Un informático en el lado del mal

No Lusers 120: El virus EULA de David Hasselhoff

noreply@blogger.com (Maligno) — Fri, 27 Jan 2012 06:00:00 +0000

Seguro que muchos de vosotros os habréis hecho la misma pregunta que yo.... ¿Qué llevó a David Hasselhoff a hacerse la famosa fotos con los perros? ¿Fue la foto con los perros la culpable de que cenase después hamburguesas con vodka? Esta es una explicación posible de mi invención sobre el posible germen que traería después el ataque David Hasselhoff...

Saludos Malignos!

DUST: Manual de Usuario (III de IV)

noreply@blogger.com (Maligno) — Thu, 26 Jan 2012 06:25:00 +0000

Figura 11: Selección del fichero de la clave pública PGP

Ahora, si se mira la información del blog al que estamos suscritos, no solo habrá fuentes redundante Http, sino que también habrá una fuente redundante P2P con una clave Pública PGP.

Figura 12: Fuentes de datos para el blog al que estamos suscritos

A partir de este punto, cuando Dust actualice el blog buscará feeds tanto en las URLs especificadas cómo ficheros en la red P2P que contengan en el nombre el hash SHA-1 de la clave pública asociada. Se descargará esos ficheros y comprobará si están firmados por la clave privada asociada a esa clave pública. En tal caso actualizará el blog con los nuevos posts y buscará también las imágenes referenciadas por los posts. En la opción de Log podemos seguir una traza de todo lo que Dust va haciendo.

Figura 13: Log de actividad en Dust

En la Figura 13 se puede ver cómo se ha intentado una actualización después de añadir la clave pública PGP a las fuentes del blog y que encuentra contenido por ambas URLs y, de momento, nada por P2P. Podemos apreciar que se busca una cadena de caracteres hexadecimales, esta cadena es el hash SHA-1 de la clave pública PGP.

Publicar un blog por P2P con Dust

Para que los usuarios que tienen asociada una clave pública a un blog reciban contenido de ese blog por la red P2P, es necesario que el dueño de la clave privada PGP asociada a esa clave pública de suscripción (éste puede ser el blogger original o terceras partes) publique el blog desde Dust. Este proceso realiza los siguientes pasos:

1.- Descarga las imágenes asociadas al feed actual.
2.- Firma cada imagen con la clave privada.
3.- Cambia el nombre de la imagen por el del SHA-1 de la URL de la imagen, que se obtiene del atributo src de cada img tag del contenido del post que la referencia.
4.- Guarda el fichero con la imagen generada en el directorio shared/ con nombre {hash}.{extension original}.asc
5.- Modifica el feed. Borra los atributos src de todas las imágenes y añade/modifica el atributo alt a los img tags de cada post para que contengan una referencia a la red donde buscar y la cadena a buscar.
6.-Firma el feed con la clave privada.
7.-Guarda el fichero feed firmado en shared/ bajo el nombre {canal}-{timestamp de la creación}-{hash de clave pública}.xml.asc

¿Por qué se le dan nombres tan raros a las imágenes? Era un método cómodo para evitar colisiones en el nombre del fichero, salvo que sea la misma imagen.

¿Por qué se le pone al feed el hash de la clave pública, no bastaba con el nombre del canal?. Es una forma de discriminar ficheros del mismo canal pero firmados por distintos autores. Quizás a alguien le interesa suscribirse a un blog que tiene canales de publicación X, Y y Z, cada uno con su clave pública, pero a otro solo interesa sólo suscribirte a lo que se dice en el blog por Y. En este caso sólo asocias a tu suscripción la clave pública de Y, de forma que las búsquedas por P2P sólo devolverían lo que firma Y y no lo que firman X y Z.

¿Por qué se modifica el feed a la hora de publicar? Se añade o modifica a las imágenes el atributo alt para que cuando alguien descargue ese feed pueda también buscar y descargar las imágenes relacionadas. El atributo src se borra debido a que a la hora de (re)publicar no se tiene en cuenta si el feed que se (re)publica se obtuvo a través de HTTP o de P2P. En el caso de un feed que viene por P2P, una vez descargado, se modifica el valor src de las imágenes para que apunten a la ruta local donde estarán esas imágenes cuando se descarguen. Es por ello que hace falta eliminar el valor de src al publicar, para evitar publicar en Internet el espacio de nombres de tu sistema de ficheros, ya que podría contener algo como “C:\Users\{tu usuario}\...” o “/home/{tu usuario}/...”.

Para publicar un blog tenemos que darle a la opción Publicate blog del menú emergente de un blog. A continuación irán apareciendo tres cuadros de diálogo. En el primero se especifica el archivo donde se encuentra contenida la clave privada PGP que se usará para firmar. En el segundo se introduce la contraseña para acceder a la clave privada. En el tercero se pide la clave pública PGP asociada a esa clave privada.

Figura 14: Opción de publicar el blog

Figura 15: Selección de clave privada PGP

Figura 16: Contraseña de acceso a la clave privada PGP

Figura 17: Selección de fichero que contiene la clave pública

Libro Esquema Nacional de Seguridad con Microsoft

noreply@blogger.com (Maligno) — Wed, 25 Jan 2012 06:02:00 +0000

Ya tenemos publicado otro libro dentro de la colección de Informática64. En esta ocasión, Esquema Nacional de Seguridad con Microsoft, es un texto que ya conocéis pero que hemos sacado en un tirada pequeña para los que nos gusta tener la colección en papel. El libro cuenta cómo se debe aplicar el Esquema Nacional de Seguridad en la administración pública española y en los proyectos que tengan que realizarse en ella con tecnologías Microsoft.

Es un texto que nos ha venido muy bien como guía de referencia básica a la hora de entender qué sistemas de autenticación, monitorización o conexión remota, por poner algunos ejemplos, deben implementarse y cómo deben ser implementados, dependiendo de los requisitos de seguridad que marca el Esquema de Seguridad Nacional.

Saludos Malignos!

Windows 8, el interfaz Metro y la Start Screen, la ley de Fitts, los equipos híbridos y los sistemas operativos anfíbios

noreply@blogger.com (Maligno) — Tue, 24 Jan 2012 05:50:00 +0000

Una de las cosas que más echa para atrás de inicio a muchos IT Pros o CTOs es el famoso Interfaz Metro que se ha metido en la Start Screen de Windows 8. Con la estética de Windows Phone, a muchos informáticos les recuerda a un teléfono móvil o a un tablet para jugar más que un sistema operativo para trabajar. Aunque no hay que preocuparse en demasía, ya que uno de los botones mágicos de ese interfaz Metro de Windows 8 en la Start Screen es el de Desktop, que lleva directamente al famoso entorno gráfico que los amantes de Windows conocen, y que aún no sabemos cómo será en la ya cercana beta.

Figura 1: Start Screen de Metro en Windows 8. Desktop es una App en él.

Sí que es cierto que no existe la Barra de Inicio que lleva en los sistemas Microsoft Windows desde Windows 95 y Windows NT, y que cuando se pulsa sobre el botón situado en la misma ubicación se navega a la Start Screen. La pregunta que muchos se hacen es... ¿por qué ha hecho esto Microsoft? La respuesta a esta pregunta está en la Ley de Fitts y los equipos híbridos.

Ley de Fitts

La Ley de Fitts se utiliza como base de referencia a la hora de diseñar sistemas de interacción humano-máquina, es decir, cuando hay que diseñar interfaces de usuario. Los estudios de Paul Fitts son utilizados en la creación de sistemas ergonómicos, a la hora de medir la comodidad o la facilidad de uso de un sistema, teniendo en cuenta factores como la distancia, el movimiento a realizar o el tamaño del objetivo que debe utilizarse.

En sistemas informáticos, esta ley puede resumirse de una forma entendible por todos en algo como "cuanto menos haya que moverse y más gordo sea lo que hay que dar, más fácil será de manejar". Es por eso que interfaces como el de iPhone, con iconos gordos, en lugar de interfaces como el de Windows CE, son más cómodos de manejar.

En el caso concreto de la Barra de Inicio de Windows que muchos echan de menos, a Microsoft le bastó con poner sistemas para medir dónde hacían clic los usuarios cuando abrían la aplicación para descubrir que prácticamente nadie hace la ruta de:

Inico -> Todas las Aplicaciones -> Herramientas de administración -> {puntero de ratón que se sale y se cierra la barra de aplicaciones} -> Inicio -> Todas las Aplicaciones...

Al final, la mayoría de los usuarios hacían uso de los atajos de teclado conocidos, como Windows+e, de las pinned-apps en la barra de tareas, las que salen en la Barra de Inicio tras hacer clic en el Botón de Inicio, o directamente invocan la aplicación con el cuadro de dialogo de buscar o con tecla de Windows + R para lanzarlas por el nombre del fichero: winword.exe, mmc.exe, pbrush, notepad, etc...

Figura 2: Comparación de zonas de uso entre Barra de Inicio y Start Screen

Esto en el mundo Mac OS X es similar, por eso casi todo el mundo hace uso de las aplicaciones de la barra de aplicaciones, del servicio de Spotlight o del arhiqueridisimo Alfred. Es decir, pocos hacen uso de ir a buscar las aplicaciones.

Los equipos híbridos

No obstante, no solo esta ha sido la motivación de Microsoft a la hora de añadir la Start Screen, sino que además es innegable el éxito de los tablets, y en especial de iPad entre empleados de empresas y particulares, que o tienen un iPad, o sueñan con tenerlo o tienen un amigo que lo tiene ya - hasta los jueces la adoran -. Algo que hace las delicias de los usuarios y que convierte la vida de los administradores de sistemas en auténticos infiernos, llegando la cosa a situaciones como la de los diputados a los que se les da un iPad y luego son baneados de la red del congreso de los diputados por no poder cumplir las políticas de seguridad.

Debido a esto, el mercado demanda cada vez más los equipos híbridos, es decir, aquellos que puedan ser un tablet o un equipo de red completo a demanda del usuario, y eso tiene que correr algún sistema operativo que sea capaz de sacar lo mejor de los dos entornos. A día de hoy los equipos híbridos son meros tablets con un teclado bien acoplado, pero el objetivo del futuro es que sea un tablet más un equipo bien potente, con sus microprocesadores, discos duros, etc...

Figura 3: Equipo híbrido de Lenovo

Los sistemas operativos anfibios

En un primer movimiento Apple ha metido en Mac OS X Lion el LaunchPad, es decir, el interfaz de aplicaciones iOS - el sistema operativo de iPad - en su sistema operativo para Mac. Este movimiento tiene perplejo a muchos usuarios que, mientras que no esté disponible un hardware híbrido tablet/Mac parece que no tiene mucho sentido.

Figura 4: LaunchPad de Mac OS X Lion

Por su parte, Microsoft con Windows 8 y el interfaz Metro quiere tener ese sistema operativo anfibio que sea capaz de correr en entornos híbridos de manera cómoda, dando a los administradores toda la potencia de gestionar un Windows dentro de la red, ya sea en formato tablet o en formato PC.

Es por eso fácil entender todos los esfuerzos de Microsoft por sacar un Windows 8 que funcione en sistemas con ARM o de investigar las posibilidades de los sistemas con hardware heterogeneo con microprocesadores de distintas arquitecturas, como es el caso del sistema operativo BarrelFish.

