blog de Fernando Flores Solis

Las conferencias de Seguridad Informática en Sudamérica: Segunda parte EKOPARTY ARGENTINA (2 de 5)

noreply@blogger.com (Fernando Flores) — Fri, 17 Feb 2012 19:24:45 PST

Continuando con el relato de la experiencia, el tercer y ultimo día trajo también sus sorpresas.

Bosses love Excel, Hackers too. por chema fue una de las mas divertidas pero a su vez didactica, reveladora y tenia sus cositas que podias hacer usando excel para salatrte politicas de windows y el uso de las macos para repotenciarlas, esta presentacion tampoco se salvo de las fallas y una d elas demos no funciono.

Finalmente la noche cerro con BEAST: Surprising crypto attack against HTTPS, en vivo con Juliano Rizzo y remotamente con Thai Duong que se encrago de hacer la demo con la herramienta que desarrollaron y al final regalaron en USB parte del codigo.

Un comnetario aparte fue la charla de Ariel Futoransky, co-founder de Core Security Technologies la presnetacion se titulaba (Pr0n=>CTC) => (P=NP), una reverenda fumada, si era yo el presentador me hubieran linchado, pero en verdad fue muy entetenida. La charla tomaba como referencia un articulo de sicologia titulado "Feeling the future" donde la base era que para predecir el futuro solo necesitabas una cantidad finita de elementos que aumentaran la probabilidad de acierto. hasta ahora no lo asimilo.

Bueno, espero este 2012 ir nuevamente, asi que ha juntar la chanchita!

Las conferencias de Seguridad Informática en Sudamérica: Primera parte EKOPARTY ARGENTINA (1 de 5)

noreply@blogger.com (Fernando Flores) — Tue, 17 Jan 2012 15:17:05 PST

En todas partes del mundo se organizan conferencias de seguridad informática, en Estados Unidos y Europa están las mas mentaditas, pero por esta parte del mundo también se dan algunas que a mi humilde opinión paso a comentar.

Desde hace 3 años quería ir a la EKOPARTY y recién este año se dio, así que agarre mi mochila y a buscar un buen hostel. El evento duro 3 días y fue en un conjunto de salas de teatro under medio viejón pero fue muy bien aprovechado para darle un estilo post guerra donde todos éramos llamados a la resistencia, además estuvo muy bien organizado, yo que antes solo he ido a congresos de estudiantes no puedo comparar mucho, pero la seguridad y las anfitrionas nos trataron muy bien.

Al grano, se programaron actividades paralelas a las conferencias como el WARGAME donde habían varios servidores con servicios vulnerables donde había que hacerse de ellos y luego defenderlos del resto de equipos. El dilema era, conferencias o el juego, aunque de la ojeada que le dimos, esta tenía un buen grado de dificultad y en los 3 días habían 2 equipos de chibolos argentinos y un grupo grande de brasileños, todos ellos participando a full los 3 días, así que le dimos fuerte a las conferencias. La actividad LOCKPICK VILLAGE, el clásico stand con candados y cerraduras para jugar un rato.

Y finalmente, mi favorito, el wardriving, donde pasearíamos en un bus por las principales calles de Buenos Aires con nuestros equipos para la búsqueda de redes inalámbricas. Todo empezó con una charla de Juan Pablo Borgna @jpdborgna, buen pata, con bástate experiencia dictando cursos de redes inalámbricas, explicaba como configurar la tarjeta inalámbrica con kismet en un backtrack, una vez finalizado, solo los preparados con su equipo a mano subirían al bus para el wardriving. No tenía laptop, pero tenía mi superpoderoso N900 con el kismet funcionando como una bala asi que ese fue mi boleto para subir al bus (muchos serán los llamados, pocos los elegidos). La experiencia fue buenísima, corrió bastante chela, la música estuvo espectacular, conocí gente chévere y llegue a coger unas 1900 redes.

Las conferencias, desde el segundo dia, todas buenas y muy buenas donde la que más me gustaron fue “our crown jewels online: Attacks to SAP Web Applications” donde se explicaban las principales vulnerabilidades de SAP, fue dada por Mariano Nuñez, CEO de Onapsis, empresa dedicada a dar consultoría a nivel global de seguridad en ERPs. El expositor didáctico, sabía mucho del tema, pionero en romper SAP, combino la parte técnica con humor, pobre reina de Inglaterra, las demos buenas, sobre todo es un buen ejemplo como esta empresa ha construido un mercado rentable en un nicho tan especializado y un consumidor con mucha plata.

La otra presentación espectacular fue “Deep Boot” dada por Nicolas economou investigador de CORE SECURITY TECHNOLOGIES la empresa que desarrolla CORE IMPACT. La charla trataba de la técnica para controlar el booteo de cualquier sistema operativo tomando el control del CPU desde el booteo de la BIOS hasta tomar el control del propio kernel del sistema operativo. Indetectable para cualquier antivirus, la demo espectacular y lo que más pica da es que dijeron que lo habían hecho en sus ratos libres.

La conferencia bastante esperada de la noche fue la del famoso REVERSEMODE Ruben Santamarta con “SCADA Trojans: Attacking the grid”, cómo, cuándo, dónde, porqué y quién puede atacar los sistemas de control industrial, específicamente los de manejo de energía. Buena charla, bien estructurada donde explicaba la estructura de los sistemas scada y presentaba casos reales del estudio, también lo complemento con el esquema de técnico-humor. En resumen explicaba que datos del sistema scada debería manipular un troyano para bajarse una central de energía y dejar a oscuras un país. No deje de preguntarme durante toda la presentación como hace para que no lo metan preso o estar en Guantánamo. Pero no todo fue felicidad porque la demo no corrió como varias durante el evento.

Hasta el momento todo bien, la gente espectacular, todos chupaban, regalaban cerveza por doquier, los presentadores distendidos, los asistentes como dicen los agentinos unos hijos de p…,

En estos días continuo contando la experiencia…..

Con antena casera

Cuando la ignorancia y la soberbia se juntan, despiertan al monstruo (Anonymous)

noreply@blogger.com (Fernando Flores) — Mon, 27 Jun 2011 15:57:04 PDT

Siendo sábado 25 de Junio, 11pm ya cayeron varios servidores peruanos por el bendito DDOS de ANONYMOUS operación PERU y lo que más risa me ha dado es que el mismo servidor aloja los dominios de ongei.gob.pe, serviciosalciudadano.gob.pe y nada más ni nada menos que a www.peru.gob.pe, mataron 3 pájaros de un solo tiro.

Solo era cuestión de tiempo para que esto sucediera, después que el jefe de la OFICINA NACIONAL DE GOBIERNO ELECTRONICO, saliera a decir en todos los medios de comunicación que “no hay problema”, “estamos protegidos”, “las organizaciones del estado tienen una fuerte infraestructura de seguridad”, “no han hackeado, solo han hecho consultas”, etc. Ahora que dirán, ya van 12 horas y no restablecen su servicio, o la estrategia es apagar el servidor para evitar el ataque.

