vulnerabilidades han sido comprobadas en dispositivos con firmware v09.27 ó 2011.27.09, aunque otras versiones también podrían verse afectadas.

La respuesta del fabricante es que las vulnerabilidades han sido corregidas en el firmware 2013.22.04.

Zavio F3105

Por último, los dispositivos del fabricante Zavio basados en el firmware v1.6.03 se ven afectados por las cuatro vulnerabilidades siguientes:

CVE-2013-2567: un atacante remoto podría utilizar los credenciales fijados en el fichero de configuración 'boa.conf' para acceder a la interfaz web de administración.

CVE-2013-2568: un error de falta de comprobación de parámetros de entrada en '/cgi-bin/mft/wireless_mft.cgi' podría permitir la inyección de comandos de forma remota.

CVE-2013-2569: un atacante remoto no autenticado podía tener acceso al vídeo en tiempo real.

CVE-2013-2570: una inyección de comandos en la función 'sub_C8C8' localizada en /opt/cgi/view/param.

La PoC de los dispositivos TP-Link es aplicable a la vulnerabilidad CVE-2013-2568.

Además, con la siguiente URL un atacante remoto no autenticado podía tener acceso al flujo de vídeo en directo (CVE-2013-2569):

rtsp://DIRECCIÓN_IP/video.h264

La última PoC es una inyección de comandos (CVE-2013-2570) a través del parámetro General.Time.NTP.Server que permite obtener una lista completa de puntos de acceso ejecutando el comando '/sbin/awpriv ra0 get_site_survey':

El fabricante Zavio no se ha pronunciado al respecto de las vulnerabilidades que afectan a sus dispositivos.

Más información:

TP-Link IP Cameras Multiple Vulnerabilities

http://www.coresecurity.com/advisories/tp-link-IP-cameras-multiple-vulnerabilities

MayGion IP Cameras multiple vulnerabilities

http://www.coresecurity.com/advisories/maygion-IP-cameras-multiple-vulnerabilities

Zavio IP Cameras multiple vulnerabilities

http://www.coresecurity.com/advisories/zavio-IP-cameras-multiple-vulnerabilities

Juan José Ruiz

jruiz@hispasec.com

Ejecución de comandos en Apache Web Server

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:22:00 +0000

Ejecución de comandos en Apache Web Server:

Apache ha corregido un fallo de seguridad que podría permitir a un atacante ejecutar comandos si los inyecta previamente en los logs (lo que se consigue simplemente realizando peticiones HTTP especialmente manipuladas).

El fallo se encuentra en el módulo mod_rewrite del servidor web Apache, que no filtra ciertos caracteres y por tanto podría permitir la ejecución de código arbitrario de forma remota si un atacante deja comandos en los logs y luego son interpretados en consola.

mod_rewrite es un módulo del servidor web Apache que permite reescribir las URL solicitadas sobre la marcha basándose en reglas. Dichas reglas de reescritura pueden ser invocadas desde los ficheros 'httpd.conf' de forma global o '.htaccess' en cada directorio. mod_rewrite es ampliamente utilizado para crear direcciones URL alternativas para las páginas dinámicas de forma que resulten más legibles, fáciles de recordar por los usuarios, y también mejor indexadas por los motores de búsqueda o buscadores.

Joe Orton ha descubierto que la función 'do_rewritelog', localizada en el fichero 'modules/mappers/mod_rewrite.c', no filtra adecuadamente los caracteres no imprimibles cuando escribe los datos en el archivo de registro (logs). Si se usa la directiva RewriteLog, un atacante remoto podría aprovechar este fallo para ejecutar comandos arbitrarios a través de peticiones HTTP especialmente manipuladas. Por ejemplo, que contengan una secuencia de escape para un terminal si los archivos de logs son mostrados.

La vulnerabilidad, identificada como CVE-2013-1862, afecta a la versión del servidor Apache 2.2.24, aunque también podrían estar comprometidas versiones anteriores. En la versión 2.2.25 ha sido corregida.

Más información:

APACHE 2.2 STATUS

http://svn.apache.org/viewvc/httpd/httpd/branches/2.2.x/STATUS?view=markup&pathrev=1469311

mod_rewrite-CVE-2013-1862.patch

http://people.apache.org/~jorton/mod_rewrite-CVE-2013-1862.patch

Juan José Ruiz

jruiz@hispasec.com

Replicación pasiva de DNS (III)