Figura 5: Arquitectura de BarrelFish con hardware heterogeneo

El objetivo de Metro es ser ese entorno para usar en equipos híbridos cuando se comportan como tablets y que pueda permitir, gracias a la Ley de Fitts, ser una barra de inicio cómoda de botones gordas desde la que un usuario de Windows pueda abrir sus aplicaciones.

Figura 6: TaskManager en Windows 8

Serán estas las que deberán adaptarse a estos entornos, como el TaskManager de toda la vida, que se además de tener su interfaz de toda la vida, un poco más mejorado, tendrá su versión de dedo.

Figura 7: TaskManager versión minimalista

Al final, ya sea con LaunchPad o con Metro, parece que en cuanto los sistemas operativos estén finalmente afinados, nos encontraremos con un buen ecosistema de equipos híbridos que nos obligarán a manejar las aplicaciones anfibias con el dedo gordo y con el ratón de toda la vida.

Saludos Malignos!

PD: Si quieres ir acostumbrándote, ya puedes instalar el UI Metro en Windows 7

Gira Up To Secure 2012: Tercera semana

noreply@blogger.com (Maligno) — Mon, 23 Jan 2012 05:20:00 +0000

Entramos ya en la tercera semana de la Gira Up To Secure 2012, en la que visitaremos las ciudades de Madrid, Valencia y Sevilla. Estamos muy agradecidos de la respuesta que está habiendo de asistencia, ya que se ha superado en un 25 % el número de registrados y asistentes en todas las ciudades, con lo que sabemos que cuesta conseguir una mañana libre en las ocupaciones actuales.

Como siempre, yo llevaré algunos libros a las ciudades, pero si no quieres quedarte sin el tuyo, como ya ha pasado en anteriores eventos, a mí no me importa si me pones un correo electrónico y me dices si quieres una camiseta de la FOCA, camiseta de No Lusers o cualquier libro, para que te lo reserve. Los eventos son:

- 24 de Enero: Gira Up To Secure 2012 en Valencia
- 25 de Enero: Gira Up To Secure 2012 en Madrid
- 26 de Enero: Gira Up To Secure 2012 en Sevilla

Al mismo tiempo, estaremos en Pamplona haciendo una semana de Hands On Lab dedicado a SQL Server 2012, gracias a la colaboración con EGA Informática - nuestro partner en Pamplona de siempre -, que impartirá Rubén Alonso, a los que puedes apuntarte, y también llevará encantado algún libro si nos lo pides antes de que salga de viaje.

- 23 al 27 de Enero: Hands On Lab SQL Server 2012 en Pamplona

Por último, esta semana terminaré impartiendo un Seminario Online de la FOCA 3 en Español al que puedes apuntarte todavía si quieres conseguir una versión PRO de la FOCA 3.

- 27 de Enero: Seminario Online de FOCA PRO 3

Saludos Malignos!

DUST: Manual de Usuario (II de IV)

noreply@blogger.com (Maligno) — Sun, 22 Jan 2012 07:14:00 +0000

**************************************************************************************************
- DUST: Manual de Usuario (I de IV)
- DUST: Manual de Usuario (II de IV)
- DUST: Manual de Usuario (III de IV)
- DUST: Manual de Usuario (IV de IV)
**************************************************************************************************

Añadir fuente HTTP

Como ya se ha comentado, la idea de Dust es tener fuentes redundantes para intentar evitar la censura y el corte de la conexión entre publicador y audiencia - a la par que se consigue un mayor grado de disponibilidad de la fuente de información RSS. Si tenemos un blog que tiene varias fuentes RSS en servidores HTTP donde se publican de forma redundante sus feeds, podemos añadírselos a Dust haciendo clic con el botón derecho sobre un blog al que ya estemos suscrito y pulsando en la opción de Add a new HTTP source. En el cuadro de dialogo se introduce la URL en la que está ubicado el fichero XML de la fuente y listo.

En este caso vamos a añadir como ubicación alternativa de los feeds RSS la fuente “http://feeds.feedburner.com/ElLadoDelMal” al canal que ya habíamos creado con una fuente local.

Figura 7: Añadiendo fuente redundante Http al canal del blog

Esto lo que provoca es que, cuando se intenta actualizar un blog, Dust descargará los feeds de todas las fuentes asociadas a un blog. Si encuentra posts nuevos en cualquiera de esas fuentes que no tenía antes entonces añade los nuevos post. Esto da más libertad de la que parece, ya que podemos incluso “unir” varios blogs en uno o seguir al día un canal aunque alguna de las fuentes esté caída o boqueada.

Por ejemplo si añadimos al blog de “El lado del mal” que usamos antes de ejemplo, la fuente “http://feeds2.feedburner.com/SecurityByDefault”, lo que vamos a acabar teniendo es la mezcla de “El lado del mal” y “Security by default”. Se puede también tener una misma fuente para más de un blog, con lo que tendríamos post repetidos por distintos blogs. A partir de aquí lo que a uno se le ocurra.

Actualizar un blog

Dust intenta actualizar los blogs a los que está suscrito cada hora y nada más arrancar, pero si queremos forzar a una actualización inmediata podemos hacer clic con el botón derecho sobre el blog y darle a la opción de Update this blog. Dust se conectará a todas las URLs fuentes de ese blog y también tratará de buscar a través de la red P2P si tiene asociado para ese blog alguna clave pública, como veremos más adelante en este manual.

Figura 8: Actualizando el blog de manera manual

Figura 9: Nuevos posts después de actualizar con todas las fuentes redundantes

Añadir clave pública PGP a un blog

Las claves públicas PGP asociadas a un blog se utilizan para realizar la búsqueda de nuevos feeds a través de redes P2P. La idea es que los bloggers deben poner disponibles sus claves públicas de los blogs, que deberán ser obtenidas por los lectores de los blogs, con las que van a firmar la distribución de sus feeds RSS por redes P2P.

La distribución de las claves públicas PGP de los blogs no es algo que realice Dust, por lo que deberá hacerse por canales tradicionales de "confianza", es decir, que deberá ser compartida desde el publicador al lector siguiendo una cadena de confianza.

En el mejor de los casos, cuando hablamos de un blog, éste podrá compartir sus claves públicas en sus primeros posts, asumiendo que en ese momento no está bajo censura, con lo que comienza el germen de la cadena para que otros lectores las compartan. También se podría hacer uso de servicios de publicación de claves públicas de blogs, como listas en la web, o ficheros compartidos por redes P2P en los que circulen las claves públicas PGP de publicación de los blogs que hacen uso de este servicio, etc...

La idea es que el feed RSS de un blog será firmado por una clave PGP por el autor - o cualquier publicador - y será puesto en una red P2P. Dust buscará, como fuente alternativa redundante, un feed RSS firmado con una determinada clave pública PGP para actualizar su canal del blog.

Para ello es necesario asociar la clave pública PGP de un blog a Dust haciendo clic con el botón derecho sobre el blog y seleccionar la opción Add a new public key source. Con esto, cuando se realicen actualizaciones del blog, se buscarán no sólo los feeds RSS en las URLs HTTP que se tienen como fuentes del blog, sino también se hará una búsqueda por las redes P2P buscado feeds RSS firmados con esa clave pública PGP.

Figura 10: Añadir una clave PGP de lectura de un blog

Generación de claves para ser usadas en Dust

Las claves públicas PGP que se asocian a Dust pueden estar en formato binario o con armadura (PEM), para profundizar en ello debes consultar la documentación del programa de generación de pares de claves PGP que estés utilizando.

Como ejemplo, los pasos que se han seguido para obtener la clave que se va a utilizar en los ejemplos de la siguiente parte se ha generado mediante el uso de la utilidad gpg haciendo uso de los comandos:

$ gpg --gen-keys

Seguir los pasos del asistente rellenando la información apropiada.

$ gpg -a -o ole-public.pem --export

**************************************************************************************************
- DUST: Manual de Usuario (I de IV)
- DUST: Manual de Usuario (II de IV)
- DUST: Manual de Usuario (III de IV)
- DUST: Manual de Usuario (IV de IV)
**************************************************************************************************

Vota y ayuda a que Intypedia siga vivo en Internet

noreply@blogger.com (Maligno) — Sat, 21 Jan 2012 08:50:00 +0000

Como sabéis, muchos de nosotros hemos colaborado con el Proyecto Intypedia - yo lo hice con un módulo de SQL Injection aunque me censuraran la tórrida historia de amor behind the scenes -, y que está impulsado por Jorge Ramió, mi querido "little Budda". Ahora, con la situación económica que atraviesa Europa y España en concreto, se hace complicado conseguir fondos para continuar con el trabajo. Es por eso que para conseguir fondos de patrocinadores es importante que la gente valore positivamente el trabajo que allí se ha realizado, por lo que Jorge ha presentado el proyecto a los Premios de Internet.

Con tu voto y tu ayuda para la difusión puedes ayudar a que el proyecto continúe vivo. Aquí os dejo la carta de Jorge Ramió pidiendo la colaboración de todos.

Saludos Malignos!

Como seguramente sabes, Intypedia es un proyecto dentro de la red temática Criptored, sin ánimo de lucro y que ha venido a llenar el vacío que existía en la Red con respecto a material multimedia con contenidos de primera calidad en seguridad de la información.

Su éxito lo avalan las más de 140.000 reproducciones de sus vídeos en menos de año y medio, en tanto que a 17 de enero de 2012 se contabilizan más de 10.000 reproducciones nuevas en este mes.

Conociendo la convocatoria de la XIV edición de premios de Internet 2012, y que dichos premios consisten en una estatuilla de diseño exclusivo, sin llevar asociada ninguna asignación económica, hemos presentado el proyecto Intypedia a esta edición de los premios en las categorías de Mejor Web y Mejor Iniciativa.

Los Premios de Internet tienen como objetivo reconocer a los mejores de Internet de la Comunidad Iberoamericana. Son convocados anualmente por Asociaciones de Usuarios de Internet e Internautas de Iberoamérica, con motivo de la celebración del Día Mundial de la Sociedad de la Información que se celebra el 17 de Mayo.

Se ha abierto el periodo de votación on-line, que durará hasta el 30 de abril de 2012. Del 6 al 10 de Mayo de 2102 se comunican los finalistas seleccionados en cada categoría y el 17 de Mayo de 2012 se darán a conocerlos ganadores y se les hace entrega de los premios, coincidiendo con el Día Mundial de Internet.

Necesitamos tu colaboración para que, además de brindarnos tu voto si así lo estimas oportuno, lo envíes a la mayor cantidad de direcciones posibles, se lo comentes a tus alumnos en clase, amigos, etc...

Te informo que participamos en las siguientes categorías:

- Mejor Web 2012
- Mejor Iniciativa 2012

Simplemente hay que entrar en esas URL, pinchar el icono azul Votar y luego confirmar la votación. Desgraciadamente no se recibe ningún mensaje de voto recibido desde dicha Web. Se puede votar desde cualquier lugar del mundo.

Un abrazo y muchas gracias por tu colaboración.

Jorge Ramió

DUST: Manual de Usuario (I de IV)

noreply@blogger.com (Maligno) — Fri, 20 Jan 2012 07:15:00 +0000

**************************************************************************************************
- DUST: Manual de Usuario (I de IV)
- DUST: Manual de Usuario (II de IV)
- DUST: Manual de Usuario (III de IV)
- DUST: Manual de Usuario (IV de IV)
**************************************************************************************************

Tras los recientes acontecimientos de la famosa ley SOPA y el cierre de Megaupload creo que es momento de empujar un poco más el Proyecto DUST. La idea del porqué del nacimiento de DUST RSS ya los dejé publicada en el artículo DUST: Tú feed RSS es tuyo, y tenéis el vídeo de presentación de DUST en la RootedCON 2011 y en inglés también DUST en Defcon 19.