Me pregunto, cuando alguien accede remotamente a las bases de datos de una institución sin tener credenciales de acceso y además obtiene la relación de correos, nombres, passwords y datos personales de los usuarios, no es grave?. Además, está seguros que solo han robado información?.

Ojala no les pase lo mismo que a Aaron Barr que salió a decir que había identificado a los líderes de ANONYMOUS y que los iba a delatar, a la semana hackearon su twitter y publicaron aproximadamente 50,000 correos electrónicos de su empresa HBGARY.

Lamentablemente, hasta ahora no se ha pronunciado el PeCert (Grupo de Trabajo para la Coordinación n de Emergencias en Redes) que también esta caído.

Cuando atacan a los gigantes: GOOGLE, RSA, SONY.

noreply@blogger.com (Fernando Flores) — Sun, 29 May 2011 19:37:38 PDT

A comienzos del 2010 google denuncio haber sido victima de un ataque a su infraestructura por parte de hacker chinos, según sus investigaciones serian muy cercanos al gobierno. Este incidente de seguridad los llevo hasta amenazarlos con retirar sus negocios de ese país. Desde ese momento es mucho más común escuchar acerca de ciberataques a grandes compañías.

En este ataque, conocido como AURORA no solo alcanzo a google sino a otras grandes compañías como McAfee, Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical, según la investigación hechas por McAfee la finalidad fue obtener información de empleados ligados a investigación y desarrollo utilizando un 0-day sobre Internet explorer.

El virus StuXnet, descubierto en octubre del 2010 por karspesky, abre un nuevo elemento dentro de la seguridad, la creación de ciberarmas para la tan promocionada ciberguerra. Según las investigaciones realizadas por este laboratorio, este virus utiliza 4 0-days, siendo una de ellas la ejecución de código arbitrario aunque el autorun del sistema operativo estuviera deshabilitado. Se dice que este virus puede haber sido creado por algún estado con el objetivo de atacar sistemas altamente especializados como las plataformas SCADA en un determinado país.

Ataque a RSA, Marzo 2011, RSA una de las principales empresas de seguridad, aquella que tiene como sus principlaes productos el RSA SecurId que muchas empresas en el mundo usan , como el banco de crédito y el famoso token para hacer transacciones a través de su portal bancario.

Según lo publicado por ellos mismos, fueron atacados utilizando un Excel con un 0day en flash e instalándole el RAT Poison Ivy, permitiéndole al atacante el control sobre la víctima. LA misma empresa ha reconocido que los atacantes han tenido acceso a información confidencial del producto, cosa que lo hace sumamente peligroso para los usuarios de este producto.

Febrero 2011, le toco a HBGARY empresa de seguridad tecnológica que tiene 2 ramas la federal que porvee de productos de seguridad al gobierno americano y la compañía, que brinda servicios de aseguramiento de seguridad, equipos de respuesta a incidentes y provee investigadores en computación forense a empresas privadas. Esta empresa fue atacada por el popular grupo de hackers anonymous, quienes a través de una vulnerabilidad de SQL injection en un CMS desarrollado por ellos mismos, lograron obtener toda la base de datos de la compañía incluyendo los correos de todos los empleados hasta del CEO Aaron Barr. Esta demás decirle que la empresa a cerrado sus operaciones y creo que el gobierno americano ya no contratara con ellos.

Abril 2011, Sony reconoce que su Playstation Network ha sido vulnerado. Sony culpa directamente al grupo de hacker denominado anonymous de la intrusión y del robo de información personal de sus clientes sin descartar el robo de datos bancarios. Aunque Sony dice que a la fecha tiene alguno de los servicios restablecidos la verdad es que todavía le falta mucho para estar completamente operativo.

Si bien es cierto que siempre las gran des empresas como los gobiernos mas poderosos han sido blanco de ciberataques,en su mayoría estos pasaban entre defacements y denegaciones de servicio, pero ahora vemos ataques mucho más elaborados y variados con consecuencias desastrosas y grandes escándalos mediáticos.

La pregunta es, quienes están detrás de estos ataques?, gobiernos, empresas, militares, estudiantes, criminales?. Lo cierto es que cada dia los ataques son mas profesionales y mas elaborados que denotan un alto grado de conocimiento y esfuerzo en su desarrollo.

Conferencia de Seguridad Informática en la UNI

noreply@blogger.com (Fernando Flores) — Mon, 22 Nov 2010 15:19:56 PST

Este miércoles 24 de Noviembre a partir de las 2 pm se llevara a cabo en el Auditorio FIIS – UNI, la conferencia de Seguridad Informática que tendrá como objetivo dar a conocer las principales vulnerabilidad y amenazas que se presentan en los sistemas y organizaciones.

La agenda es la siguiente :

· Pentesting Methodology

· XSS y SQL Injection

· Client Side Atack y Bypassing de Antivirus

· Noooooo, Me robaron mi Contraseña

Como vemos, las exposiciones están orientadas a conocer de manera práctica las principales formas de ataques a sistemas, empezando, con la revisión de la metodología más aceptada para realizar pruebas de Intrusión.

Luego se verá las 2 principales vulnerabilidades de aplicaciones web del TOP TEN hecho por OWASP, SQl Injection y Cross Site Scripting (XSS), específicamente la definición, herramientas para la explotación, consecuencias y un par de casos prácticos en línea.

En el mundo desde hace algunos años el vector de ataque cambio radicalmente, ahora es más frecuente iniciar el ataque por el lado del cliente y comprometer las redes de las que forman parte. Client side attack es la charla que no se pueden perder nadie ya que finalmente todos técnico o no, somos parte de una red .

Seguidamente, “Noooooo, me robaron mi contraseña” será una charla que nos dará un vistazo de todas las formas en la que los atacantes buscan robarnos nuestro mas preciado tesoro digital, nuestra privacidad.

Como en todo evento de seguridad habrá un wargame en el que podrá participar todos quienes estén interesados en ganarse un IPAD, nuevecito!.

De los ponentes, todos ellos son profesionales en seguridad informática del sector privado y público con experiencia en cada uno de los temas a tocarse este miércoles 24. Juan José Villena, Fernando Flores, Erik Borda y Andrés Morales respectivamente se encargaran de las charlas.

¿A quienes va dirigido?, consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas y entusiastas de la tecnología a quienes les apasionen los temas de seguridad.

Los esperamos!

Manejo de Incidentes de seguridad

noreply@blogger.com (Fernando Flores) — Mon, 08 Nov 2010 06:08:45 PST

Revisando el archivo de zone-h de los últimos defacements en los dominios .gob.pe, se puede ver que en promedio se publican en 10 ataques a dominios del gobierno peruano y ya van mas de 100 en el año. Ahora debemos resaltar que esas "hazañas" son publicadas por los mismos atacantes, la pregunta, cuantos mas ataques se han realizado y no son publicados?

Que pasa del lado de la víctima cuando desfiguran (defacement) su website?, que hace el webmaster, el Administrador de Red, el equipo de desarrollo, en si, que hace todo el equipo TI?.