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:22:00 +0000

Replicación pasiva de DNS (III):
Vamos a seguir con nuestra serie sobre la Replicación Pasiva de DNS, abordando por fin la instalación de la sonda en nuestra red. En anteriores entradas dimos una introducción al tema y hablamos de las posibles alternativas de diseño de la infraestructura.
El agente
Para hacer la labor de recolección de información hemos decidido utilizar el agente passivedns desarrollado por Edward Bjarte Fjellskål (usuario de github y también conocido como gamelinux), que nos proporciona tanto la capacidad de captura de tráfico y extracción de información, como el paso de esa información a una base de datos.
El agente es una pequeña aplicación en C que captura la información y la guarda en un fichero de texto. Para tratar la información podemos utilizar dos script en perl, proporcionados en el mismo paquete, con los que podemos enviar el contenido del fichero a una base de datos y realizar consultas sobre la misma.
A continuación vamos a ver, someramente, los pasos a realizar para desplegar el agente en un entorno debian wheezy recién instalado:

1. Instalar prerequisitos

# apt-get install git-core binutils-dev make libldns1 libldns-dev libpcap-dev
libdate-simple-perl

2. Descargar árbol de la aplicación

# cd /opt/
# git clone git://github.com/gamelinux/passivedns.git

3. Compilar la aplicación

# cd passivedns/src/
# make

Ahora podemos ejecutar la aplicación sin parámetros, y ésta empezará a capturar tráfico DNS hasta que nosotros la “matemos”:

root@debian:/opt/passivedns/src# ./passivedns

[*] PassiveDNS 1.1.3
[*] By Edward Bjarte Fjellskål <edward.fjellskaal@gmail.com>
[*] Using libpcap version 1.3.0
[*] Using ldns version 1.6.13
[*] Device: eth0
[*] Sniffing...

^C

-- Total DNS records allocated         :      110
-- Total DNS assets allocated          :      227
-- Total DNS packets over IPv4/TCP     :        0
-- Total DNS packets over IPv6/TCP     :        0
-- Total DNS packets over TCP decoded  :        0
-- Total DNS packets over TCP failed   :        0
-- Total DNS packets over IPv4/UDP     :      102
-- Total DNS packets over IPv6/UDP     :        0
-- Total DNS packets over UDP decoded  :      102
-- Total DNS packets over UDP failed   :        0
-- Total packets received from libpcap :      224
-- Total Ethernet packets received     :      224
-- Total VLAN packets received         :        0

[*] passivedns ended.

Información recopilada
La información recopilada por la aplicación (por defecto está en /var/log/passivedns.log) contiene, en este orden, los siguientes campos:

Marca de tiempo.

IP del cliente que realiza la consulta.

IP Servidor DNS.

Clase RR (Generalmente IN).

Consulta.

Tipo de consulta (A, AAAA, NS, CNAME, PTR, SOA, …).

Respuesta.

TTL.

Número de veces que se ha realizado la consulta antes de imprimirla en el log.

1369760113.965922||192.168.1.4||172.16.1.100||IN||www.securityartwork.es.
    ||A||90.161.233.229||124||2
1369760114.612187||192.168.1.4||172.16.1.100||IN||s.gravatar.com.
    ||CNAME||cs91.wac.edgecastcdn.net.||4135||1
1369760114.612187||192.168.1.4||172.16.1.100||IN||cs91.wac.edgecastcdn.net.
    ||A||68.232.35.121||2151||1
1369760114.612246||192.168.1.4||172.16.1.100||IN||platform.linkedin.com.
    ||CNAME||wildcard.linkedin.com.edgekey.net.||67||1
1369760114.612246||192.168.1.4||172.16.1.100||IN||wildcard.linkedin.com.edgekey.net.
    ||CNAME||e5168.g.akamaiedge.net.||4838||1
1369760114.612246||192.168.1.4||172.16.1.100||IN||e5168.g.akamaiedge.net.
    ||A||2.22.224.239||8||1
1369760114.612247||192.168.1.4||172.16.1.100||IN||twitter.com.
    ||A||199.59.148.10||20||1
1369760114.612247||192.168.1.4||172.16.1.100||IN||twitter.com.
    ||A||199.59.150.39||20||1
1369760114.612247||192.168.1.4||172.16.1.100||IN||twitter.com.
    ||A||199.59.150.7||20||1
1369760114.626190||192.168.1.4||172.16.1.100||IN||s0.wp.com.
    ||CNAME||cs82.wac.edgecastcdn.net.||8631||1

Opciones relevantes
Si ejecutamos la aplicación junto con la opción -h, obtenemos la ayuda de la misma:

root@debian:/opt/passivedns/src# ./passivedns -h

USAGE:
 $ passivedns [options]

 OPTIONS:

 -i <iface>   Network device <iface> (default: eth0).
 -r <file>    Read pcap <file>.
 -l <file>    Logfile normal queries (default: /var/log/passivedns.log).
 -L <file>    Logfile for SRC Error queries (default: /var/log/passivedns.log).
 -b 'BPF'     Berkley Packet Filter (default: 'port 53').
 -p <file>    Name of pid file (default: /var/run/passivedns.pid).
 -S <mem>     Soft memory limit in MB (default: 256).
 -C <sec>     Seconds to cache DNS objects in memory (default 43200).
 -P <sec>     Seconds between printing duplicate DNS info (default 86400).
 -X <flags>   Manually set DNS RR Types to care about(Default -X 46CDNPRS).
 -u <uid>     User ID to drop privileges to.
 -g <gid>     Group ID to drop privileges to.
 -T <dir>     Directory to chroot into.
 -D           Run as daemon.
 -V           Show version and exit.
 -h           This help message.