El proyecto se programó en Java, y por eso muchos no habéis encontrado la "Release" del mismo en la web del proyecto DUST en CodePlex, pero está disponible desde Agosto de este año allí. Solo tenéis que ir a la parte de Source y descargar el código - el proyecto es totalmente Software Libre con licencia Apache 2.0 - y correrlo en vuestra máquina.

Figura 1: Código fuente de DUST en CodePlex

No lo había empujado más por que se tienen que limar muchos flecos, y no es más que un prototipo que puede dar problemas con algunos formatos de feed o codificación no testeadas, pero el código ya está disponible y si alguien se anima a colaborar con él, empujarlo o transformarlo en algo que tenga el mismo espíritu que se ponga en contacto conmigo.

Ole (David Luengo López), estuvo realizando la codificación de DUST en Java en el SOCtano de Informática64, y éste es un manual de usuario de la versión que tenéis disponible, para que podáis empezar a probarlo y utilizarlo desde ya.

Qué es Dust y qué no es

Dust es un lector de RSS. Su objetivo es que lo usemos para ver los posts de nuestros feeds favoritos de forma centralizada. Lo novedoso es la capacidad que añade para darle redundancia a estos feeds. Dust puede mantener un blog que tiene múltiples fuentes HTTP, esto es que el feed de dicho blog está replicado en varias URLs. De esta forma se dificulta la posibilidad de que una entidad (empresa, gobierno, etc...) pueda cerrar de manera directa un blog mediante el bloqueo de la URL del feed, ya que se deberían cerrar todas las URLs que contienen el feed del blog (bastante más complejo si el hosting está en distintos países). Aunque algunos de estos feeds se encuentren desactualizados Dust es capaz de manejar de manera inteligente esta casuística.

Pero la parte más novedosa (y a la vez compleja) de Dust es que permite a los usuarios publicar y republicar los feeds a través de redes P2P (actualmente a través de GNUTella, en el futuro esperamos añadirle soporte para más redes). Esta publicación se hace firmando tanto el feed como las imágenes con claves PGP, de forma que cuando algún usuario encuentre un feed actualizado por la red P2P y se descargue el archivo pueda confirmar que dicho feed (o imagen) ha sido publicado por una persona de confianza, bien uno de los autores del blog que ha publicado el feed con Dust, bien un mediador de confianza para ese cliente y que ha republicado el feed.

Demo de Dust funcionando

Dust en ningún caso pretende ser una herramienta de criptografía, sino que se apoya en ellas para su cometido (firma y verificación de feeds e imágenes). Las claves PGP que Dust requerirá deberán generarse con terceras herramientas destinadas a ello (por ejemplo gpg).

Dust no es un editor de feeds. No se pretende que un blogger pueda escribir sus posts desde Dust, darles formato, etc... Sino que una vez creado su feed, lo importe con Dust y lo publique. Dust es Software Libre publicado bajo licencia Apache 2.0, es por ello que cualquiera puede contribuir a su ampliación, corrección y mejora, la cuál es muy bienvenida y agradecida.

Arrancando Dust

Una vez nos hayamos descargado el paquete correspondiente a nuestra arquitectura lo descomprimimos y accedemos al directorio, dependiendo de si estamos en GNU/Linux o Windows tendremos un fichero dust.sh o dust.bat respectivamente, que al ejecutarlo abrirá Dust. Este no contendrá ninguna suscripción a ningún blog.

Figura 2: Paquetes de DUST

Figura 3: DUST arrancado

Suscribirse a un blog

Una de las opciones de la parte superior es la de Subscription. Aquí es donde podremos leer los blogs a los que nos hemos suscrito y añadir nuevas suscripciones.

Para suscribirse a un nuevo blog hay que hacer clic en Add subscription y en el diálogo que aparece, en Feed URL introducimos la URL del blog al que nos vamos a suscribir (una de ellas). Por ejemplo aquí nos suscribimos al blog que hay en http://localhost/feed1.xml y le damos de nombre de canal “el lado del mal”. El canal es un nombre necesario para la publicación por P2P. Debido a que una misma persona puede publicar diferentes blogs es necesario algún mecanismo para poder diferenciar feeds de distintos blogs pero de una misma persona por P2P.

Figura 4: Añadiendo una subscripción

Suscribiéndonos a un blog

Con esto Dust recuperará la información de la URL especificada y tendremos en la parte de la izquierda un árbol con todas las suscripciones y dentro de cada suscripción (cada blog) los post del mismo (los que había en el feed recuperado). A partir de ahí ya podremos empezar a leer los post del blog. Suscripción a blog realizada.

Figura 5: El lado del mal en DUST

Figura 6: Leyendo el blog desde DUST

BootKits: Windows 8, UEFI Secure Boot y Stoned Bootkit

noreply@blogger.com (Maligno) — Thu, 19 Jan 2012 06:30:00 +0000

Mucho se ha hablado ya sobre UEFI y Secure Boot, pero sigue siendo una de las cosas que más llama la atención cuando se habla de las novedades de Windows 8, como ya sucediera en el pasado con la necesidad de contar con un certificado digital especial para poder meter un driver en Windows Vista. Todas ellas son tecnologías pensadas para luchar contra el malware, pero que evidentemente tienen sus efectos colaterales.

Firmado de drivers a partir de Windows Vista

En el caso de Windows Vista y el firmado de drivers con un certificado emitido por Microsoft el objetivo era acabar con todo el malware que se paseaba por ring0 en Windows XP. Rootkits y botnets hacían del modo kernel su particular palacete de verano para hacer la vida un poco más incómoda a los usuarios que los sufrían.

A partir de Windows Vista, cada driver que se va a meter en modo kernel necesita venir firmado por una entidad con un certificado especial emitido por Microsoft, lo que hizo que muchas universidades y/o investigadores particulares vieran como tenían que cambiar sus procesos para poder seguir haciendo drivers para Windows Vista.

Figura 1: Driver no firmado bloqueado en Windows

Esta medida, aunque sí dificultó y acabó con muchos de los canales de explotación tradicionales siendo una buena medida de fortificación, no fue una medida definitiva para siempre, ya aparecieron formas de saltarse esas protecciones.

Entre las técnicas para saltarse la protección del kernel para meter drivers firmados, una primera aproximación evidente eviente fue hacerse con certificados de fabricantes de drivers autorizados y utilizarlos para firmar malware, algo que pasó y que llegó hasta el propio servicio de Windows Update, con lo que la propia Microsoft distribuyó malware.

Bootkits

La segunda aproximación, mucho más efectiva, es similar a la que se hace en el mundo del jailbreak de dispositivos iPhone, iPod o iPad de Apple, es decir, parchear el propio kernel para quitar esa comprobación. Por supuesto, para conseguir quitar esa comprobación con el sistema arrancado hace falta encontrar un fallo en el kernel que permita parchearlo - algo bastante complejo, pero que puede llegar a pasar aprovechando una ventana de tiempo -. La otra opción es quitarla antes de que el sistema arranque.

Para quitar la protección contra la inclusión de drivers no firmados en modo kernel, se utiliza un tipo de malware especial que infecta el sector de arranque para, en el siguiente reinicio del equipo arrancar con un programa que parchee el kernel antes de arrancarlo, y ya poder meter cualquier driver en modo kernel. Este tipo de malware se llama Bootkit.

Así, con un bootkit y un poco de ingenio se atacan también los sistemas protegidos con TrueCrypt o BitLocker, detectando si el disco está cifrado en arranque, e infectando el proceso de solicitud de contraseña, para robarla de manera definitiva, y que solo podría ser protegido en aquellos equipos en los que el disco cifrado tuviera protegidas las claves por el chip TPM [Trusted Platform Module].

Uno de este tipo de malware que más famoso se hizo fue Stoned Bootkit, una solución presentada en un paper de 46 páginas de Peter Kleissner, más que interesante de leer, y en que no sólo explica cómo está desarrollado, sino sus usos:

It [Stoned Bootkit] can also be used for malware developers to get full access to the system. It should be the most used bootkit in the wild for 2010.

Stoned Bootkit es una solución completa, que viene con un API y una completa guía de cómo adaptar el sistema para las necesidades de cualquiera que lo quiera implementar, enseñando desde cómo se ha hecho el debugging a cómo crear los ficheros para que arranque cualquier bootkit creado con él.

Figura 2: Debugging de Stoned Bootkit

UEFI y Secure Boot

Debido a esto, la industria trabajó en un sistema de protección contra este tipo de actividades maliciosas, y generó lo que hoy en día se conoce como Secure Boot, una protección que viene implementada y basada en el propio firmware del equipo, que vendrá de serie en todos los que vengan con UEFI, la evolución de las antiguas BIOS.

Esta protección que viene de serie en la UEFI del equipo, lo que hace es evitar que se cargue un MBR de un sistema no conocido, por lo que el arranque de los sistemas operativos vendrán firmados digitalmente, y el equipo comprobará la firma del MBR antes de lanzar el arranque del sistema o liberar las claves de cifrado desde el chip TPM para que se descifren los discos con Bitlocker.

Figura 3: Integridad de plataforma en Windows 8 con Secure Boot y TPM

Lo que generó alarma de esta tecnología, y de lo que se quejaron algunas organizaciones tras conocer que Windows 8 soportará Secure Boot, es de que los fabricantes de software como Microsoft podrían llegar a acuerdos con integradores de hardware para que no permitan arrancar sistemas que no sean Windows - o que los equipos con Apple solo puedan ejecutar Mac OS X -.

Secure Boot como Opt-in u Opt-out

Aunque esto podría llegar a suceder, y los que quieran instalar otro sistema en el equipo puedan verse incapacitados, parece que muchos fabricantes están dispuesto a dejar Secure Boot como una opción activable desde la UEFI o que venga con un selector, para que sea el propio usuario el que decida si lo quiere utilizar o no, pero que por defecto lo pondrán activo.

En mi opinión, tras haber visto como funciona el mundo del fraude online en el libro de Mikel Gastesi y Dani Creus, si el usuario tiene la posibilidad de desactivarlo fácilmente, ya se encargará la industria del malware convencer al usuario para que lo deshabilite.

Donde no hay que apostar mucho en contra, porque sí que parece que vendrán estas protecciones puestas de serie, será en consolas de vídeo juegos o plataformas empotradas, y algunos equipos puede que la traigan también cerrada, incluso con Windows - yo así, sin conocimiento de causa y haciendo mera especulación apuesto una cerveza a que en Apple la tendrá en sus equipos portátiles sin poder deshabilitarla -. Por otro lado, hay que decir, que muchos equipos portátiles, especialmente los ultraligeros, no cuentan con chip TPM, por lo que se debilita un poco toda esta arquitectura.

Veremos qué pasa en el futuro, pero i quieres aprender de todo esto, te recomiendo el libro de Sergio de los Santos "Máxima Seguridad en Windows" que habla de temas que tienen que ver con todo esto y de mucho más en la plataforma Windows.