Tomando como referencia las websites publicadas en zone-h, muchas de ellas han sido corregidas y otras aun no se han dado cuenta de lo que les ha pasado. Las websites corregidas parecen haber sido restituidas a través de un backup o eliminado las paginas comprometidas, pero en su mayoría las vulnerabilidades siguen allí, peor aun quizá sigan comprometidos y no se han erradicado los artefados dejados por los atacantes. Donde quedo el "Manejo de Incidentes".

Cuando sucede un incidente de seguridad en una organización responsable, el equipo de respuestas de incidentes de la organización(CSIRT) pone en marcha un protocolo de manejo de incidentes de seguridad que abarca una serie de fases para restitiur el servicio comprometido y que no se vuelva a presentar otra vez.

Las fases de las que hablamos son:

- Preparación

- Identificación

- Contención

- Erradicación

- Recuperación

- Lecciones Aprendidas.

Ya habrá tiempo para detallar cada una de ellas y ver algunos ejemplos. Finalmente, es preocupante que no exista en el país un organismo de coordinación de incidentes de seguridad y sobre todo en el estado ya que en el ejemplo hablamos de dominios ".gob.pe".

Pasa hasta en las mejores familias: Policía Nacional del Perú

noreply@blogger.com (Fernando Flores) — Mon, 01 Nov 2010 00:07:20 PDT

La Policía Nacional de Perú, tiene su website en el dominio www.pnp.gob.pe y hace un dia a sido desfigurada (defacement), presumiblemente por un Script Kiddie que haciendo alarde de sus supuestas habilidades reta a la policía a atraparlo, supongo que no habrán dormido con tamaño desafío.

Fuera de sarcasmos, nos parece demasiado infantil el defacement hecho por JARDHA, el identificarse, el reto y el anuncio del supuesto 0day encontrado por “él”, solamente con el fin de mofarse, además, sabrá que es un 0day.

Que dice la wiki para 0day: “Amenazas o ataques que tratan de explotar vulnerabilidades de aplicaciones informáticas que son desconocidas por los demás y no reveladas a los desarrolladores del software” eso significa que JARDHA es un investigador que ha logrado encontrar una vulnerabilidad en IIS con mucho esfuerzo como todas las investigaciones y la ha utilizado para sacarles la lengua a la PNP, quizá no sabe, que hay empresas que pagan miles de dólares por estas.

Dándole una ojeada muy superficial a la website de la PNP podemos ver que usan .asp y SQL Server para sus páginas de contenido. Al parecer debe haber usado un SQLInjection en alguna de las páginas de noticias o en algún formulario de búsqueda, lamentablemente en este momento no se puede hacer ningún análisis más profundo porque sería como hacerse un harakiri.

Definitivamente alguien que sea un hacker de verdad no hace estas travesuras, no deja rastros, no bravuconea, no echa a perder su “patio de juego”, no usa un 0day para un desfigurado (defacement), por lo que no pasa de ser una travesura de un entusiasta.

Esperamos que esto sirva a la Policía Nacional para analizar, como están siendo protegidos sus activos de información y que se tomen las medidas correctivas, que en realidad sepan hasta donde llego JARDHA, que ojala tengan una estructura de seguridad definida por que si no, agarrenseeeeeee.

ES LARRY ELLISON, TONY STARK?

noreply@blogger.com (Fernando Flores) — Sun, 16 May 2010 21:49:20 PDT

Para quienes no lo sepan Larry Ellison es fundador y CEO de Oracle y es conocido por ser multimillonario, manejar autos lujosos, poseer uno de los yates mas grandes del mundo, tener fama de playboy y otras perlas en su haber.

Ayer fui a ver IRONMAN 2 y me sorprendió verlo, si a Larry, representándose así mismo saludando a Tony Stark y también me sorprendió las varias veces que apareció la marca ORACLE en la presentación de la EXPOSTARK, cuanto dinero habrá puesto la empresa para tamaña publicidad, sin contar todo el marketing realizado en sus publicaciones haciendo referencias al super heroe.

Es conocido el ego de Larry Ellison pero pareciera que el se ha encontrado reflejado en TONY STARK y cree ser IRONMAN, empecemos en el parecido, los dos son millonarios, mujeriegos, excéntricos, y miren las presentaciones de Larry son similares las que salen en la película, obvio no hay IRONMAN’s volando ( quizás en el ORACLE Open World 2010 ), pero tiene el estilo de presentación.

Tampoco es la primera vez que ORACLE sale como empresa pero nunca lo había hecho tan explícitamente, por ejemplo en la película EL HOMBRE BICENTENARIO, las instalaciones de la empresa que ensambla los robots son las de ORACLE esos edificios los he visto en un par de películas mas.

Indagando mas encontré algunos links interesantes, como el libro “LAS DIFERENCIAS ENTRE DIOS Y LARRY ELLISON” de 1997

Considerado una celebridad, Marvel usa Oracle, Marvel en Oracle, Comercial de Oracle y IRONMAN

Pasa hasta en las mejores familias: Fundación APACHE

noreply@blogger.com (Fernando Flores) — Mon, 01 Nov 2010 00:10:45 PDT

Hace un par de semanas el equipo de infraestructura de la fundación apache publico un post en su blog con respecto al denominado “incident report for 04/09/2010” donde detallan como fueron atacados y cuáles fueron los daños ocasionados por los atacantes.

Todo empezó el 05 de abril, la vulnerabilidad explotada fue XSS sobre el software JIRA el cual es usado para administrar errores y seguimiento de incidencias de proyectos. La aplicación del XSS- Cross-Site Scripting fue aperturando una incidencia donde registraron una URL corta usando tiny-url asociada a un mensaje de error, logrando obtener varias sesiones de usuarios de JIRA entre ellas de administrador, pero no solo eso hicieron, sino que a su vez realizaron un ataque de fuerza bruta contra la pagina de ingreso login.jsp, intentando unos cientos de miles de combinaciones.

El 06 de Abril, los atacantes ya tenían privilegios de administrador sobre cuentas JIRA, donde instalaron una Shell que les permitió hacer copia de archivos de usuarios, mover archivos y descargarlos a su maquinas locales, imagínense el festín que se dieron, Apache no reporta que hayan realizado daños sobre la información.

Para el día 09, los atacantes instalaron un JAR (aplicación java comprimida) que les permitía recolectar usuarios y password, además enviaron al personal del equipo un correo pidiéndole que resetearan su cuenta en JIRA. Muchos se logearon a sus cuentas y resetearon sus password donde volvieron a poner el mismo.

Después de 6 horas de resetear los passwords el equipo se dio cuenta del ataque y comenzaron a bajar los servicios y manejar el incidente.

Para el 13 de abril ya se tiene los parches que solucionan el problema y poco a poco se van restituyendo los servicios aunque aun el Confluence wiki sigue caído.