 FLAGS:

 * For Record Types:
   4:A   6:AAAA  C:CNAME  D:DNAME  N:NAPTR  O:SOA
   P:PTR R:RP S:SRV T:TXT M:MX  n:NS

 * For Server Return Code (SRC) Errors:
   f:FORMERR   s:SERVFAIL  x:NXDOMAIN  o:NOTIMPL  r:REFUSED
   y:YXDOMAIN  e:YXRRSET   t:NXRRSET   a:NOTAUTH  z:NOTZONE

Además de las opciones comunes en muchos servicios Linux, encontramos varias opciones interesantes.
La primera de ellas es -P <sec>, que nos indica los segundos que se tarda en imprimir información duplicada al registro (entendiendo como información duplicada misma tupla consulta, tipo y respuesta). Aquí toma sentido el último campo que se guarda en el fichero de log, puesto que indica el número de veces que se ha realizado una determinada petición en el intervalo contenido entre el instante de la primera petición y <sec> segundos después, que es cuando se vuelve a guardar en el fichero de log.
Otra opción interesante es -X <flags>, que permite ajustar los registros y errores que queremos guardar. Aunque a priori puede ser suficiente con los que se ofrecen por defecto, puede resultar interesante tener información sobre los servidores de nombres (flag n: NS) o los servidores de correo (flag M: MX) que se han consultado. Por otra parte, también puede ser interesante obtener los errores de dominio no existente (flag x: NXDOMAIN), que, además, pueden guardarse a un fichero independiente, separado de las consultas correctas, utilizando la opción -L <file>.
Tratamiento de información
Como hemos comentado anteriormente, para tratar la información tenemos dos script en Perl, situados en la carpeta tools/ del paquete que hemos descargado.
El fichero pdns2db.pl permite pasar la información contenida en el fichero generado por la aplicación passivedns a una base de datos.
Antes de ejecutarlo debemos asegurarnos que cumplimos los requisitos del script, por lo que ejecutaremos el siguiente comando:

# aptitude install libdbd-mysql-perl libdbi-perl libdatetime-perl

También deberemos modificar el fichero con los datos de conexión a nuestra base de datos:

our $DB_NAME    = "pdns";
our $DB_HOST    = "127.0.0.1";
our $DB_PORT    = "3306";
our $DB_USERNAME   = "pdns";
our $DB_PASSWORD   = "pdns";
our $DBI        = "DBI:mysql:$DB_NAME:$DB_HOST:$DB_PORT";
our $TABLE_NAME = "pdns";

El último paso de la configuración consiste en crear la nueva base de datos en el sistema (el propio script se encarga de crear las tablas necesarias para el correcto funcionamiento de la aplicación):

mysql> GRANT USAGE ON *.* TO 'pdns'@'localhost' IDENTIFIED BY 'pdns';
mysql> GRANT SELECT,CREATE,INSERT,UPDATE ON pdns.* TO 'pdns'@'localhost';
mysql> flush privileges;
mysql> CREATE DATABASE pdns;

A continuación, ejecutamos la herramienta, con la opción --daemon para que se convierta en demonio y podamos seguir usando la consola para realizar alguna consulta con el otro script presente, llamado search-pdns.pl:

root@debian:/opt/passivedns/tools# perl pdns2db.pl --daemon
2013-05-28 20:53:45 [*] Starting pdns2db.pl
2013-05-28 20:53:45 [*] Daemonizing...
root@debian:/opt/passivedns/tools# perl search-pdns.pl -s securityartwork.es
                                         === PassiveDNS ===

      FirstSeen      |      LastSeen       |  TYPE |   TTL  |      Query
--------------------------------------------------------------------------------------
 2013-05-22 20:35:13 | 2013-05-28 19:06:26 |   A   |   124  | www.securityartwork.es 

  |     Answer     |  Count
------------------------------
  | 90.161.233.229 |   36

Displayed 1 (sql limit: 100)

Para hacer más fácil la labor de consulta de información disponemos, en la carpeta www/ del paquete, un fichero index.php que, configurado correctamente y situado en un servidor web, nos permite realizar consultas sencillas sobre la base de datos.
En lo que a interfaces web respecta, también hemos encontrado la siguiente, llamada pdns-ui, interoperable con nuestra base de datos, más completa y con más opciones, pero también más compleja de instalar y configurar. Dejamos para el usuario, (o para una próxima entrega de la serie, quién sabe ;) ) la tarea de instalar esta otra interfaz.