Tiko y Rigodón de paseo por la Troopers 2012 de bellón

noreply@blogger.com (Maligno) — Wed, 18 Jan 2012 06:19:00 +0000

Como ya pasara en la Defcon, Tiko y Rigodón vamos a estar cantando en la Troopers 2012, una de las CON más chulas a las que he ido, y donde se trata a todo el mundo como una rock'n roll star. Aprovechando eso, a los speakers, es decir, a Juan Garrido "Silverhack" y a mí, nos han dado unos códigos de descuento para los asistentes, que ha quedado representado en este comic hecho por Florian.

- Sí, debía haber publicado esto antes, en navidad -

En la Troopers el año pasado hubo un concurso de hardware hacking con unos badges más que chulos. A parte de las charlas, hay un ambiente único en una ciudad increible, como es Heidelberg, y el número de asistentes, unos 200, permite que al final conozcas a mucha de la gente que por allí está, como Mariano Nuñez di Croce de Onapsis, que repite este año, Dani Mende, creador de Loki, Enno Rey, que ha dado mil charlas de "All your packets are belongs to us", y un largo etcétera de buenos ponentes.

Hace dos años hablé de Connection String Parameter Pollution, y el año pasado di una charla que se llamó: I Foca a .mil domain, que podéis ver aquí, para que veáis el ambiente que allí se cuece.

Si os va bien, nos vemos en Marzo por "Yermani", donde les pondré, como siempre, unas fotos de fútbol, que tanto nos gusta a los españoles.

Saludos Malignos!

Sticky Keys en los kioskos del DNIe

noreply@blogger.com (Maligno) — Tue, 17 Jan 2012 06:09:00 +0000

Las Sticky Keys de los sistemas Windows dan mucho juego a la hora de saltarse las aplicaciones de bloqueo del sistema. Son muy útiles por ejemplo en entornos Citrix o Terminal Services con Windows Server 2008 para hacer el jailbreak - en los sistemas con Windows Server 2000 o 2003 se pueden utilizar para llegar al menú de impresora y hacer el jailbreak también -. Incluso pueden ayudar a saltar la protección de máquina caducada y permitir acceder al rearme de Windows con las Sticky Keys.

Por supuesto, en los kioskos, también pueden ser utilizadas para jugar un poco, como en este ejemplo que me ha enviado un lector - ¡Gracias s3ik0tr0n! - en el que se le ocurrió probarlo con los kioskos del DNIe.

Figura 1: Kiosko del DNIe con las Sticky Keys habilitadas

Así, mientras estás cambiando la clave del DNIe alguien se podría estar dando un paseo por la red y por los servidores que aparecieron en el árbol LDAP de la Policia....o hacer un David Hasselhoff al kiosko. En cualquier caso, por si alguien lo piensa, las Sticky Keys deben estar activadas en el kiosko para ser utilizadas, lo que habría que cancelar es la parte de configuración de las mismas.

En cualquier caso, si tienes un DNIe, yo no te recomiendo que lo hagas, puede que no les le haga gracia a alguien, así que te recomiendo mejor comprar el libro de Rames Sarwat sobre la tecnología del DNIe y lo usarlo para otras cosas.

Saludos Malignos!

¿Están ciegos en Edmodo?

noreply@blogger.com (Maligno) — Mon, 16 Jan 2012 06:00:00 +0000

Edmodo es una red social educativa en la que se encuentran alumnos y profesores, que sirve para mandar y calificar trabajos, notificar cosas, etcétera. Uno de mis profesores se decidió usarla y, la verdad, hay que reconocer que es muy cómoda. Tranquilos, lectores del lado del mal, este artículo no es un publirreportaje…

Centrándonos en la seguridad, lo primero que llama poderosamente la atención es la ausencia de Https por defecto, incluso para el envío de la contraseña en el login con lo que lo hace especialmente sensible a ataques de man in the middle y hijacking de sesiones con Firesheep, pero si a Facebook le costó años y Tuenti aún está así, no es para rasgarse las vestiduras... ¿o deberíamos?

Sin embargo, de lo que quiero hablaros es de que, estando registrado como alumno fui a ver el perfil de un compañero. La URL era del perfil de un usuario es: edmodo.com/user?uid=SuID y claro, como os podéis imaginar vosotros que leéis este blog, uno no es de piedra…, así que ya podréis entender que probara las tres o cuatro cosas más habituales. Así, sin darle duro:

- edmodo.com/user?uid=SuID and 1=1
- edmodo.com/user?uid=SuID and 1=0

Seguro que alguno estaréis pensando que cómo soy tan maligno de no avisarles, pobrecicos, un error lo tiene cualquiera, etcétera. Y es cierto, no soy tan maligno... al menos no tanto.

Conversación de día 2 de Diciembre. Abajo un resumen en Español -:

Yo:

Dear admin,

As you can see...

http://www.edmodo.com/user?uid=YOURFRIENDID%20and%201=1
http://www.edmodo.com/user?uid=YOURFRIENDID%20and%201=0

It's really important that you fix it because altough you can't see a profile without permission you can get any info from the database.

Tío raro de soporte:

Hi Juan,

Can you clarify what kind of info you are able to get from the database?

Kevyn

Yo:

Hi Kevyn,

I haven't tested further because would take me a lot of time and probably wouldn't be legal. Breaking the law and spending hours without profit? Obviously not.

All I can tell you is that this kind of vulnerability would make possible extract ANY information in the database such as user emails, user passwords (altought I suppose and hope that they are hashed/salted) and documents.

Please forward it to your backend/technical department as fast as you can, this is very serious.

Tio raro de soporte:

will do. Jason, please see the following email thread.

Resumen cutre en Español:

Yo: Hola teneis un agujero, es bastante grave se puede acceder a cualquier dato.
Tio raro: ¿Qué datos puedes coger?
Yo: ¿No te he dicho que cualquiera? Ponme con un informático anda…

Lo más grave no es que tenga más agujeros que las mozas de meter.com, sino que un mes después todo siga igual. Como muestra de su gran preocupación por la seguridad podemos cambiar el email y la contraseña sin poner la contraseña actual y sin confirmar los cambios en un correo.

¿Es todo malo? No del todo. El resto de las cosas no parece que estén demasiado mal a priori, pero tener un fallo de seguridad de Blind SQL Injection en un parámetro numérico que va a probar hasta el más aburrido de turno, hace que plantearse en dejar tus datos o tu información, junto con el resto de los 4.5 millones de usuarios que ya lo han hecho, se convierta en algo temerario... ¿cuantos SQLi o BSQLi habrá en el resto de todos los parámetros de todas las partes de la web?

Autor: Juan Luís Valadas

De gira por España: Capítulo II - Castilla León y Galicia

noreply@blogger.com (Maligno) — Sun, 15 Jan 2012 07:09:00 +0000

Al finalizar la semana que entra ya habremos sobrepasado el ecuador de la Gira Up To Secure 2012 en la que vamos contando nuestras cosas sobre la seguridad de los sistemas. Es bonito hacer esta gira por España, porque hay sitios a los que solo voy de año en año cuando paso con ella, como es el caso de Vigo, Tenerife, Valladolid o Valencia, ciudades en las que desde hace un año entero no he tenido ocasión de ir a visitar.

Este año, el número de asistentes a las ciudades está siendo mayor que el anterior, y os lo quiero agradecer, que tan complicado es para nosotros buscar un hueco para ir a vuestra ciudad con la gira, como para vosotros sacar de la agenda una mañana para ir a vernos.

Respecto a los libros y las camisetas, siento todos los que os habéis quedado sin ellos en Zaragoza o Pamplona, pero yo llevo los que puedo y me encargan. Ya sabéis que la próxima vez que pase por allí os lo llevo encantado si me lo pedís, pero en Barcelona se llevaron la mayoría, y no quedó para el resto de ciudades excepto aquellos que tenía guardados con nombre y apellidos.

Esta semana me toca pasear por Palencia, donde daré una charla en Villamuriel de Cerrato, luego iré a Valladolid en la UVA, regresaré a Madrid y tomaré un avión para ir a concluir la semana a Vigo y A Coruña, donde pasaremos por Nova Caixa Galicia y la Universidad de A Coruña.

También aprovecho para informaros de que ya, gracias a la Universidad de Sevilla, hemos cambiado a una sala mayor y se ha ampliado el registro en el evento de la Gira Up To Secure 2012 de Sevilla, que ya no dejaba registrarse a nadie más.

Y nada más por hoy. Si vienes a algún evento, nos veremos pronto. }:))

Saludos Malignos!

IV Premios @asLAN a los proyectos de reducción de costes o mejora de eficiencia en la administración pública

noreply@blogger.com (Maligno) — Sat, 14 Jan 2012 06:10:00 +0000

Charlando en los viajes de la primera semana de la Gira Up To Secure - ¡gracias a los más de 450 asistentes de los tres primeros días! -, en una de esas charlas de tren entrando en calor en el vagón tras pasar por la gélida estación, de tan poco cumplidora con su nombre en fechas tan frescas, Estación de Delicias, me enteré de que la asociación @asLAN premia a los proyectos de las administraciones públicas que mejor han hecho los deberes.

Es decir, a los proyectos realizados por administraciones y/u organismos públicos durante 2011, o principios de 2012, y que hayan supuesto reducción de costes o mejora de la eficiencia en la gestión de sus competencias.

Es curioso que @asLAN, una asociación donde hay muchas empresas privadas, premie a la administración pública, pero al final todos estamos en el mismo barco. El caso es que, como el asunto es curioso, os dejo aquí la información para la presentación de candidaturas, que se puede hacer hasta el día 15 de Febrero, para que las cosas buenas que se hacen en nuestra administración pública salgan a la luz, que por desgracia siempre tienen más repercusión mediática las malas.

Para presentar la candidatura solo hay que rellenar un formulario y una plantilla de 1 a 2 hojas, describiendo el proyecto realizado, los beneficios y los socios tecnológicos. Los premios se darán en 8 categorías distintas:

- Administración Central.
- Administración Autonómica.
- Administración Local.
- Justicia e Interior.
- Sanidad.
- Seguridad y Defensa.
- Educación.
- Empresas Públicas.

La entrega de premios se hará durante la feria SITI/asLAN 2012, que tendrá lugar los días 27, 28 y 29 de Marzo de 2012 en el recinto de IFEMA de Madrid, y que llevará por título: "Think Cloud, Think Smart". Así que, si has estado involucrado en alguno que merezca reseña, envíalo para que tenga la visibilidad que se merece.

Saludos Malignos!

Entrevista a Didider Stevens

noreply@blogger.com (Maligno) — Fri, 13 Jan 2012 05:47:00 +0000

Didier Stevens es uno de los buenos en esto de la seguridad informática. Su blog es uno de esos de referencia para muchos de nosotros, en el que en cada post te sorprende con algo distinto. Sus trabajos con el malware, los PDF o con las macros en Excel han sido base de otras muchas investigaciones en el mundo de la seguridad y el hacking. Belga, afincado en Bruselas, y premiado por Microsoft como MVP debido a su innegable impacto en la comunidad de seguridad informática. Puedes seguir el trabajo de Didier Stevens en su blog, y sus pensamientos en Twitter @didierstevens

Didier Stevens "luchando" en Montserrat (Barcelona)

El pobre inocente se prestó amablemente a sufrir una de mis entrevistas, y con paciencia me contestó a las veinte preguntas que las componen.... y de forma más que interesante. Aquí os la dejo traducidas al español y en V.O.

Saludos Malignos!

1) If you need to introduce yourself to people who didn´t know about you... what were your speech?