Lecciones Aprendidas

- - No subestimemos la vulnerabilidad XSS, que parece inofensiva pero unida a la ingeniería social, puede tener efectos severos sobre nuestras aplicaciones y activos, por algo es la segunda vulnerabilidad en el top ten de OWASP para el 2010.

- - No sincronices tus password. Tienes el mismo password para Hotmail, gmail, hi5, facebook,. Twitter, es una muy mala idea.

- - Evita que te hagan fuerza bruta usando CAPTCHAS.

Soy un virus y te quiero infectar.

noreply@blogger.com (Fernando Flores) — Sun, 25 Apr 2010 21:28:29 PDT

Muchas veces cuando revisas tu correo te das con la sorpresa que te han enviado una postal, una carta, un video un mensaje, te has ganado una beca, una ex novia que con la que nunca has estado te envia una carta o video, lo comun de ellos es que nunca lo pediste. Otra variedad son los directos, esos que te piden que cambies la clave de tu tarjeta , la clave de tu correo, etc.

De todos estos tipos, hay uno que esta dando vueltas en esta ultima semanas y decidí analizar que es lo que hacia, no me inmole como Carrión ya que no fue necesario, en estos tiempos ya no es la forma, pero si logre descubrir sus intenciones, nada buenas por cierto.

El mensaje

“Tienes un mensaje multimedia”, aunque Hotmail nos lanza una advertencia, este no ha sido catalogado como spam y ha pasado el filtro.

Mensaje completo, aun con la advertencia abrimos el mensaje y se ve similar a los mensajs de Claro.

Si descargamos el supuesto mensaje multimedia es en realidad un ejecutable _MMS_.exe (No hacer)

Esta además advertir sobre ejecutarlo, y vamos a ver porque.

**************************************************************************************

-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NA==

X-Message-Status: n:0

X-SID-PRA: Claro

X-SID-Result: Fail

X-AUTH-Result: FAIL

X-Message-Info: 6sSXyD95QpXgwro7LdMF68R/jgLQ2Zd2uMkwXRHBDsfNpY5Tt0pqg25CrOx3KhRYbmxfii+mGpiSEZq/XQAyann38wTs/m8r

Received: from servidor.todacompra.com ([72.55.174.148]) by bay0-mc4-f27.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);

Thu, 22 Apr 2010 07:41:25 -0700

Received: from nobody by servidor.todacompra.com with local (Exim 4.69)

(envelope-from )

id 1O4xam-0005hu-0b

***************************************************************************

Si revisamos el código fuente nos damos cuenta que el asunto dice CLARO y al parecer se les paso cambiar el correo info@hi5.com, aunque no tiene relevancia ya que igual nunca vino de esa dirección, solo fue puesta para dar “credibilidad” al mensaje.

En realidad el correo viene desde servidor.todacompra.com ([72.55.174.148]) el cual quizas este comprometido y este siendo usado para enviar correos masivamente o son parte del negocio.

Cuando nos posicionamos sobre la imagen o le damos click , nos pedirá bajar el archivo desde la direccion, http://galeradaxurupita.com/fotos/. Evidentemente este website ha sido comprometido al cual han subido el bicho y han creado la pagina index.php para que se descargue. Este dominio es de un grupo brasileño donde se dejan mensajes como un tablón de notas y que tiene un hueco de SQL Injection, aprovechada por los atacantes para apoderarse de el subiendole la archiconocida shell c99.txt.

Que hace el ejecutable “_MMS_.EXE”

Para empezar es un troyano, levanta varios servicios, se inyecta en ddls del system para ocultarse, se registrav en el regedit, modifica archivos del sistema, principalmente el C:\WINDOWS\system32\drivers\etc\hosts para hacerle pharming de la web del BANCO DE CREDITO, y ya no te reedirecciona a otra pagina web sino que la replica de la pagina del banco de credito la guarda en tu misma PC, evitando asi tener que comprar dominio, Hostings, etc.

Para finalizar debemos tener mucho cuidado cuando recibamos este tipo de correos y si Hotmail, gmail u otro nos advierte, hagamosle caso, pero si quieres colaborar con nosotros REENVIAnos estos correos que te llegan a coleccionandovirus@gmail.com que nosotros lo analizaremos y los encerraremos en una masmorra.

Pasa hasta en las mejores familias III

noreply@blogger.com (Fernando Flores) — Mon, 01 Nov 2010 00:11:30 PDT

Retomando los post, hoy hablaremos acerca de un “defaceo” que le sucedió hace pocas semanas a una empresa que justamente brindan el servicio de hackeo ético.

Como el titulo lo dice, pasa hasta en las mejores familias, le pasó a Google, a Microsoft, y a muchos más, y aquí en el Perú también ha sucedido relativamente seguido siendo el último que tuvo mucha cobertura de la prensa fue el www.peru.gob.pe

Open-sec.com es la “única empresa Peruana que cuenta con consultores certificados …. Las certificaciones de más prestigio a nivel internacional en ethical hacking”, bueno eso dicen ellos en su Web, y es vergonzoso que te suceda lo que les garantizas a tus clientes que con tus servicios no les pasara.

El año de las Certificaciones

noreply@blogger.com (Fernando Flores) — Mon, 26 Oct 2009 12:47:24 PDT

Asi como el gobierno a cada año le da un nombre o titulo que se coloca en todos los documentos oficiales de todas las instituciones del estado, por ejemplo este año se le puso "Año de Unión Contra la Crisis Externa" tratando de reforzar una idea en el pais. Eso mismo trato de hacer cada año, tratar de cumplir mis metas no solo profesionales sino tambien personales, es asi que este año le llame "El año de las certificaciones". Despues de casi 10 años de haber egresado de la

universidad asumi que este año debia primero ponerme al dia con una certificacion que postergue por tanto tiempo y segundo tentar algunas nuevas en el nuevo segmento en el que me estoy desarrollando.

Esa tarea pendiente comenzaba con el OCA Oracle 9i, el cual ya habia dado el primer examen hace ya varios años y debia completarlo con el examen de fundamentals I y bueno fue asi, hace un par de meses pude ponerle el check en la pequeña lista que habia elaborado, ahora que me llego el certificado procedi a tacharla, aunque tambien ya agregue al final la actualización al 10g.

Planificando este año se me presento la oportunidad de pagar el voucher para el examen CPTS (Pentesting Specialist) de mile2 la cual me daba el tiempo suficiente para preparame y asi fue hasta hace una semana que aplique el examen y lo aprobe. El examen no fue tan facil debido a la cantidad de temas y lo especifico que es una evaluacion siempre de este tipo. Espero no demore mucho en llegarme el certificado porque como sabemos, papelito manda!.

Que viene ahora? Bueno, espero cerrar este año o los primeros meses del proximo con 2 certificaciones mas a los cuales ya estoy aplicando. Todo esto ya que el proximo sera el año de las TESIS.