La memoria cache de Firefox: fallo o característica.

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:22:00 +0000

La memoria cache de Firefox: fallo o característica.:

Todo aquel que haya administrado un sitio web importante sabrá que gestionar el manejo de la caché de los navegadores para optimizar el rendimiento es un dolor de cabeza. Exactamente igual que ocurre con cualquier otra cosa en la que hay que pegarse con los navegadores más populares y las implantaciones que hace cada uno de ellos de un estándar. ¡Qué se yo! me viene a la cabeza el CSS o el javascript.

Pero hoy nos vamos a centrar en la caché, esas directrices mandadas desde el servidor, que muy concienzudamente un equipo de expertos arquitectos en calidad y rendimiento o simplemente administradores y desarrolladores con dos dedos de frente han decidido poner para aliviar la carga de recursos de la red.

Breve y resumidamente, existes dos tipos de cabeceras que un servidor web puede mandar: las que indican cuando expira un elemento y las que indican que método usar para comprobar la validez de ese elemento cacheado.

Históricamente cada familia de navegadores se ha comportado de forma distinta con las zonas grises del estándar (rfc2616), por ejemplo, Firefox no cacheaba ningún contenido que se sirviese por SSL salvo se indicase con una cabecera específica de que era contenido público (Cache-Control: public), incluso indicando con otras cabeceras que se debía guardar. En cambio, Internet Explorer o Chrome, salvo se dijese lo contrario con una correcta configuración, cacheaban o no bajo su criterio.

El ejemplo anterior podría ser una buena noticia si todos los navegadores hiciesen lo mismo: no almacenar el contenido servido por SSL si no tiene configuración de caché. Esto supondría que la web cargaría algo más lenta y que los servidores tendrían que servir repetidas veces contenidos estáticos. Algo poco realista con los números y cargas que manejan las webs de hoy en día.

Me pierdo, volviendo al tema de las cabeceras. Para indicar cuando el contenido se ha de renovar se usan dos cabeceras Cache-Control: max-age o Expires (en ocasiones se ven ambas, pero son redundantes y solo debería ser una de ellas), y el tiempo en segundos en el que caduca el contenido o la fecha en la que se debe renovar. Para saber si un elemento cacheado sigue siendo válido, se usan otras dos cabeceras más, también redundantes entre ellas: Last-Modified o ETag y al igual que en el caso anterior, solo se debe usar una de ellas. En el primero de los casos, con la fecha de la última vez que se modificó el elemento y en el segundo, con un identificador único del contenido.

Cuando hablamos de caché todo el mundo sobreentiende que nos referimos a la caché de disco, en memoria no volátil, pero esto no tiene por qué ser así. Todos los navegadores también usan caches en memoria para las páginas que se visitan en ese momento.

En las últimas versiones del navegador Firefox es posible ver que elementos están cacheados tanto en disco, como en memoria, tan solo escribiendo en la dirección about:cache, esto creará una página con enlaces a los contenidos guardados.

about:cache en Firefox

Está característica es muy útil, junto a las herramientas de desarrollo, firebug, proxies, etcétera, para ver que elementos se han almacenado y en caso de que esté mal configurada, reportarlo como hallazgo en una auditaría web y esas cosas. Pero no es ahí donde quería llegar.

¿Qué se guarda en la caché de memoria? de hecho, ¿qué narices es la caché de memoria? ¿cómo se comporta ante las cabeceras mandadas por el servidor? La respuesta es simple: guarda todo, incluso aunque se especifique rigurosamente que no se debe almacenar (Cache-Control: no-store) porque son datos sensibles, como por ejemplo, correos electrónicos de un webmail, mensajes de tuenti, o qué se yo. En el fondo, esto tiene sentido, ya que el estándar dice que esas cabeceras solo se deben de usar para memoria no volátil, así que .. ¿ajo y agua?

Entrada en cache de memoria de página HTTPS (con no-cache)

Claro, para que Firefox funcione ha de usar este tipo de caché, ¿cómo no va a usarla? El problema no es que la use, si no lo sencillo que resulta acceder a la información (about:cache) sin volcar la memoria del proceso a un fichero, ni técnicas hackearianas. Además, parece no liberarla cuando corresponde, ya que al cerrar la pestaña sigue permaneciendo allí... olvidada, esperando ser consultada.

Realmente todo esto no es nuevo y los desarrolladores de Firefox tienen constancia de ello. Hace 3 años debatieron sobre si suponía un problema de seguridad o no y llegaron a una conclusión, que bajo mi punto de vista es errónea por los motivos que ya he expuesto.

Pues nada, tan solo tened en cuenta que si usáis Firefox en un PC que no es el vuestro, no vale con darle a "cerrar sesión" y cerrar la pestaña, si no se cierra por completo el navegador, que el siguiente usuario vea tus secretos, es cuestión de segundos.