I've been programming for 30+ years, and I'm an active blogger on IT security for 5 years now. I tend to focus on defense rather then offense, but I've been known to developed new offensive techniques to test and improve defensive techniques. An example of this is is my work with Software Restriction Policies/AppLocker and Excel macros. I also develop some forensic techniques.

1) Si tuvieras que presentarte a gente que no supiera nada de ti... ¿cuál sería tu discurso?

He estado programando más de 30 años, y ya llevo 5 años de activo blogger en Seguridad IT. Tiendo a focalizarme en defensa mas que en ataque, pero he estado aprendiendo a desarrollar nuevas técnicas de ataque para probar y mejorar las técnicas defensivas. Un ejemplo de esto es mi trabajo con Software Restriction Policies/AppLocker y las macros de Excel. También trabajo en algunas técnicas forenses.

2) Didier, you have been working in PDF, Excel, malware, etc... in which are you working right now?

Right now I'm looking into Cisco IOS forensics. There's not much info on the Internet about this subject, and I'd like to expand this.

2) Didier, has estado trabajando en PDF, Excel, malware, etc... ¿En que estás trabajando ahora mismo?

Ahora mismo estoy profundizando en forense en Cisco IOS. No hay mucha información en Internet sobre esta materia, y me gustaría expandirla.

3) And.. .how was at the begin? I mean, how did Didier get involved in computer security?

I got involved in IT security in the eighties, at the university. Before I entered university, I was very familiar with personal computers like the Apple II. These were single user/single task computers without any security. But at the university, I started to use and program a Unix computer (Linux didn't exist yet back then). Unix is multi-user/multi-task, and needs security to manage this properly. It was my first encounter with IT security and I experimented a lot with it on this Unix machine.

3) Y... ¿cómo fue al principio? Quiero decir, ¿cómo Didier se vio envuelto en seguridad informática?

Me vi envuelto en seguridad IT en los años 80, en la universidad. Antes de que entrara en la universidad, estaba muy familiarizado con computadores personales como el Apple II. Eran computadores mono-usuario y mono-tarea sin ninguna medida de seguridad. Unix es multi-usuario/multi-tarea, y necesita medidas de seguridad para gestionar esto de forma apropiada. Ese fue mi primer encuentro con la seguridad IT y experimenté un montón con ella sobre esta máquina Unix.

4) What was your first computer?

I was 12 when I programmed my first computer. My parents bought our first game console, the Philips Videopac G7000. It used cartridges to play games, and I had asked for a computer programming cartridge. This cartridge used a virtual assembly language, and I started to write small programs with simple animations and sounds, but I soon ran into the limits of this platform (memory and no way to save the programs).

4) ¿Cuál fue tu primera computadora?

Tenía 12 años cuando hice mi primer programa para una computadora. Mis padres compraron nuestra primera consola de juegos, la Philips Videopac G7000. Utilizaba cartuchos para los juegos, y yo había preguntado por un cartucho para programar computadoras. Este cartucho usaba un lenguaje de ensamblador virtual, y comencé a escribir pequeños programas con animaciones sencillas y sonidos, pero pronto llegué a los límites de esta plataforma (memoria y no poder guardar los programas)

5) And now, talking about security, who had impressed you?

Mark Russinovich and Bruce Schneier, because they are very technical people but are also active on a very high conceptual level.

5) Y ahora, hablando en términos de seguridad, ¿quién te ha impresionado?

Mark Russinovich y Bruce Schneier, porque son gente muy técnica pero son también activos a un nivel muy alto de conceptos.

6) Most of people reminds your work with PDF documents, ... was it the key for getting the MVP Award from Microsoft or not? In which area were you awarded by Microsoft?

I don't think it was important. Of course, I've no details on what motivated Microsoft to award me an MVP (twice now), but I believe it's because of my blogging and defensive security tools, like by Safe Mode fixes.

6) La mayoría de la gente te recuerda por tu trabajo con los documentos PDF,... ¿fue eso la clave para obtener el premio como MVP por Microsoft?

No creo que fuera importante. Por supuesto, no tengo los detalles de qué motivó a Microsoft premiarme como un MVP (dos veces ya), pero creo que es por mis publicaciones en el blog y las herramientas de seguridad defensiva, como los parches de Safe Mode.

7) This is a question people had asked to me lot of times, so I am going to reuse it. How did someone get to be an MVP?

There are many ways to achieve this, and I believe the key is to be very active in the community and be a technical expert.

7) Esta es una pregunta que me han preguntado muchas veces, así que voy a reutilizarla. ¿Cómo consigue alguien ser un MVP?

Hay muchas formas de conseguir esto, y creo que la clave es ser muy activo en la comunidad y ser un técnico experto.

8) Have you been a gamer? The game that stole the most time of your life were....

I've been when I was a kid and I owned an Apple II. I spend most of my time playing the Ultima games. Lord British...

8) ¿Has sido gamer? El juego que te robó el mayor tiempo de tu vida fue...

Lo he sido cuando era un niño y tenía un Apple II. Pasé la mayor parte de mi tiempo jugando a los juegos de Ultima. Lord British...

9) In Windows Vista/Seven Microsoft introduced ASLR, MIC, UIPI, etc.. as security protections. Then after, EMET appeared with new ones, and now Windows 8 is coming on. What do you expect or what would you like to be introduced in Windows 8 in terms of new security protections?

Under pressure of the music industry, Microsoft introduced Protected Processes with the Windows Vista kernel. A non-admin account can still do whatever it wants with its own processes. Every account can read/write the memory of all its processes, start new threads, ... But not with Protected Processes. Protected Processes still run under your user account, but you have no rights to read from or write to the memory of a Protected Process. The music industry wanted this so that it can protected media being played by a media player as a Protected Process. What I consider to be very shameful, is that Microsoft only allows the "music industry" to create Protected Processes. To create a Protected Process, the executable file needs to be signed using a special cross certificate that Microsoft only issues to developers for the music industry.

In other words, you and I can't create our own programs running as Protected Processes. And I want Microsoft to change this policy. I want everybody to be able to benefit from Protected Processes. The technology is already there in WIndows, but it's being vastly underused because of politics...

9) En Windows Vista/7 Microsoft introdujo ASLR, MIC, UIPI, etc.. como protecciones de seguridad. Después, EMET apareció con nuevas y ahora está apareciendo Windows 8. ¿Qué esperas o qué te gustaría que fuera introducido en Windows 8 en términos de nuevas protecciones de seguridad?

Bajo la presión de la industria de la música, Microsoft introdujo Protected Process con el kernel de Windows Vista. Un cuenta no administrativa puede aún hacer lo que quiera con sus propios procesos. Cada cuenta puede leer/escribir la memoria de todos sus procesos, lanzar nuevos hilos, ... pero no con Protected Processes. Protected Processes aunque corren bajo tu cuenta de usuario, tú no tienes privilegios para leer o escribir en la memoria de proceso protegido. La industria de la música quería esto para poder proteger el contenido siendo ejecutado con un reproductor que corriera como un proceso protegido. Lo que yo considero como algo muy vergonzoso es que Microsoft solo permite a la "industria de la música" crear procesos protegidos. Para crear un proceso protegido, el fichero ejecutable necesitar estar firmado por un certificado cruzado que Microsoft solo emite para desarrolladores de la industria de la música.

En otras palabras, tu y yo no podemos crear nuestros propios programas corriendo como procesos protegidos. Y yo quiero que Microsoft cambie esta política. Yo quiero que todo el mundo sea capaz de beneficiarse de los Protected Processes. La tecnología está allía en Windows, pero esta mayoritariamente infra-utilizada por culpa de los políticos...

10) What software is running on your machine? And your favorite tools?

I run Windows 7 on my main laptop. The tools I use most for my research are UltraEdit, 010 Editor and programming languages C and Python.

10) ¿Qué software está corriendo en tu máquina? ¿Y cuáles son tus herramientas favoritas?

Corre un Windows 7 en mi equipo principal. Las herramientas que utilizo para mi investigaciones son UltraEdit, 010 Editor y los lenguajes de programación C y Python.

11) Nowadays there are a lot of security/hacking conferences around the world. What is your favorite one and why?

Brucon, but I'm biased ;-) Brucon is a local conference for me, and I'm heavily involved. The beauty of Brucon is that it is a single track conference, and that the speakers are very accessible to the public. Hack.lu is the same. I tend to prefer smaller conferences, because speakers are more accessible. That's why I attend Black Hat in Europe and not in Las Vegas.

11) Hoy en día hay un montón de conferencias de seguridad/hacking por todo el mundo. ¿Cuál es tu favorita y por qué?

Brucon, pero soy parcial en esto ;-) Brucon is una conferencia local para mí, y estoy fuertemente implicado. La belleza de Brucon es que es una conferencia de un solo track, y que los speakers son muy accesibles para el público. Hack.lu es lo mismo. Suelo preferir conferencias más pequeñas, porque los speakers son más accesibles. Eso es por lo que yo asisto a BlackHat Europa y no a Las Vegas.

12) Have you been visiting Spain any time of your life?

We love Spain: the people, the food, the climate, ... I think I've been around 10 times in Spain now. I don't speak Spanish, but I can understand quite a bit and I get around in restaurants and hotels with simple words. Un jerez muy seco, por favor ;-)

12) ¿Has estado visitando España alguna vez en tu vida?

Amamos España: la gente, la comida, el cliam... creo que he estado como unas 10 veces en España hasta ahora. No hablo español, pero puedo entender algo y defenderme en restaurantes y hoteles con palabras sencillas. "Un jerez muy seco, por favor ;-)"

13) Sometimes, when I interview people like you, some of the youngest readers feel that working in security is too far away from their possibilities. What would you recommend to them?

Persistance. You may think it's to difficult for you, but approach it step by step. I've had to tackle several problems that I considered too difficult to solve, but still I started step by step, and in the end I solved the problem. But sometimes you have to backtrack. In this step by step approch, you will learn new things with each step, and sometimes this will make you review previous steps. For example when you try to code a solution to a problem you don't understand initially, you will eventually understand the problem. But you may have to throw your code away and start anew, because of the new insights into the problem you gained.

13) Algunas veces, cuando hago una entrevista a gente como tú, algunos de los lectores más jóvenes sienten que trabajar en seguridad está demasiado lejos de sus posibilidades. ¿Qué les recomendarías?

Perseverancia. Tal vez pienses que es muy difícil para ti, pero acércate poco a poco. Yo he tenido que superar varios problemas que consideraba demasiado difíciles de solucionar, pero aún así comencé paso a paso, y al final lo solucioné. Pero a veces tienes que desandar el camino. En esta aproximación paso a paso, aprenderás nuevas cosas con cada paso, y algunas veces esto hará que revises tus pasos previos. Por ejemplo cuando intentas codificar una solución a un problema que y no comprendes incialmente, al final entenderás el problema. Tal vez incluso tengas que tirar tu código y comenzar de nuevo debido a los nuevos descubrimientos obtenidos del problema.

14) Three "must read" books

"Compilers: Principles, Techniques, and Tools", a.k.a. "The Dragon Book", has been very influential on my coding style. "Windows Internals" is one of the best books on how Windows operates. And finally, out of respect for the late Dennis Ritchie: "The C Programming Language".