Google, Microsoft y el nuevo buscador Bing

noreply@blogger.com (Fernando Flores) — Tue, 14 Jul 2009 18:13:30 PDT

De un tiempo a esta parte estamos siendo espectadores de un mano a mano entre Google y Microsoft por ampliar su jerarquia en Internet, sino miremos los que esta pasando desde hace un par de años:

- Octubre 2006, google compra youtube.
- Febrero 2008, Microsoft propone comprar yahoo
- 02 setiembre 2008, google lanza su navegador chrome
- 26 de mayo 2009, MS presenta bing, nuevo buscador web.
- 28 de mayo 2009, google presenta wave, Se trata de una aplicación para la comunicación y la colaboración que conjuga chat, mail, edición de documentos en tiempo real y en forma simultánea por distintos usuarios
- 08 de Julio 2009, google anuncia su sistema operativo chrome SO
- 13 de julio 2009, Microsoft anunciara su office online gratuito

Aunque como todo negocio, que lo es, tiene una base de ganancias monetarias, creo que google le lleva un par de pasos a Microsoft en este mercado, aunque parece que este ultimo no quiera resignarse a no tener tajada de la torta y este 26 de mayo, presento BING, un nuevo buscador, el cual anuncia que cambiara la manera de buscar en Internet.

Bueno, este es un anuncio que lo hacen todos los que presentan un nuevo producto, pero mas alla de los ofrecimientos y buenos deseos de Microsoft, lo mas importante es ganar mercado en el mercado de buscadores que practicamente esta compartido por google y Yahoo.

Dicen que cuando uno piensa en búsqueda por Internet, la mayoría piensa en google, que se lleva mas del 60%, siguiéndole yahoo y en tercer lugar estaba Live Search con 9%. Entonces, por que Microsoft lanza un nuevo buscador y no repotencia su Live Search, quizá sea un concejo de sus publicistas, porque es mas fácil decir vamos a googlear que vamos a Live searchear, entonces ahora podemos usarlo como verbo y decir vamos a Bingear.

A parte de las clásicas búsquedas, dice Microsfot, son mas rápidas, mejores y fáciles, pero todos sabemos que todo eso es relativo, a ver que levante la mano quien a la primera encontró lo que quería en algún buscador, creo que nadie.

Bing, dice estar orientado a búsquedas semánticas, es decir que busca todas las posibles asociaciones a las palabras basándose en su significado y no directamente a su sintaxis. Aunque solo lo he usado dos semanas debo reconocer que la búsqueda de imagenes y vídeos es buena, por lo menos cambia la forma tan estática que google lo hace, dándote además previos de los vídeos, en realidad esta parte si me parece interesante.

De las palabras claves, un buen aporte son la búsqueda por Ip, por location, inanchor, inbody o intitle, estos 3 últimos asociados a la metadata de la pagina. No se conoce mucho aun de como funcionan los bots y spiders de Bing, algo curioso es que si buscamos la palabra ladrones aparece la pagina del gobierno argentino en primer lugar.

Ver quien es mejor, solo lo dirá el tiempo, sobre todo porque gran parte del uso es por gusto, costumbre, confianza, rendimiento, cosa que google ha ganado con el tiempo. Además Bing debe cargar con la mala fama de su padre MIcrosoft, quien semana a semana le sale cada enemigo y a favor diremos que debido a la masificacion de los productos de su padre, podrá ponerlo por defecto en todos los productos de su propiedad y quizás replique lo que hizo hace años con su Internet Explorer en desmedro de Netscape.

Si quieres ver de manera simultanea los resultados de búsquedas en google y bing, en http://bing-vs-google.com y así formarte tu propio concepto, que es lo mas saludable.

Comparte tu virus!

noreply@blogger.com (Fernando Flores) — Sat, 27 Jun 2009 22:18:25 PDT

Hace poco me llego una postal de una chica ( que no conocia), y me intrigo el mensaje, era super cariñoso, al punto que me hizo dudar y casi le hago click, felizmente me di cuenta a tiempo y solo era un email virulento que siempre llegan. Te las envian en varias modalidades como: premios, becas, cartas, noticias, fotos, etc hasta te llegan por equivocación. Así que si te llego uno te agradecería le dieras "reenviar" y me lo envíes a esta cuenta coleccionandovirus@gmail.com que aqui lo encerraremos bajo siete llaves.

Pasa hasta en las mejore familias II

noreply@blogger.com (Fernando Flores) — Mon, 01 Nov 2010 00:11:30 PDT

Hace mucho que no escribía, para ser mas exactos desde que google bloqueo mi blog, poniéndome en evaluación por linkear una pagina que fue comprometida y usada para infectar. Bueno, como dice el titulo de este post le pasa a cualquiera y mas a aquellos que nos gusta jugar con lo peligroso.

Desde hace un buen tiempo que tenia las ganas de darle continuidad al blog y no encontraba el tema para hacerlo, pero hace unos minutos me tropecé con una pantalla negra con letras rojas que me llamo la atención, decía "¡Este sitio es una web atacante!", vaya, que escandaloso mensaje para una pagina web.
Mayor fue mi sorpresa al notar que era el TROME.COM.

Que serán de las malcriadas pensé, vamos a ver que paso. Google nos dice:
"Este sitio aparece como sospechoso: la visita a este sitio web puede dañar su equipo.", significa que nos van a instalar algo que puede aprovechar una vulnerabilidad de nuestro navegador y hacernos daño(Instalarnos un troyano, keylogger, etc).

¿Qué ocurrió cuando Google visitó este sitio?.

"De las 67 páginas analizadas en el sitio durante los últimos 90 días, 43 página(s) contenía(n) software malicioso que había sido descargado e instalado sin el permiso del usuario. Google visitó este sitio por última vez el 2009-06-12, y se encontró contenido sospechoso en este sitio por última vez el 2009-06-12."

Significa entonces que se ha comprometido gran parte de las paginas webs del TROME.COM.

¿Ha alojado este sitio software malicioso?

"No, este sitio no ha alojado software malicioso durante los últimos 90 días"

Significa que el bicho no ha sido almacenado en este site, pero aun así si se puede descargar desde aquí.

Bueno hasta ahora hemos puesto las explicaciones de google para catalogar a esta pagina como "web atacante", veamos ahora que dice el código fuente.

Esta pagina cuenta con varios enlaces a otras paginas que no son del mismo TROME.COM., estas son

http://ads.elcomercioperu.com.pe/RealMedia/ads
obviamente del comercio, prima hermana del TROME.COM..

http://hits.e.cl al parecer la empresa que los certifica.

http://www.google-analytics.com
juguetito de google para analizar el trafico de la pagina.


pero la que nos llamo la atención fue:

Este iframe con "width: 0px; height: 0px;" para que no se vea por el navegador, nos lleva a un archivo iframe.php aparentemente el archivo que infecta.

Este servidor puede haber sido comprometido o arrendado para almacenar virus.


Recuerden que la advertencia  aparece con firefox solamente. Ni chrome (raro,  no?),  ni internet explorer nos advierten.

Seguiremos analizando y esperemos que nuestros amigos del TROME.COM., puedan reparar su site lo antes posible.