Certificados SSL irrevocables

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:22:00 +0000

Certificados SSL irrevocables:

Uno de los pilares básicos en el 'mundo SSL/PKI' es la posibilidad de beneficiarse de poder contar con una entidad certificadora que, aparte de asegurar la identidad, sea capaz de gestionar posibles desastres revocando los certificados emitidos.

Esto, que parece algo obvio, se sigue haciendo mal en pleno 2013. Seguimos suspendiendo en algo que debería estar totalmente estandarizado y ser cumplido con la máxima rigurosidad.

Según leo de un artículo recientemente publicado por netcraft, algunas CAs reconocidas (aprobadas por Microsoft, Mozilla, etc) emiten certificados que son virtualmente irrevocables.

Veamos porque:

De entrada los navegadores hacen de su capa un sayo y cada uno verifica el estado de los certificados como le da gana.

Existen dos formas de verificar si un certificado está vigente o ha sido revocado:

-Usando CRLs: son ficheros donde aparecen los certificados revocados, el navegador debería descargar ese fichero y comprobar

-Usando servicios OCSP: Mucho más óptimo que lo anterior, se lanza una llamada a un servicio OCSP preguntando por un certificado y el servicio responde si es o no es válido.

Para implementar cualquiera de las formas anteriores, una CA debe poner esa información como parte del certificado que emite en el campo (extensión) apropiado. De esa forma, cuando se presenta un certificado al navegador, este tiene a mano alguno de estos dos métodos para verificar.

Como decía al principio, cada navegador tiene su propia forma de comprobar la validez de un certificado:

Firefox solo usa OCSP para comprobar la validez de los certificados digitales salvo que sea un certificado EV. Esto significa que si solo hay disponible CRLs, no se valida nada. Además solo valida el certificado del servidor, no comprueba la validez de toda la cadena

Explorer hace mejor las cosas y en este caso si comprueba tanto uno como otro método.

Google Chrome no implementa ninguno de los métodos estándar (salvo para certificados EV) y apuesta por gestionar una lista de certificados revocados propia que mantiene a base de updates. (Obvio pensar que esto funciona para grandes CAs pero habría que ver que sucede con otras locales)

Safari por defecto directamente no comprueba nada salvo que sea un certificado EV

Por si esto no fuese ya alarmante, algunas CAs directamente emiten certificados en los que no añaden ninguno de los métodos anteriores. Directamente generan un certificado totalmente irrevocable. Esto, que ya resulta poco aceptable para una implementación PKI 'casera', no tiene disculpa posible a nivel profesional.

Netcraft cita varios ejemplos de certificados así, y uno de ellos, el de https://sede.malaga.es/ ha sido emitido por la FNMT

Otro ejemplo de certificado 'casi' irrevocable es el de https://accounts.google.com en este caso es solo 'casi' porque al menos implementa el sistema de CRLs, lo que significa que Explorer sí lo puede verificar pero Firefox no.

[Referencias]

Would you knowingly trust an irrevocable SSL certificate?

How certificate revocation (doesn’t) work in practice

Cómo meter un troyano en iOS y espiar un iPhone o iPad

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:22:00 +0000

Cómo meter un troyano en iOS y espiar un iPhone o iPad:

A pesar de que un terminal iPhone o iPad con iOS cuenta con muchas protecciones contra apps no deseadas en la AppStore, y de que el sistema está limitado a usuarios no privilegiados por defecto, siguen existiendo posibilidades y formas de meter un malware dentro de un terminal iPhone o iPad para espiar a su dueño. Esto es algo que se explica en detalle en el capítulo de Malware en iOS del libro Hacking iOS: iPad & iPhone, pero os voy a hacer un resumen de las distintas posibilidades.

1.- Terminal iPhone con Jailbreak usando Cydia: Si el usuario ha realizado Jailbreak existen varias formas de instalarle el malware al terminal. La primera de ella sería posible instalar el troyano desde algún repositorio usando Cydia. Para ello habría que subir la app del troyano a Cydia u otro repositorio y convencer al usuario que instale esa aplicación con trucos de ingeniería social, como por ejemplo dentro de un juego.

Figura 1: Pasos para instalar FlexiSpy en iOS con Jailbreak. Repositorios a añadir.

Muchos repositorios de apps con Jailbreak no son tan escrupulosos en los controles y es posible subir una app con un troyano en ella. En los repositorios oficiales no es tan sencillo, pero como ya vimos ha habido algún caso de apps maliciosas haciendo click fraud en este intro. El troyano FlexiSPY se descarga desde Cydia.

2.- Terminal con Jailbreak usando Juice Jacking: Si el terminal tiene Jailbreak y no se han cambiado las contraseñas de los usuarios por defecto entonces se puede poner el troyano usando una conexión OpenSSH o USBMux con solo conectar el terminal a un equipo desde el que se va a hacer el Juice Jacking. Un troyano que se puede instalar para este método es iKeyGuard.