14) Tres libros de obligada lectura

"Compilers: Principles, Techniques, and Tools", a.k.a. "The Dragon Book", ha sido muy influyente en mi estilo de programa. "Windows Internals" es uno de los mejores libros sobre como funciona Windows. Y finalmente, con todo el respeto, Dennis Ritchie: "The C Programming Language"

15) What is the work that you've done that makes you feel the most proud of it?

Fixing the Safe Mode problem. In 2006 I discovered malware that deletes the SafeBoot registry keys. These keys are necessary to boot into Safe Mode. Without these keys, you can't boot into Safe Mode. Malware often deletes these keys to prevent you from booting into Safe Mode to start cleaning up the infection. I've released tools to restore and protect the SafeBoot keys. These tools have been downloade 50.000+ times.

15) ¿Cuál es el trabajo de los que has hecho que te hace sentir más orgulloso?

Arreglar el problema del Safe Mode. En el año 2006 descubrí malware que borra las claves del registro del SafeBoot. Esas claves son necesarias para arrancar en Safe Mode. Sin ellas, tu no puedes arrancar en Safe Mode. El malware a menudo las borra para evitar que arranques en Safe Mode para limpiar la infección. He publicado unas herramientas para restaurar las claves de SafeBoot y han sido descargadas más de 50.000 veces.

16) And the funniest security vulnerability you discovered?

"Look Mommy, No Hands" or how to trigger a PDF vulnerability without any user interaction, but by relying on the Windows Indexing Service.

16) ¿Y la vulnerabilidad más divertida que has descubierto?

"Look Mommy, No Hands", o como disparar un vulnerabilidad PDF sin ninguna interacción con el usuario, pero usando el Servicio de Indexación de Windows.

17) Apple is on fire, what do you think about the security protections in iOS or OSX Lion?

I don't know. I've a limited understanding of iOS.

17) Apple está de moda, ¿qué piensas de las medidas de seguridad en iOS o en OSX Lion?

No lo sé. Tengo conocimientos limitados de iOS.

18) Tell us about your sources. What are the three blogs that you like the most and you read everyday?

Bruce Schneier's and Mark Russinovich's blogs. And XKCD ;-)

18) Háblanos de tus fuentes. ¿Cuáles son los tres blogs que más te gusta y que lees a diario?

Los blogs de Bruce Schneir y Mark Russinovich. Y XKCD ;-)

19) A difficult question: Anonymous, Lulzsec, Stuxnet, Wikileaks. Choose one of them and tell us what Didier thinks about it.

I find it criminal how less consideration the states that sponsored Stuxnet gave to civilians. It's appalling how much collateral damage they inflicted to hit their target.

19) Un pregunta difícil: Anonymous, Lulzsec, Stuxnet, Wikileaks. Elije uno de ellos y dinos que piensa Didier sobre ello.

Encuentro criminal la poca consideración que mostraron los estados que apoyaron Stuxnet hacia sus ciudadanos. Es vergonzoso cuanto daño colateral infligieron con tal de golpear sus objetivos.

20) The last one, if you were the king of the world, and you can change something about Internet... what would it be?

Free, wireless universal worldwide Internet access. Realize how much the Internet has had a positive effect on Western Society. Then think how much it can have on defavoritized regions, like Africa. When I hear people say that everybody is online nowadays, I always think of the billions of people who have no access...

20) La última, si tu fueras el rey del mundo y pudieras cambiar algo en Internet... ¿Qué seria?

Acceso wireless universal y gratuito a Internet por todo el mundo. Date cuenta de cuánto de positivo ha sido el efecto que ha tenido Internet en la sociedad occidental. Entonces piensa cuánto puede hacer en las regiones más desfavorecidas como África. Cuando oigo a la gente decir que todo el mundo está conectado hoy en día, siempre pienso en los billones de personas que no tienen acceso...

Los "Juicy Files" de un sitio web y la FOCA

noreply@blogger.com (Maligno) — Thu, 12 Jan 2012 05:28:00 +0000

Como muchos de los que nos dedicamos a esto de romper cosas, la búsqueda de bugs en las auditorías de seguridad web se hace casi de manera automática, como si fuéramos perros perdigueros en busca de un fichero que está gritando que no está bien configurado. Además de esos, hay otros que tienen "cara de sospechosos", por las rutas en las que se encuentran o la extensión que tienen. Así, los .bak, los .old, o cualquier otro con una extensión "raruna" merecen un análisis más en profundidad.

Todos esos ficheros suelen contener datos jugosos, y en la FOCA hemos creado unas listas para clasificarlos cuando sean encontrados, son los "Juicy Files". Es configurable cuándo debe ser tomado un fichero de este tipo, y dependerá de cada proyecto, pero por defecto lo será cualquier fichero con una extensión que no sea de las comunes.

Figura 1: Juicy Files por extensión

O que se encuentre en una de las rutas que nos interesan habitualmente.

Figura 2: Juicy Files por path

Por supuesto, para encontrar esas rutas, hasta el momento nos aprovechábamos de Google Crawling y Bing Crawling, pero después añadimos el parseo de robots.txt - que todos tenéis en la versión 3 de la FOCA - y en la versión interna hemos añadido el parseo de ficheros .listing y directory listings así como la búsqueda de puertos inusuales, usando el "truco de la barra" con site:/dominio.com:*, algo que deja también jugosos resultados.

Figura 3: Puertos distintos de 80 se clasifican también como juicy files

Saludos Malignos!

Eicar para hacer jailbreak en Terminal Services o Citrix

noreply@blogger.com (Maligno) — Wed, 11 Jan 2012 06:06:00 +0000

Uno de los trucos que se me pasó por la mente cuando estuve en Ecuador dando la charla de Terminal Hackplications, fue el de conseguir hacer el jailbreak de la aplicación mediante un viejo amigo del mundo del malware Eicar.

Eicar es un virus de prueba, es decir, no es un virus, es simplemente un fichero firmado como malware por todas las compañías antimalware que se usa para testear canales sin que se te escape un virus por la red. Con esto, cuando se quiere probar si un antimalware está escaneando los ficheros que se suben por Ftp o que se descargan por Http, se pasa un Eicar y se espera la reacción. Si no hay ninguna reacción, es que el antimalware no está protegiendo ese punto del sistema.

Conocido esto, se me ocurrió que una buena forma de salir de la aplicación sería pasar a la consola de monitorización del antivirus y, desde allí, buscar acceso a la ayuda, al panel de control de la impresora, etc...

Para llegar a la consola de monitorización del antivirus lo que necesitamos es un virus y que mejor que Eicar. Además, este fichero se sirve desde Internet con conexiones Http-s lo que permite que, salvo que tenga un servicio de Http-s Inspection como tiene Forefront TMG 2010 y algunos firewalls de gama alta configurado, llegue hasta el servidor Citrix o Terminal Services sin levantar sospechas.

Figura 1: Eicar servido por https

Como podéis suponer, para meter Eicar en la aplicación lo único que necesitamos es una aplicación como Excel o Word, que permita navegar sin navegador. Es decir, que la aplicación haya hecho uso de los controles de Windows para la gestión de ficheros.

Figura 2: Descargando Eicar desde un servidor https

Así que el resto es esperar a ver qué antimalware tienen configurados y qué opciones nos ofrecen para hacer el jailbreak.

Figura 3: Servidores demo de Citrix protegidos

Por supuesto, esto no es solo útil para hacer el jailbreak, ya que conocer el antimalware puede ser muy útil para preparar un malware a medida con técnicas de morphing - incluso de Superman - o mutación que se salte esa solución de seguridad.

Figura 4: Symantec EndPoint Protection vigila este Citrix

Aunque a veces hay sorpresas y te encuentras que hay que preocuparse bastante poco por el antivirus.

Figura 5: Servidor Citrix sin antimalware alguno

Saludos Malignos!

Trabaja con nosotros en Informática 64

noreply@blogger.com (Maligno) — Tue, 10 Jan 2012 06:25:00 +0000

Con el comienzo del año, y sabiendo que el fin del mundo es en este Diciembre, queremos reforzar nuestras líneas de combate con más soldados. Así, hemos sacado unas ofertas de trabajo para trabajar en Informática 64 por si te apetece probar con nosotros. Estos son los tres perfiles que buscamos, aunque como dice al final, si se te gusta la tecnología y crees que puedes aportar o tienes ganas de esforzarte y aprender, puedes enviarnos el tu CV también.

Puesto: Consultor de Sistemas

Buscamos personas que quieran orientar su carrera en la consultoría de sistemas en Informática64. Los candidatos recibirán un plan de carrera, que incluirá la certificación profesional de fabricantes, y la inclusión en proyectos en tecnologías Microsoft, en la seguridad de sistemas y la integración con otras plataformas.

Estudios mínimos: Ingeniero Técnico o Ciclo formativo de grado superior

Experiencia: 1 a 2 años

Requisitos mínimos:

- Experiencia en Administración de Sistemas Operativos Windows Server
- Active Directory (instalación, configuración y administración).
- Nivel medio de Inglés.
- Comunicaciones TCP/IP.

Se valorará:

- Nivel de certificación.
- Conocimientos en alguna de las siguientes tecnologías:
- Servidores de correo electrónico.
- Bases de Datos.
- Virtualización.
- Plataforma de Gestión de Sistemas.
- Exposición de conocimientos de forma verbal y escrita.
- Trabajo en Grupo.
- Capacidad de auto aprendizaje.
- Disponibilidad para viajar.

Puesto: Consultor de Sistemas Junior

Buscamos personas que quieran orientar su carrera en la consultoría de sistemas en Informática64. Los candidatos recibirán un plan de carrera, que incluirá la certificación profesional de fabricantes, y la inclusión en proyectos en tecnologías Microsoft, en la seguridad de sistemas y la integración con otras plataformas.

Estudios mínimos: Ingeniero Técnico o Ciclo formativo de grado superior

Experiencia: 0 a 1 años

Requisitos mínimos:

- Conocimientos en administración de sistemas operativos Windows.
- Conocimientos en Active Directory (instalación, configuración y administración)
- Nivel de inglés de lectura.
- Conocimientos en comunicaciones TCP/IP.

Se valorará:

- Nivel de certificación.
- Conocimientos en alguna de las siguientes tecnologías:
- Servidores de correo electrónico.
- Bases de Datos.
- Virtualización.
- Plataforma de Gestión de Sistemas.
- Exposición de conocimientos de forma verbal y escrita.
- Trabajo en Grupo.
- Capacidad de auto aprendizaje.
- Disponibilidad para viajar.

Puesto: Desarrollador

Buscamos personas que quieran orientar su carrera en el desarrollo de software. Los candidatos recibirán un plan de carrera, que incluirá la certificación profesional de fabricantes, y la inclusión en proyectos en tecnologías .NET, Java u Objective-C.

Requisitos mínimos:

- Estudios mínimos: Ciclo formativo de grado superior o Ingeniero Técnico
- Conocimientos de desarrollo medio/avanzado en .NET o Java.
- Conocimientos de desarrollo en tecnologías web.
- Nivel de inglés medio.
- Conocimiento de arquitecturas de Internet.

Se valorará:

- Nivel de certificación.
- Exposición de conocimientos de forma verbal y escrita.
- Trabajo en Grupo.
- Capacidad de auto aprendizaje.
- Disponibilidad para viajar.

Si estás interesado en alguna de estas ofertas, envíanos tu currículo a i64@informatica64.com. Además, si no encajas en alguna de estas ofertas, pero crees que deberíamos entrevistarte porque tienes alguna otra característica que pueda encajar en nuestra empresa, mándanos tu CV a "Trabaja con nosotros".