Blind SQ Injection o Inyección SQL a Ciegas

noreply@blogger.com (Fernando Flores) — Wed, 24 Sep 2008 17:29:39 PDT

2. Evaluando inyección de código

Una vez que identificamos la vulnerabilidad, que consta en hacer que la pagina muestre información cuando inyectamos “and 1=1“ para la condición verdadera y “and 1=0” para la condición falsa.

http://www.mts.pl/index.php?id=1036+and+1=1

Imagen 1

http://www.mts.pl/index.php?id=1036+and+1=0

imagen 2

Entonces, si quisiera sacar el nombre de la base de datos, puedo hacerlo de la siguiente manera:

http://www.mts.pl/index.php?id=1036+and+109

agregamos: menor que ascii(substring(database(),2,1,))

Donde:

ascii: funcion de mysql que devuelve el numero ASCII de un carácter

substring: funcion mysql que permite sacara una parte de una cadena

database(): funcion de mysql que devuelve el nombre de la base de datos.

Entonces si se dan cuenta, estoy preguntando si la primera letra del nombre de la base de datos transformada a ASCII es mayor a 109, si me devuelve la primera figura significa que es verdadero y si sale la imagen 2 significa que es menor o igual.

Entonces iré tanteando hasta que halle el valor que puede ser mínimo 2 intentos hasta que asi hallemos letra por letra el nombre total de la base de datos.

Para hallar la segunda letra sería:

ascii(substring(database(),2,1))

PERO. Ya existe una herramienta que automatiza este procedimiento y la veremos en el siguiente post..

SI tienes alguna duda escribe en comentarios que gustoso lo respondere.

Blind SQ Injection o Inyección SQL a Ciegas…..

noreply@blogger.com (Fernando Flores) — Sat, 20 Sep 2008 22:21:18 PDT

1. Identificación de Página Vulerable

Hemos visto en uno de mis primeros post acerca de la inyección de código SQL en una aplicación Web, en este caso se utilizaron los campos o cajas de textos de un formulario y así nos pasamos la autenticación que nos pedía. Aunque no los hemos tratado a profundidad por lo menos logramos realizar una prueba de concepto para su mejor entendimiento.
Otra de las modalidades de inyección de código SQL es una conocida como Blind o Ciega que es usada con dos objetivos, el primero de enumeración de la base de datos y la otra de descarga de archivos.

Cual es el principio de esta técnica? Lo explicamos mejor con un ejemplo

Busquemos con nuestro amigo GOOGLE una página lejos de aquí

Esta pagina es de los Países Bajos, espero no me traiga problemas legales.
El link http://www.mts.pl/index.php?id=1036 nos damos cuenta que si le agregamos una comilla simple a la URL nos dará otro resultado, exactamente una pagina en blanco con el siguiente mensaje “Nieprawid³owa sk³adnia zapytania” con mis altos conocimientos en idiomas, adivino que dirá “no se devolvieron resultados”, o algo así.

Entonces si agrego a la URL http://www.mts.pl/index.php?id=1036 +and+1=1 nos mostrara la misma pagina con resultados, eso significa que se inyecto el código. Suponiendo que el desarrollador halla codificado su PHP de la siguiente manera :

$sql = “select * from tabla where codigo = $id ” ;

El resultado con código inyectado sería:

$sql = “select * from tabla where codigo = 1036 and 1=1 ” ;

El “and 1=1” por lógica simple esta validando el “codigo = 1036 “ es por eso que la pagina se muestra correctamente.

Pero, si agregamos “and 1=0 “ al URL el resultado de la página es otra.

$sql = “select * from tabla where codigo = 1036 and 1=0 ” ;

Por lógica el “and 1=0 ” vuelve falso el where de la sentencia SQL, es por eso que al no devolver resultados nos muestra la otra página, la de error.

En conclusión, esta prueba nos demuestra que la pagina web http://www.mts.pl/index.php?id=1036 es vulnerable a BLIND SQL INJECTION.

En el siguiente post continuaremos con la obtención de datos.

Pasa hasta en las mejores familias

noreply@blogger.com (Fernando Flores) — Mon, 01 Nov 2010 00:11:30 PDT

Ayer, lunes 11 se nos cayó nuestro amigo gmail, no se podía acceder a revisar tus cuentas de correo y si estabas logueado se demora bastante. Felizmente no duro mucho y aunque google minimizo el hecho asegurando que estuvo fuera de línea por un problema en su sistema de contactos, me da temor pensar que pueda suceder constantemente y por mayor tiempo, ya que de un tiempo a esta parte mi correo se a convertido en mi repositorio principal de archivos. Tengo desde clases hasta instaladores y a veces uno necesita que estén 24/7 de disponibilidad, pero finalmente NADA ES PERFECTO y si es gratis .....

Los eventos del año: BlackHat y Defcon

noreply@blogger.com (Fernando Flores) — Fri, 08 Aug 2008 15:40:48 PDT

Del 02 al 07 de Agosto se llevó a cabo el Black Hat USA 2008 Briefings & Training, evento donde se reúnen los expertos en seguridad de todo el mundo para compartir estudios, investigaciones y sobre todo la presentación de las herramientas que han desarrollado. En esta reunión pueden participar cualquiera, solo es necesario inscribirse con sus $1995 para las conferencias y $3900 por Training.

Obviamente, en esta reunión va gente de todo el mundo y de todo tipo estudiantes, investigadores, empresarios y también el FBI y las principales agencias de seguridad del mundo, quien sabe para reclutar y conocer las tendencias en seguridad.

Para participar como expositor debes tener un tema interesante de investigación con herramientas y script, bueno, lo mas detallado posible y donde le hayas metido cerebro, un caso como el de DAN KAMINSKY y su “Vulnerabilidad de los DNS”, lo envías y a esperar que el comité te seleccione como expositor.

También existe el DEFCON que se esta realizando desde hoy 08 hasta el 10 de Agosto, que es una reunión mucho mas underground donde se presentan también trabajos de investigación pero orientado a aprovechamiento de vulnerabilidades de sistemas, digamos que el blackhat es mas formal y el Defcon es mas informal además de realizarse el “capture the flag” que es el concurso de los concurso de hacking, donde se reciben copias exactas de servidores con los mismo programas instalados con al menos un fallo de seguridad y el juego consiste en descubrirlos y así protegerlos y atacar a los demás equipos que participan… mostro verdad!

Preparémonos para el próximo año!

Oracle publica parches de seguridad Julio 2008

noreply@blogger.com (Fernando Flores) — Wed, 16 Jul 2008 15:36:18 PDT

El 15 de Julio, Oracle publico 15 parches de seguridad dentro de su política de publicación programada para enero, abril, junio y octubre.

Recuerdo hace unos años cuando Oracle lleno de soberbia marketeaba su producto estrella, la base de datos, como UNBREAKABLE, lo cual creo personalmente, hizo provocar a los testeadores y asi prestarle mucha mas atención a la seguridad que proclamaban era irrompible, impenetrable.