Figura 2: Proceso de instalación de iKeyGuard en iOS con Jailbreak

Nota: En la próxima BlackHat se ha anunciado la presentación de MacTrans, un cargador que por medio de Juice Jacking inyecta malware en un terminal iOS in jailbreak.

3.- El terminal no tiene Jailbreak y tiene un passcode complejo pero tiene un chip A4: Los terminales iPhone 4 y los iPad 1 cuentan con un bug Limera1n en el BootROOM que permite que se pueda hacer Jailbreak en el arranque sin necesidad de conocer el passcode. Haciendo el Jailbreak es posible instalar un Custom Bundle - un programa empaquetado que se ejecuta en el terminal - para meter OpenSSH o un malware con RedSn0w en el terminal una vez hecho el Jailbreak. Eso sí, el terminal quedaría con Jailbreak y el usuario podría darse cuenta, aunque los troyanos comerciales ocultan las pistas de ello. Es necesario tener acceso físico.

Figura 3: Instalación de Custom Bundle en un terminal con Jailbreak

4.- El terminal no tiene Jailbreak, pero tiene un chip A4 y un passcode sencillo: En ese caso lo mejor es hacer un proceso de ruptura del passcode haciendo un Untethered Jailbreak usando iPhone DataProtection o Gecko. Una vez averiguado el passcode se reinicia el terminal para que pierda el Untethered Jailbreak y se inicia sesión con él passcode para instalar un troyano basado en un provisioning profile - fichero de despliegue temporal firmado por un Apple Developer ID -. Para ello será necesario tener acceso físico al terminal y haber creado un malware a medida - esto se explica en detalle en el libro de Hacking iOS: iPhone & iPad.

Figura 4: Muestra de FinSpy para iOS firmada por un Apple Developer ID

Este truco es el que utiliza FinSpy para iOS de FinFisher para hacer ataques dirigidos, y será necesario obtener del terminal no también el UDID para crear el provisioning profile.

5.- El terminal no tiene Jailbreak y es un iPhone 4S o iPhone 5, así que se usa un Provisioning Profile: A pesar de que un terminal no tenga hecho el Jailbreak, si es posible convencer al usuario de que acepte un provisioning profile - o se ha podido averiguar el passcode con algún truco local -, será posible instalar un troyano en el equipo si este va firmado digitalmente. Por ello, si se cuenta con un Apple Developer ID se puede firmar el código e instalarlo en el equipo aun no habiéndose hecho el Jailbreak.

Si se tiene acceso físico al equipo y se conoce el passcode o se tiene acceso a un equipo con el que está pareado, entonces se podría instalar fácilmente el troyano con el provisioning profile o incluso utilizar la herramienta WhatsApp Anti-Delete Protection Tool para monitorizar los mensajes de WhatsApp borrados.

6.- Sin Jailbreak, sin acceso físico y sin provisioning profile vía App Store: Aunque parece que meter un malware un la AppStore es muy complicado, ya ha habido casos de software malicioso introducido vía AppStore como Find & Call, los robos de datos de los juegos de Storm-8, o los comportamientos "maliciosos" de algunas apps como Twitter for iOS o Path.

Figura 5: Los juegos de Storm 8 que robaban datos

Además, hemos tenido caso de apps "no maliciosas" que han insertado malware para Windows o usado técnicas de descarga de malware, además de contar con pruebas de concepto como la de InstaStock de Charly Miller. Todas ellas pasaron todos los controles de la AppStore. Si eres capaz de hacerlo tú, solo deberías convencer al usuario de que se instalase esa app.

Esto es solo un resumen del capítulo del Libro de Hacking iOS: iPhone & iPad que hemos escrito entre muchos profesionales de la seguridad, y que de verdad creo que ha sido uno de los mejores libros publicados por nosotros hasta el momento.

Saludos Malignos!

Un informático en el lado del mal - Google+ RSS Informática 64 Seguridad Apple

Snort: Alertas geolocalizadas con flowbits

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:22:00 +0000

Snort: Alertas geolocalizadas con flowbits:
En esta ocasión voy a mostrar un ejemplo que sirva de idea sobre cómo utilizar reglas un poco más complejas en Snort para detectar actividades sospechosas en nuestra red basadas en geolocalización. Para ello, haremos uso de la opción flowbits en unas determinadas reglas para que salten cuando aparezcan algunos países que consideraremos como hostiles o peligrosos.
Entrando un poco en detalle, deciros que me basaré en el preprocesador de geolocalización que desarrolló nuestro compañero Joaquín Moreno (un saludo, Ximo ;)). De esta forma vamos a marcar las conversaciones con países que queramos destacar y activaremos un flowbit, que luego será comprobado por algunas reglas puntuales.
Para comenzar por la geolocalización podemos empezar por analizar las peticiones DNS realizadas por nuestros equipos hacia dominios de países hostiles:

alert udp $HOME_NET any -> $EXTERNAL_NET 53 (msg:”DNS Petición dominio en Islas Caiman”;
flow:to_server; byte_test:1,!&,0xF8,2; content:"|03|ky|00|"; fast_pattern:only;
sid: 3200001; rev:1;)