Saludos Malignos!

Autenticación con cuentas Windows Live en Windows 8

noreply@blogger.com (Maligno) — Mon, 09 Jan 2012 06:36:00 +0000

En la ya más que cercana Gira Up To Secure 2012 voy a estar hablando de Windows 8, donde uno de los topics más de moda es la integración con Windows Live, hasta tal punto, que se podría autenticar un usuario en local en Windows 8 con los servidores de WindowsLive.

Para ello, el administrador del sistema, cuando da de alta una cuenta dentro del equipo puede elegir la opción de autenticarse con un Windows Live ID. Esta integración está pensada para los futuros tablets o dispositivos móviles con Microsoft Windows 8, donde se puedan, de igual forma que hace Apple con iCloud, acercar los servicios de Windows Live a la plataforma escritorio. Así, un usuario podría guardar directamente en su SkyDrive, o enviar por correo con su cuenta de Hotmail, compartir estados en Windows Live Messenger y demás cosas que gustan tanto a los más sociales.

Sin embargo, cuando esta características fue anunciada, rápidamente se levantó la polémica. Ayer, ya con la gira en ciernes, he estado haciendo alguna prueba para ver cómo funciona bien y aquí va.

Cuando te creas una cuenta con Windows Live ID en tu Windows 8 - de momento la Developer Preview Edition - sólo hay que indicar la cuenta de correo electrónico asociada al Windows Live ID y listo. Nada más.

Figura 1: Dar de alta un usuario con WIndows Live ID en Windows 8

Una vez creada la cuenta se puede seleccionar en la lista de usuarios para iniciar sesión y, poniendo la contraseña de Windows Live ID acceder al equipo local. Automáticamente se carga la foto de perfil y se configuran detalles en Windows 8 provenientes desde Windows Live. Eso sí, al mismo tiempo en la cuenta de Windows Live se recibe un e-mail con información de este hecho, y hasta un SMS informativo si se tiene asociado el número de teléfono.

La pregunta es... ¿cacheará la contraseña? La respuesta es SÍ.

Cuando se inicia sesión con una cuenta Windows Live, esta contraseña se almacena en el equipo, por lo que basta con desconectar el cable, intentar conectarse con una contraseña erronea y Windows 8 lo deja bien claro: "No hay conexión, conéctate con la última password con la que iniciaste sesión".

Eso deja varios frentes de seguridad abiertos, el primero en el equipo local, pues si alguien averigua una contraseña antigua solo necesitaría desconectar el equipo de la red y usarla para autenticarse en la máquina local.

La segunda en la cuenta del usuario, ya que alguien podría hacerse con la caché de almacenamiento de contraseñas y crackear la password por medio de algún ataque de fuerza fruta en local, algo impensable en la web de Microsoft Widnows Live hoy en día, donde las cuentas son robadas por phishing, RATs o recuperación de passwords con preguntas.

La última curiosidad es que al darse de alta un usuario en Windows 8 como cuenta de Windows Live, este automaticamente hace una solicitud de convertirse en un equipo de confianza de Windows Live, lo que le permite, si se aprueba esta concesión, en alguien capaz de cambiar la contraseña sin conocer la password anterior.

Figura 2: equipo de confianza en Windows Live. Proceso de alta manual

¿Se puede eliminar esta conexión entre Windows 8 y la cuenta de Windows Live ID?

Pues sí, en cualquier momento, desde Windows Live se puede revocar el equipo de confianza una vez se desee cortar el nexo entre ambos.

Figura 3: Mail que se recibe cuando se crea un usuario en Windows 8 autenticado por Windows Live ID. En él se encuentran los links de confirmación como equipo de confianza y el de revocación de confianza.

Además, se pueden borrar las credenciales en el Windows 8 eliminando la cuenta del usuario o eliminar simplemente la información de Windows Live. Para ello, basta con ir a Windows Credential Manager de Windows 8, y en la parte de Credenciales de Windows utilizar las opciones de Remove para quitar la información de la cuenta.

Figura 4: Visualización de datos de cuenta Windows Live en Windows Credential Manager

Como se puede ver, hay dos credenciales de Windows Live ID, una es la de la sesión activa, por lo que tiene asociado un token, y la otra es la contraseña y la cuenta con la que Windows 8 va a hacer login en los servidores de Windows Live. Así que, si la paranoia es tu lema, ya sabes donde borrarlas.

Este tipo de soluciones de usabilidad y movilidad a través de la nube pueden ser un problema cuando se pierden o son robados los dispositivos, así que evita hacer uso de estas cosas si no has acompañado esto con una política de seguridad asociada de acceso local, como borrado seguro remoto, cifrado de disco completo, bloqueo de sesiones y una política de contraseñas, para todas las cuentas, robusta.

Saludos Malignos!

iKAT: Interactive Kiosk Attack Tool (Vengenance Edition)

noreply@blogger.com (Maligno) — Sun, 08 Jan 2012 08:00:00 +0000

Paul Craig presentó ya en Defcon16 iKAT, una herramienta para atacar kioskos interactivos. Ya sabéis, el tipo de soluciones pensadas para dar información a paseantes en estaciones de tren, museos, o servicios en tiendas y aeropuertos, como máquinas de impresión de fotografías o servicios de Internet. Como buen amante del hacking, se pasa horas buscando nuevas formas de saltarse la seguridad de esos sistemas con nuevos trucos, y en Defcon19 presentó iKAT V (Vengenance Edition) (Aquí tienes las diapositivas y aquí el vídeo con las demos).

La gracia de esta solución es que aglutina un montón de técnicas que, tanto para Windows como para sistemas *NIX* intentan devolver una shell desde un kiosko interactivo. Muchos de los trucos se aprovechan de los protocolos registrados en los navegadores, para abrir programas externos, o de los componentes del sistema operativo con que están desarrolladas las aplicaciones - como en el truco de navegar sin navegador - o llamando a plugins, registrando componentes, y poniendo al límite las opciones de seguridad de los navegadores.

El número de trucos es variado, y por sugerencia popular, para no complicarnos demasiado cuando hay prisa - porque estemos vigilados o el tiempo sea limitado - añadieron el botón de 1Click PWN, para que le des, comiencen las pruebas y listo.

Figura 1: iKAT V (Vengenance Edition) para Windows con 1Click PWN

Debido a su simplicidad, yo he utilizado esta herramienta en algunas operaciones de "jailbreak" de Citrix o Terminal Services, simplemente navegando hasta la versión online, seleccionando la plataforma Windows y esperar a que salte la consola de comandos para continuar el camino. La solución ha sido incorporada a las tools de Metasploit, con lo que puede montarse en un entorno controlado para sistemas de auditoría de seguridad. Puedes probar la solución Metasploit Autopwn de iKAT online.

Además, no me gustaría terminar esta reseña a la herramienta sin hablar de F*CK Tool, una solución de Fortificación y Configuración de Kioskos que presentaron Sergio Adrián, Santiago Álvarez, Enertos Corral y Joaquín Pano como Proyecto de Fin de Master dirigido por Alejandro Ramos en el Master de Seguridad de la UEM, y que tenía como objetivo evitar este tipo de ataques.

Saludos Malignos!

Averiguar el nombre interno del servidor IIS usando una carpeta protegida con NTLM generando un error 401

noreply@blogger.com (Maligno) — Sat, 07 Jan 2012 06:31:00 +0000

La gracia de averiguar el nombre interno del servidor SQL Server mediante una cadena de conexión con autenticación integrada se puede replicar con cualquier servicio Microsoft Windows que haga uso de NTLM Session, ya que es el funcionamiento por defecto. De hecho, esto es algo que ya habíamos visto en alguna auditoría de seguridad web cuando te encuentras con un servidor Microsoft Internet Information Services en el que se ha protegido una carpeta con NTLM.

En ese caso, cuando te conectas al recurso compartido con NTLM, sin conocer las credenciales, puedes ver como en el paquete de respuesta con el error 401 llega un parámetro www-authenticate con un valor codificado en Base64.

Figura 1: www-authenticate en un paquete de respuesta 401 desde IIS

Es suficiente con decodificar ese valor, con cualquier decoder, en este caso el que viene integrado directamente con Burp, y obtener la cabecera del protocolo NTLM Session donde se puede leer el nombre interno del servidor en el que está corriendo el Internet Information Services.

Figura 2: Decodificación del valor de www-authenticate

En este caso, como se pude ver, el nombre del servidor donde hicimos las pruebas comienza por O. Un sencillo truco que en una auditoría de seguridad te puede dar algo más de información y, a la postre, ser crucial para conseguir o no el éxito en la intrusión, así que, si puedes, evita este tipo de protecciones por carpetas en servidores Microsoft IIS.

Saludos Malignos!

Fin de Fiestas: Ahora toca comenzar el año

noreply@blogger.com (Maligno) — Fri, 06 Jan 2012 06:48:00 +0000

Espero que los Reyes Magos os hayan traído muchas cosas, y que hayáis disfrutado mucho de las fiestas y esas cosas, pero ya hay que ponerse a trabajar tras este fin de semana, que ya está bien. Por nuestra parte hemos estado haciendo los deberes para que tengáis todo listo a la vuelta de las "vacas" y éste es el calendario de eventos y cursos que tenemos preparado, por si quieres formarte más para ser más competitivo, en este cada vez más difícil mundo profesional.

Os lo pongo en versión reducida para que no se os haga muy largo el post, y os indico con * donde voy a estar presente yo y con G aquellos que son gratuitos. Como veréis hay eventos en Madrid, Móstoles, Valencia, Sevilla, Valladolid, Pamplona, Vigo, A Coruña, Palencia, Zaragoza, Barcelona y Online, para que de una forma un otra siempre haya que puedas hacer.

Si no, ya sabes, siempre puedes leerte uno de nuestros libros. Yo voy a llevar alguno a los eventos, pero recuerda que son limitados los que llevo, así que si quieres que te lo lleve, cómpralo y pide que te lo entregue en la Gira, así lo llevo con tu nombre reservado.

Enero 2012 - Semana 2:

11: Barcelona [Gira Up To Secure 2012] [G] [*]

12: Zaragoza [Gira Up To Secure 2012] [G][*]

13: Pamplona [Gira Up To Secure 2012] [G][*]

13: Pamplona [Pentesting con FOCA 3] [*]

13: Móstoles [FTSAI VI - Análisis Forense]

Enero 2012 - Semana 3:

16: Pamplona [Análisis Forense Corporativo]

16: Madrid [Desarrollo de aplicaciones iOS para iPhone/iPad]

16: Palencia [Seguridad Informática] [G][*]

17: Valladolid [Gira Up To Secure 2012] [G][*]

18: Vigo [Gira Up To Secure 2012] [G][*]

19: A Coruña [Gira Up To Secure 2012] [G][*]

Enero 2012 - Semana 4:

23: Pamplona [MS SQL Server 2012. Analysis Services]
24: Valencia [Gira Up To Secure 2012] [G][*]
24: Pamplona [MS SQL Server 2012. Administración y Seguridad]
25: Pamplona [MS SQL Server 2012. Ajuste del Rendimiento]
25: Madrid [Gira Up To Secure 2012] [G][*]
25: Pamplona [MS SQL Server 2012. Reporting Services]
26: Sevilla [Gira Up To Secure 2012] [G][*]
26: Pamplona [MS SQL Server 2012. Integration Services]
27: Pamplona [MS SQL Server 2012. Replication Services]
27: Online [FOCA PRO 3] [*]

Enero 2012 - Quinta semana

30: Valencia [Análisis Forense Corporativo]
30: Madrid [Desarrollo Avanzado de aplicaciones iOS para iPhone/iPad]

Como puedes ver, el calendario es amplio, para que de una forma u otra, presencial u online, pueda haber algo que te interese. Juega con tus regalos este fin de semana, y ¡al lío!