Puedo decir que a la base de datos Oracle le tengo una simpatía especial porque he trabajado con ella y se pueden hacer cosas bastantes interesantes, pero investigando encontré un paper donde comparaba la seguridad entre Oracle y Sql Server, para mi sorpresa SQL Server era de lejos mucho mas segura que Oracle, digo segura!, repito, segura, no mejor!, que es otro tema.

Una imagen vale más que mil palabras.

Lo que se esta comparando es el numero de fallas de seguridad entre las dos base de datos, entre el 2000 y 2006. Las fuentes para contabilizar los fallos fueron:

The Microsoft Security Bulletins web page
The Oracle Security Alerts web page
The CVE website at Mitre.
The SecurityFocus.com website

Hace mas o menos un año revise algunas vulnerabilidades de Oracle y las probé en ambientes de pruebas y en algunas de producción y si, eran aplicables, parecían hasta obvias. Para ver mas detalles de las alertas que Oracle ha publicado están en la misma página de Oracle

Aquí les dejo algunos links con información acerca de este tema.

Jeff Jones Security Blog

Which database is more secure? Oracle vs. Microsoft

Son efectivos los antivirus?

noreply@blogger.com (Fernando Flores) — Tue, 15 Jul 2008 15:33:31 PDT

Que es un antivirus?, obviamente es un software creado con el propósito de detectar y ( a veces) eliminar virus informáticos u otros programas maliciosos conocidos también como malware.

Hoy en día se ha vuelto más fácil crear virus y sobre todo código malicioso, teniendo en cuenta que existen herramientas, papers, demos, videos, tutoriales, howto,etc. que te guían paso a paso en la creación de estos bichos, pero un factor determinante en la peligrosidad, es la imaginación del que lo crea. Virus existen para todos los gustos, troyanos, gusanos, macros, de sobrescritura, etc.

Desde cuando nos afectan los virus?, pareciera que desde siempre; y desde cuando nos protegen los antivirus, también parecen que desde siempre, pero existe la vacuna contra todos los virus?, existe un antivirus que haga invulnerable mi computadora contra los virus???.

Creo que no!, ya que ningún Antivirus detecta y elimina todos los antivirus que existen en el mundo, porque los que crean virus ahora validan si los antivirus lo detectan y lo ofuscan con algún algoritmo para que no sea detectado.

Lo único que nos queda hacer es, tener mucho cuidado y realizar algunos o todas estas recomendaciones:

No descargues programas de cualquier sitio, verifica la firma del programa.
No abras adjuntos de tu correo que no has pedido
Mantener al día sus antivirus.
Utilizar un firewall, minimo el de Windows.
Actualizar tu software con los parches necesarios, no lo dejes para después.
Mantente informado de los nuevos virus.
Frezea tu maquina y cuando quieras instalar algo, antes verifica que el programa este limpio.
Si estas en Windows, crea un usuario con pocos privilegios y utilízalo para tus tareas cotidianas.

Finalmente, no creamos que los virus sean creados por las empresas de antivirus y asi mantener vigencia y ganancias, no, no, como vamos a creer eso, aunque puede ser, no??. Pero si debemos tener en cuenta que la proliferación de estos bichos se han incrementado considerablemente y que la diversidad a aumentado, basta con darse una vuelta por Symantec para corroborarlo.

ES mas fácil que pierdas (roben) tu Laptop en algún Aeropuerto de USA que en Tacora?

noreply@blogger.com (Fernando Flores) — Tue, 08 Jul 2008 19:56:04 PDT

Estrenando la sección de Noticias, esta me pareció interesante, "Laptops Lost Like Hot Cakes at US Airports" que la pueden encontrar en PCwordl, y dice que al año se pierden mas de 63,500 laptops en los aeropuertos de estados unidos, donde 10,278 son reportados a la semana en los 36 aeropuertos mas grandes de este país.

De todos los encuestados el 77% no las reclama porque no cree que se la devuelvan, pero lo mas interesante de la encuesta y lo que me llamo la atención fue que el 53% de los equipos contienen información confidencial de su empresas y lo mas impactante es que el 65% de estos NO PROTEGEN SU INFORMACION.

Me pregunto que pasa si trabajas en una empresa importante y eres el gerente de una área, obviamente tienes información importante, que pasaría si pierdes tu laptop, y el que la "encuentra" fácilmente podría ver la información.

Ya que no todos tienen una laptop pero si creo que casi todos tenemos una memoria USB, tampoco quizás tengamos información bancaria, contratos de nuestro clientes, ventas del año, planes de ventas, etc. pero si tenemos información personal que no nos gustaría que otra persona o la competencia las vea.

Podría poner un ejemplo mas recurrente. Que pasaría si un docente universitario (un amigo) tiene en su Laptop o memoria USB sus clases, asistencias, actas de notas, exámenes, banco de preguntas de exámenes, y una que otro archivito personal y por descuido se olvido o se le extravió, a rogar que la persona o alumno que lo encontró no las copie, no las vea, no las difunda, u otras tantas cosas puedan hacer.

Felizmente existen LOS CIFRADORES DE UNIDADES, donde el mas conocido de todos es TrueCrypt, que básicamente es un software que crea una unidad cifrada con cualquiera de estos algoritmos AES, Blowfish, CAST5, Serpent, Triple DES, y Twofish o su combinación y que se accede montando una unidad. Lo bonito del TrueCrypt es que existen para todas las plataformas, tiene versión Portable para USB y es bien fácil de usar y para alegría de los linuxeros es código libre y gratuito.
El volumen una vez montado, puede desmontarse automáticamente según parámetros que elija el usuario. Por defecto se puede desmonta al cerrar la sesión de trabajo en el equipo.
La unidad se crea con una password que no se debe olvidar, porque no existe manera de recuperarla y en lugar que el cifrado sea una ayuda podría convertirse en un gran problema.

Bueno, solo queda decirles. A protegerse!

GOOGLE Y YO

noreply@blogger.com (Fernando Flores) — Fri, 27 Jun 2008 16:05:53 PDT

El romance que llevo con google data desde no mucho, quizás desde finales del siglo pasado, suena a mucho pero en verdad es poco y debido sobre todo a que fue creado en 1997.

Y uds. ya habrán escuchado que google es uno de los buscadores mas usados , eso no es novedad y ¿que ha hecho que este buscador lo logre?, bueno, el PageRank, que es un algoritmo que le asigna un numero de ranking a la pagina Web indexada por los robots de google llamados googlebots, dándole así un orden por importancia o relevancia basada en la democracia de Internet, es decir por cada enlace en otra pagina es un voto y que además factoriza el valor de la pagina que da el voto basado en el PageRank que tenga.

Actualmente google es una de la empresas mas grandes del mundo siendo Larry Page uno de los creadores del algoritmo y la empresa, el 33avo hombre mas rico del mundo con sus 18.6 mil milloncitos, pero bueno, otra vez, ya me fui muy lejos.