Esto podría alertar sobre una situación anómala pero no significa que la comunicación se establezca, ni siquiera si el servidor se encuentra en esa ubicación, aunque podemos utilizarla como un indicio más si contamos con un correlador de alertas. A continuación haremos uso del preprocesador de geolocalización para detectar comunicaciones hacia determinados países:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”S2 GEO Conexión TCP a país
sospechoso”; flow:established,to_server; country: [] -> [KY];
flowbits:set,s2.geo.taxhaven; flowbits:noalert; sid: 3200002; rev:1;)

Otra forma de geolocalizar, aunque mucho más costosa de mantener, es definir una variable indicando rangos de direcciones IP.

ipvar $TAX_HAVEN [63.136.112.0/21, 74.117.112.0/21, 74.117.216.0/21, 74.222.64.0/19,
162.211.136.0/22, 73.225.208.0/20, 192.0.4.0/22, 198.147.208.0/22, 199.201.84.0/22,
208.82.216.0/22, 208.157.144.0/21, 208.168.224.0/19, 209.27.52.0/22, 209.27.60.0/22,
216.144.80.0/20]

alert tcp $HOME_NET any -> $TAX_HAVEN $HTTP_PORTS (msg:” S2 GEO Conexión TCP a país
 sospechoso”; flow:established,to_server; flowbits:set,s2.geo.taxhaven;
flowbits:noalert; sid:3200003; rev:1;)

En ambos casos activamos el flowbit ‘s2.geo.taxhaven‘ y con el parámetro noalert le indicamos que no genere alerta. Esto no es necesario pero la alerta que nos interesa es la siguiente por lo que no queremos que nos alerte en este caso.
Ahora viene la regla compleja. Utilizaremos una regla que nos avise en caso de que un servidor nos presente un certificado SSL que contenga las palabras “Bank” o “Cayman Island”. Previamente, comprueba que el flowbit ‘s2.geo.taxhaven‘ está activo para esa conversación, es decir, no sólo el servidor dice ser de Islas Caimán sino que la IP está ubicada allí.

alert tcp $TAX_HAVEN 443 -> $HOME_NET any (msg:”S2 GEO Certificado SSL de Islas Caimán”;
 flow:established,to_client; flowbits:isset,s2.geo.taxhaven; content:“Bank”;
content:“Cayman Island”; sid:3200004; rev:1;)

Todo esto tan sólo ha sido un ejemplo. Estoy seguro de que podréis adaptar estas reglas a aquellas situaciones en las que queráis añadir geolocalización. Particularmente, yo creo una regla por cada país hostil y utilizo un flowbits “badcountry”. Por otro lado, creo reglas para que me alerten de descarga de ficheros o conexiones desde IPs críticas a una serie de países hostiles desde el punto de vista de ser fuente de frecuentes ataques de red (flowbits:isset,s2.geo.badcountry).

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”S2 GEO Conexión TCP a país
sospechoso (Israel)”; flow:established,to_server; country: [] -> [IL];
flowbits:set,s2.geo.badcountry; flowbits:noalert; sid: 3200021; rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”S2 GEO Conexión TCP a país
sospechoso (Rusia)”; flow:established,to_server; country: [] -> [RU];
flowbits:set,s2.geo.badcountry; flowbits:noalert; sid: 3200022; rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”S2 GEO Conexión TCP a país
sospechoso (Ucrania)”; flow:established,to_server; country: [] -> [UA];
flowbits:set,s2.geo.badcountry; flowbits:noalert; sid: 3200023; rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”S2 GEO Conexión TCP a país
sospechoso (Lituania)”; flow:established,to_server; country: [] -> [LT];
flowbits:set,s2.geo.badcountry; flowbits:noalert; sid: 3200024; rev:1;)
[...]

NOTA: Por cuestión de rendimiento, el orden en el que se comprueba el flowbit es importante, por lo que en comunicaciones TCP se recomienda colocarlo inmediatamente después del parámetro flow.