Saludos Malignos!

Hacking Remote Applications: Sticky Keys en Windows Server 2000/2003 y un Tooltip de gran ayuda en Citrix

noreply@blogger.com (Maligno) — Thu, 05 Jan 2012 06:31:00 +0000

Desde que le tomé gusto a esto de hacer jailbreaking en aplicaciones publicadas a través de Citrix o Terminal Services he de reconocer que me paso muchas horas jugando con ellas, así, como si resolviera un Sudoku. Así, las que más me cuestan son las que me ayudan a pasar algunas noches de insomnio con algo entretenido.

Normalmente suelen salir bastante fáciles como los ejemplos que hice de tocar el piano en la Ekoparty, pero cuando te suelen traer una auditoría de seguridad para revisar las protecciones de una aplicación ya se han quitado las cosas más evidentes, como son los ejemplos que publicamos en el artículo de Hacking Remote Applicatons: Jailbreaking.

Hoy os traigo un pequeño truco que me ayudó a resolver una en la que lo habían puesto un poco más difícil. La aplicación era una desarrollada en un lenguaje nativo en el que no se habían utilizado ninguno de los componentes típicos de windows. No había forma de sacar la barra de inicio, ni llamar a la ayuda, ni llamar al taskmanager que se encontraba bloqueado, no se podía invocar otro programa del sistema, etc... vamos, que le habían dado una vuelta a la seguridad.

Sin embargo tenía dos cosas útiles: El botón derecho y las StickyKeys.

Al final, tras buscar el fallo en la aplicación por un lado y por otro, la única vía de escape parecía ser el menú de configuración de las StickyKeys, así que nada, a pulsar 5 veces la tecla de Mayúsculas para sacar el menú y entrar en la parte de Settings.

Figura 1: StickyKeys en WIndows Server 2003

Una vez allí, el menú es completamente distinto al de Windows Server 2008, que como vimos en el artículo de Rearmar un Windows Server 2008 con StickyKeys, este ya se encuentra dentro del Panel de Control de Windows. En Windows Server 2000 y 2003 está fuera y lo único que se tiene es la Ayuda, por lo que a darle al F1 para ir avanzando un poco. Ahí es el momento en que se llega a los Tooltips.

Figura 2: Ayuda como tooltips

A priori no parece demasiado, porque no hay enlaces ni nada que se le parezca, pero el truco es que esos Tooltips son imprimibles, por lo que es suficiente con invocar el botón derecho y seleccionar la opción de Print Topic, para llegar al menú de configuración de impresoras.

Figura 3: Opción de imprimir un tooltip

El resto, desde el menú de impresoras, con al ayuda activada, es ya camino conocido para llegar hasta la MMC de administrar el sistema.

Figura 4: MMC con Snap-in de administración de la máquina local

Al final, las teclas de accesibilidad y los menús de ayuda resultaron ofrecer una gran ayudar para permitir la accesibilidad, para que luego no digan que la tecnología no cumple sus funciones.

Saludos Malignos!

Averiguar el Nombre de un Servidor SQL Server con Excel, Cadenas de Conexión, y Autenticación Integrada NTLM

noreply@blogger.com (Maligno) — Wed, 04 Jan 2012 06:19:00 +0000

Cuando estuve escribiendo la última parte de Hacking Remote Applications: Escaneando la Red Interna con Excel, acababa diciendo que, al igual que en los ataques de Connection String Parameter Pollution podríamos robar el hash NTLM de sesión para intentar crackear la contraseña de la cuenta con la que corre el servicio de Terminal Services o Citrix. Sin embargo, no hice la prueba hasta ayer mismo, ya que sabía que iba a funcionar. La sorpresa es que cuando lo he hecho me he encontrado con algo que yo no sabía y que me ha dado para jugar un rato. Esta es la historia.

Cuando hicimos las pruebas iniciales de robo de hash NTLM de sesión usamos CAIN, ya que directamente trae un módulo que reconoce las cadenas de autenticación por TDS (Tabular Data Stream) de SQL Server y nos hacía la vida mucho más fácil.

Figura 1: Hash NTLM de Sesión en CAIN, robado con un Connection String Parameter Pollution Attack

Sin embargo, cuando lo hemos probado con un Excel en Citrix conectándolo con una cadena de conexión a un Rogue SQL Server en el que teníamos montado un Wireshark, hemos encontrado un pequeño detalle que no había contemplado al inicio: El nombre del equipo en el que corre... el servidor SQL que responde, tal y como se puede ver en la siguiente captura.

Figura 2: Hash y Nombre de equipo en una conexión con autenticación integrada desde Excel

Como se puede apreciar, aparece no solo la negociación NTLM de sesión, sino también el nombre del servidor con el que estamos negociando, pero es el nombre interno de la máquina en la red, y no el publicado. Esto es así siempre que se utiliza SMB, y parece que al usar Autenticación Integrada para conectarse a SQL Server también va implicito ese comportamiento, algo en lo que no había caído.

De hecho, cuando he ido a repasar la herramienta que publiqué - que ya no está disponible en su repositorio - sobre cómo hacer fingerprinting a servidores SQL Server, he visto que en ninguna de las pruebas que realicé apareció el nombre del equipo.

Figura 3: Fingerprinting SQL con esf

Sin embargo, probándolo con diferentes versiones hemos podido comprobar que siempre es posible acceder al nombre del equipo. Así que, basta con abrir tu Excel en local, hacer una cadena de conexión a un servidor SQL Server y, no importa si Wireshark trae el parseador para ese paquete o no, al final siempre se obtiene el nombre de la máquina. Y luego para celebrarlo, con el mismo Excel, te juegas un Missile Command o un Tower Defense.

Figura 4: Nombre de equipo en un paquete de autenticación integrada TDS

Resumiendo:

1) Busca un servidor SQL Server: Puedes hacerlo por Robtex, por Shodan, o utilizando un scan nmap por el puerto 1433.

2) Abre tu Wireshark y ponte a sniffar tráfico en tu máquina

3) Abre tu Excel y crea una cadena de conexión contra el servidor con autenticación integrada.

Nota: Recuerda que irá tu hash NTLM sesión, así que no uses una cuenta de importancia.

Como única solución, a parte de cancelar el inicio de sesión integrada en SQL Server, sería poner en los firewalls un filtrado de este tipo de paquetes, para evitar la fuga de información y, por supuesto, usar VPNs para conectarse al servidor SQL Server sería lo más que deseable, en caso de que tenga que estar expuesto externamente.

Saludos Malignos!

Hackear Hotmail: La vereda oscura de Internet

noreply@blogger.com (Maligno) — Tue, 03 Jan 2012 05:52:00 +0000

Con la popularización de los servicios de Internet han llegado también esas pequeñas cosas de la vida cotidiana, como son las manidas guerras entre novios, los aquestos combates entre tíos y sobrinos que se estafan, traiciones artúricas entre amigos que se acuestan con la mujer del antaño su amigo, y en total esa suma de banalidades que suelen hacer la vida tan divertida en las barriadas, salones y alcobas de todo el mundo. Esas pequeñas infidelidades, traiciones o maldades tienen, al igual que el resto de delitos de mayor tamaño, su representación en la vida digital.

Semejante panorama hace que los menos pacientes en el entremés de turno quieran tomar el camino del medio para llegar a la confirmación o no de las sospechas. Saber si se luce peinado cual Miura o si la amistad ha sido traicionada por aquel que otrora daría un brazo, y el pecho si hiciera menester, por su rey exige, a día de hoy, el conocimiento de ciertos mensajes enviados por WhatsApp, el contenido de los mensajitos cortos SMS que recibe la pareja a horas intempestivas y que justifica con nosecuantas operaciones de trabajo – una retaila de “y no te vas a quejar en esta época de crisis” -, o la lectura de los clásicos correos electrónicos que recibe el “malvado” en su Hotmail, Gmail o vaya usted a saber qué otro mail.

Así pues, dolidos, impotentes o henchidos de rabia o frustración tal, algunas personas, en un momento de desesperación y energía al más puro estilo de Scarlett O'hara, deciden romper al cerdo y sacar la billetera para echarse a la vereda de Internet y visitar, sin conocimiento alguno previo, los bajos fondos del underground en busca de almas de fortuna a quiénes contratar para perpetrar la ya decidida violación de la intimidad de esa persona cercana a sus, en esos momentos, turbulentas vidas.

Quieren los designios del SEO, la mala prensa o el nick de turno que luzco, que algunos de los cientos de mensajes en botellas que se envían en busca de algún delincuente - que a su vez se encuentre en estado de persecución de la suya fortuna, aunque sea menguada para sobrevivir en estos tiempos de penuria - llegue cual propuesta susurrada a mi bandeja de entrada con un asunto del tipo: Hackear Hotmail.

Corto. De pocas palabras. Misterioso. Así luce el mensaje que leo con ojos somnolientos pues suelen enviarse con nocturnidad y ser leídos con “madruguez” a la par que malignas legañas.

“¿Conoces a alguien que pueda robar una contraseña de hotmail? Estoy dispuest@ a pagar por ello. No es broma.”

A veces aparecen más vistosos, más elaborados, o con más dolor transpirado, otros se presentan con una larga intro, mostrando algún tipo de adulación previa para suavizar el oído al mismo tiempo que esperan suavizar con aceite la muñeca tras la ulterior barrabasada de obtener la clave de acceso ajena a cualquier costo. ¿Cualquier costo?

En ciertas ocasiones he estado tentado a responder con un: Así guste su merced, son 100.000 €. Pero el momento de diversión ha sido suficiente con pensar en la maldad, por lo que he acabado por no hacerlo nunca. En el fondo no soy tan malo.

No obstante, muchas veces me he pregunta cuánto creen esas personas que vale una persona para obligarla a cometer un delito por dinero. Yo aún no he pensado en mi precio, que seguro que lo tengo como todos, pero antes habría de echar muchos números con mi alma blanca y mi negro corazón para entre los tres ponernos de acuerdo.

De esas peticiones he recibido algunas muy sentidas, a las que en lugar de responder con un desaire he preferido sentarme, hablar con ellas y quitarles la idea de la cabeza. Una mujer despechada, un hombre con sospechas de infidelidad de su mujer, un madre dolida con su descendencia, un socio buscando vendetta, un blogger católico buscando venganza contra otro blogger al que quería defacear – os juro que esta historia es verídica y tengo capturas de los mensajes – o personas buscando comprar malware para ganarse de alguna manera el pan. Así son algunos de los visitantes esporádicos de la vereda oscura de Internet.

Al final, tras contestar a las personas, algunas abandonan la idea, otras me abandonan a mí y continúan en las sombras, a las que yo les despido no sabiendo si su mayor problema es la posible confirmación de su problema o la hiperbólica duda que corroe sus entrañas hasta arrastrarles cuales Golums en busca de su tesoro: Una contraseña de Hotmail que ya saben que no obtendrán de mí.

Saludos Malignos!