Continuemos!, mas allá del dinero y del liderazgo en tecnología, google es hasta ahora la herramienta mas potente en búsqueda, clasificación, análisis y cache de información publica o confidencial de un objetivo y sobre todo pieza importante en el proceso de Information Gathering de cualquier prueba de intrusión.
Por supuesto!, Cuando se hace un hacking ético, el primer paso es el Information Gathering, eso lo dicen todos lados, en las metodología, cursos, conferencias, etc. Bueno pero ese es otro tema, así que sigamos.

Google no solamente permite poner las palabras que queremos buscar sino que también nos provee de algunos comandos que permiten direccional mejor la búsqueda aquí una lista:

Link: Lista todos los enlaces, que teniendo page rank 4 o más, apuntan a nuestra página. link:www.direccion.com
Allinurl: Muestra todas las páginas indexadas de un dominio indicado, o bien, las páginas que tienen todas las palabras especificadas en su url.allinurl:www.dominio.com
Allintitle: Muestra las páginas que tienen todas las palabras especificadas en su título. allintitle: palabra1 palabra2 Devuelve las páginas que tienen palabra1 y palabra2 en su título.
Allintext: Páginas que tengan todas las claves especificadas dentro de su body.
Allinanchor: Páginas que tengan en el texto que las apuntan las palabras especificadas.
Site: Indica un determinado dominio que le indiquemos para realizar la búsqueda. site:www.dominio.com +palabra
Info: Nos muestra información sobre la página principal de un dominio especificado. info:www.dominio.com
Inurl: Busca la palabra que le especifiquemos en la url, pero no pide que todas estén en la url como allinurl.
Intitle: Busca la palabra que le especifiquemos en el título, pero no es necesario que todas estén en el título. Por ejemplo intile:clave1 clave2 Busca clave1 en la url.

Cache: Nos lleva directamente a la versión que tiene google de una determinada página. cache:www.dominio.com Y directamente a la caché que tiene almacenada google de www.dominio.com.
Related: Según google nos muestra sitios relacionados con la dirección que le especifiquemos, a saber que criterio sigue, porque los resultados más que malos, son nulos. No merece la pena usarlo.
Stocks: Nos lleva a Yahoo Finance y nos muestra información de tipo financiero relacionada con la marca que le indiquemos.
Filetype: Busca un tipo de documento especificado. filetype:doc clave Busca ficheros '.doc' relacionados con 'clave'.
Define: busca la definición de una palabra indicada. Uso: define:byte.

Veamos algunos ejemplos de su uso:
filetype:sql "insert into" pass (scripts con passwords)
inurl:indexFrame.shtml Axis (Video camaras en linea)
inurl:hp/device/this.LCDispatcher (algunas impresoras conectadas a ala web)

Si queremos investigar mas podemos visitar la pagina de http://johnny.ihackstuff.com donde encontraremos mas información detallada y sobre toda una base de datos de búsquedas interesantes.

Bueno, hasta la próxima y espero sus comentarios, que son bastante importante para direccionar el contenido de este blog.

¿Es Apache mejor que IIS, es Linux mas seguro que Windows?

noreply@blogger.com (Fernando Flores) — Fri, 27 Jun 2008 09:20:21 PDT

Regresamos después de un corto letargo, que difícil es mantener un blog!, pero bueno, sigamos pa' lante.

Hace muy poco estaba revisando unos incidentes de seguridad que sucedieron en unos servidores nacionales, me choque con una grafico bastante revelador, decía, "últimos Defaces de la semana por Sistema Operativo",

Linux(10,724 - 67.25%)
Win2003(4,073 - 25.54%)
win2000 (594 - 3.73%)
Otros o desconocidos (555 -3.48%).

A primera impresión me dije donde están todos mis amigos linuxeros, ya me los imaginaba diciendo que es un complot, que Microsoft tiene el control de las evaluaciones, que es un sicosocial, como se dice ahora. También me imaginaba a los evangelizadores Microsoft, somos lo máximo!, ya ven, les habíamos dicho.

Pero para ser sinceros esta primera impresión es solo eso una impresión, seria injusto asegurar algo sin un mínimo de análisis.
Tratando de averiguar algo mas llegue hasta un articulo "Servidores WEB y Malware " en el blog de google acerca de seguridad y revisamos las siguientes proporciones:

Software de Servidores Web utilizados en Internet

Distribución de malware en Software de Servidores Web

Entonces nos podemos dar cuenta que debido que a la porcion del mercado que tiene los Web Server Apache tiene mayor cantidad de ataques, es decir mayor cantidad de intentos.

También debemos darnos cuenta que la mayoría de defacement se realizan a través de la aplicación que se monta sobre el WEB SERVER, por ejemplo si tengo en mi servidor web un gestor de contenidos como joomla o oscommerce con alguna vulnerabilidad y un atacante a través de el logra desfigurar mi sitio, que culpa tiene el Web SERVER (Apache o IIS).

Entonces, ¿podemos medir la seguridad de un WEB Server por la cantidad de ataques materializados?, creo que no, un análisis de seguridad es mucho más completo y exhaustivo que eso.

Hasta la proxima....

Como que no funciona???

noreply@blogger.com (Fernando Flores) — Fri, 27 Jun 2008 09:20:49 PDT

Aunque mi interes no es vender el SQL Injection, si lo es el de concienciar que la amenaza existe y es muy perjudicial para las organizaciones que implementan soluciones web inseguras.
En lo que va del tiempo que llevo en este negocio he encontrado desarrolladores, analistas, jefes de proyectos e incredulos acerca de los efectos de esta falla. Podría ser que cuando revisaron el laboratorio donde probaron un sql injection basico no lograron efectuar la inyeccion (no todo es copiar y pegar) y eso haya aumentado la incredulidad o las dudas sobre la efectividad de esta.

Podemos decir que la negligencia en seguridad estan instaladas hasta en las grandes empresas de software
http://www.microsoft.co.uk/events/net/PreRegister.aspx?eventID=p83968&v2=
Si!, es la pagina de MICROSOFT en Inglaterra..

y para ver en detalle como realizaron el ataque y sobre todo como se realiza la fase de "Information Gathering" que es fundamental para lograr el objetivo.

En este link hay un video donde desarrolla el ataque
video DEMO

Debo reafirmar en este post, que la seguridad de aplicaciones y en general la Seguridad no deberia ser como la magia negra que solo algunos dicen la pueden realizar (lo digo por eso y no por la estafa que representa la magia negra) sino que deberia ser una practica cotidiana y rigurosa, embebida en el desarrollo de software.

Tampoco estamos garantizando que hacer una prueba de injeccion sql permita definir la seguridad de una aplicacion porque existen infinitas posibilidad y modos en que un atacante podria echarse abajo la aplicacion. Sin embargo realizar una comprobacion de seguridad de las principales vulnerabilidades en un aplicacion permitirá tomar las previsiones del caso y sobre todo convencer a aquellos que niegan los hechos de que existe un problema.

En la proxima hablaremos de como asegurar nuestra aplicacion de esta vulnerabilidad.