Libro: Traffic Analysis with Tshark How-to

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:22:00 +0000

Libro: Traffic Analysis with Tshark How-to:
El libro que me gustaría comentar ha caído hace pocos días en mis manos y se titula “Traffic Analysis with Tshark How-to” cuyo autor es nada menos que nuestro compañero del blog Borja Merino (@BorjaMerino).
Este libro trata, como es evidente, sobre el uso de la herramienta Tshark, la versión de línea de comandos de Wireshark, y de la que ya hemos hablado en alguna ocasión (Registro forense de red con tshark). Aunque Borja cubre un gran abanico de temas, incluye algunos ejemplos que muestran formas de capturar tráfico, la localización problemas de saturación de red, uso de filtros para buscar evidencias concretas, detectar ataques de red o la utilización de la herramienta como apoyo al hacer fuzzing a una aplicación.
Se explica de forma atractiva puesto que se presenta en forma de receta y después la explicación de qué estamos haciendo, o como lo titulan en la forma del libro “How to do it” y “How it works”. También se etiquetan las secciones por su utilidad e importancia, de la forma “recomendable”, “imprescindible” y “conviértete en experto”, de modo que permite identificar aquellos aspectos por su importancia de cara al grado de utilización de la herramienta que vaya a hacer el usuario.
Eso sí, es necesario leerlo con un equipo y una shell delante para asimilar toda la información que recoge en tan poco espacio, ya que el material es de alto nivel técnico, con explicaciones prácticas y ejemplos útiles sobre situaciones comunes para cualquier administrador de sistemas, incident handler o para cualquiera que quiera aprender o mejorar su kung-fu en tshark.
En definitiva, una lectura totalmente recomendada, a la altura del nivel técnico del autor.

Tuneles en el sistema de archivos

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:22:00 +0000

Tuneles en el sistema de archivos:

Hola lectores,

En el último caso forense me encontré con un episodio raro en cuanto al sistema de ficheros. Estaba examinando los metadatos de varios archivos cuando sin querer, eliminé uno de ellos. A continuación lo recuperé del Backup de hace unos días y cuál es mi sorpresa que este nuevo archivo recuperado heredó la fecha de creación del fichero borrado.

Lo ocurrido no me afecto en la investigación pero empecé a recordar que ya había leído algo en otros blogs sobre los túneles de ficheros, en su momento lo tome como una anécdota sin darle importancia, pero que ahora me este pasando esto requería saber que es y qué ocurre.

Una vez acabado el análisis forense me propuse repetir la operación.

Para ello vamos a realizar una efectiva prueba de concepto:

Creamos un archivo llamado archivo1.

Esperamos uno o dos minutos.

Creamos un archivo llamado archivo2.

Realizamos un DIR /TC. Anotamos las horas de creación.

Cambiamos el nombre archivo1 por el de archivo.

Cambiamos el nombre archivo2 por archivo1.

Ejecutamos un DIR /TC. Observamos que las horas de creación son idénticas.

Entonces ¿que está ocurriendo?. Para ello tiré de los colegas y un gran amigo de Microsoft me dio la solución al problema:

"Los sistemas Windows conservan metadatos del archivo durante un breve período de tiempo. Esto se produce después de la eliminación o el cambio de nombre.

Cuando se quita un nombre de un directorio o fichero, la hora de creación y la pareja de nombres corto/largo se guardan en una caché, teniendo como clave el nombre que se quitó. Cuando se agrega un nombre a un directorio o fichero, se busca en la caché para comprobar si hay información que restaurar. La caché es efectiva y depende del directorio. Si un directorio se elimina, su caché se quita.

Windows realiza el túnel en los sistemas de archivos FAT y NTFS para garantizar que los nombres de archivo corto/largo se conserven cuando las aplicaciones de 16 bits realicen esta operación."

Es increíble, lo que todavía hereda Windows de sus ancestros como Windows 95. Evidentemente la siguiente pregunta fue:

¿Se puede quitar? y su respuesta:

"Si, tocando el registro. Mira te voy a pasar un link donde viene explicado todo esto, es el KB 172190"

Efectivamente, una vez leído el KB se llega a la conclusión de que es un mecanismo del funcionamiento del sistema de archivos de Windows y que aunque no perjudica en la investigación forense, es bueno que lo conozcamos.

NOTA: Según el KB172190 se puede desactivar el túnel de archivos, lo cual desaconsejo ya que entre otras cosas los accesos directos no podrán ofrecer información de cuando se creó un determinado fichero o programa. Punto a tener en cuenta en nuestro análisis forense.

Investigadores diseñan malware persistente para la BIOS

noreply@blogger.com (El Bio Gamer) — Thu, 20 Jun 2013 15:21:00 +0000

Investigadores diseñan malware persistente para la BIOS: Los investigadores esperan lanzar las pruebas de concepto en el próximo Black Hat. Han diseñado un malware que puede infectar la BIOS de forma persistente.

A medida que más fabricantes de hardware buscan implementar la nueva especificación NIST 800-155 (BIOS Integrity Measurement Guidelines) [PDF] que fue diseñado para hacer que el firmware de la BIOS sea más seguro (sic), puede ser necesario volver a pensar estos supuestos de seguridad de los que depende la norma. Un trío de investigadores...

Contenido completo del post en http://blog.segu-info.com.ar o haciendo clic en el título de la noticia