Un informático en el lado del mal

FOCA Web Fuzzer y API 0.1 para desarrollo de plugins

noreply@blogger.com (Maligno) — Wed, 16 May 2012 23:08:00 +0000

Ya hace tiempo que se ha creado una pequeña API en FOCA para poder cargar plugins. En la actualidad hay creados ya tres que vamos a ir publicando para que podáis sacar mucho más partido a la herramienta en cuanto vayamos testeándolos un poco más.

FOCA Web Fuzzer

El primero de ellos que vamos a poner público es un Web Fuzzer que se carga desde la opción de Plugins que tiene la herramienta. Una vez que se ha cargado aparecerá en el menú de plugins, y se podrá invocar para utilizarlo con cualquier URL. Tienes más información en el manual del API de plugins en FOCA.

El Web Fuzzer tiene un funcionamiento muy sencillo, en esta primera version, y para hacerlo funcionar necesitas solo un fichero con una buena cantidad de palabras comunes. Ese diccionario se irá sustituyendo en todas las peticiones, en la posición de la FOCA.

Figura 1: Configuración del fuzzer

En los resultados se obtienen aquellas respuestas que han devuelto un determinado código de servidor y de un tamaño distinto en palabras, lineas o tamaño, a las que se han configurado para ser ocultadas.

Figura 2: Respuestas positivas, y envío al proyecto de FOCA

Seleccionando esas URLs, se pueden meter en el proyecto principal de la FOCA. Puedes descargarlo desde la página web de la FOCA. Esperamos que os sea útil.

El API 0.1 de para plugins de FOCA

Figura 3: Plugin de ejemplo en FOCA

Además, si quieres desarrollar tus propios plugins de FOCA, puedes descargarte el manual sobre el API de la FOCA que se ha creado inicialmente y el código fuente de un plugin de ejemplo, para que extiendas la funcionalidad de tu FOCA.

Saludos Malignos!

SoapUI: Auditar Seguridad Webservices (WSDL & WADL)

noreply@blogger.com (Maligno) — Wed, 16 May 2012 01:00:00 +0000

SoapUI es una herramienta Open Source con soporte para Windows y Mac OS X pensada para testear el funcionamiento de WebServices. De manera sencilla carga todos los interfaces de los ficheros WSDL o WADL y permite que se puedan lanzar tests de funcionalidad, test de carga o test de seguridad automatizados para evaluar el comportamiento de los mismos.

Desde el punto de vista de una auditoría de seguridad web, hace muy sencillo cargar el interfaz completo de un sitio y empezar a realizar las pruebas al uso, ya que con sólo crear un proyecto con el fichero de interfaz, ya tenemos todo lo listo para empezar a probar.

Figura 1: Creación de un proyecto con SoapUI

Por ejemplo, la Nasa tiene muchos de los ficheros de descripción de interfaz publicados en Google, y con crear un nuevo proyecto ya están listas todas las peticiones, para que solo sea necesario sustituir los valores marcados con un signo de interrogación.

Figura 2: Uno de los interfaces de la Nasa cargados con SoapUI

La herramienta permite muchas opciones, y hay un manual de buena calidad publicado en Español, que puedes utilizar para sacarle el máximo provecho, pero desde el punto de vista de un auditor, lo más cómodo es tener las peticiones, y enchufarlas a través de un proxy a tu herramienta de auditoría manual preferida, como Zap o Burp.

Figura 3: Opción de Proxy en SoapUI

Una vez grabadas las peticiones, ya podrás lanzar tus tests de hacking preferidos, o hacerles fuzzing, pero si lo prefieres, puedes hacer también los tests desde la propia herramienta, tal y como si lo hicieras directamente desde el propio navegador.

Figura 4: Testing manual desde SoapUI

Hay que tener en cuenta que los ficheros de interfaz de WebServices pueden dar acceso a procedimientos que no están en uso en las aplicaciones web, por lo que un proceso de crawling de la web no sacaría todos, por ello, lo mejor es cargar todos los interfaces y probarlos uno a uno.

Saludos Malignos!

DEF CON me gusta mogollÓN

noreply@blogger.com (Maligno) — Tue, 15 May 2012 00:23:00 +0000

La primera vez que fui a Defcon era la edición número 16, y llegué muerto de miedo. Estuve semanas enteras preparando la charla sobre Time-Based Blind SQL Injection & Marathon Tool, porque el lugar me daba todo el respeto que merece dicho evento.... y me lo pasé genial, y estuve arropado por un montón de amigos.

Al año siguiente en la Defcon 17 fui con mi amigo Palako, a hablar de Tactical Fingerprintng using Metadata, Hidden Info and Lost data, y a sacar a pasear la FOCA, en una charla que creo nos quedó como nunca. Recuerdo que no salí tan satisfecho de una charla nunca. Trabajar con Palako en aquella charla fue una pasada, y creo que en su memoria también estará ese buen recuerdo. En la mía, nunca se borrará el incidente por el que casi acabo en la cárcel.

En Defcon 18 repetí con Palako, después de haber pasado por la Yahoo! Security Week y volvimos a hablar de FOCA en este caso la versión 2 "The FOCA Strikes Back", donde fue genial ver que teníamos a la gente del año pasado y se acordaban de los chistes del anterior. A día de hoy, cuando Moxie Marlinspike me encuentra por cualquier conferencia del mundo, le oigo decir eso de "FOCA is working, FOCA is working...".

Este año, también nos animamos a impartir otra charla, en este caso la de Connection String Attacks, donde hablamos de Connection String Parameter Pollution y sacamos a pasear el CSSP Scanner. Creo que también nos quedó chula, aunque el comentario del final casi me cuesta un disgusto...

En Defcon 19, el año que ganamos el triplete [Eurocopa, Copa del Mundo y HackCup], primero hablé sobre DUST: Your RSS Feed Belongs to you, en un sitio donde no tenía todas conmigo de que el tono de la charla fuera a ser entendido.

Después, en esa misma edición de Defcon, acompañado por Juan Garrido "Silverhack", hablamos sobre Bosses Love Excel, Hackers Too, en una charla en la que Juan y yo trabajamos lo indecible. Puede que parezca que todo es muy sencillo, pero entender todas las políticas, las versiones, y afinar las demos nos llevó al trianero y a mí horas y horas y horas de trabajo, pero el resultado fue muy satisfactorio, y he de reconocer que después de ya varias charlas en Defcon, me sentí muy cómodo en el escenario en todo momento, aunque me pasé todo el tiempo trabajando.

Ahora, la charla de Owning Bad Guys {and mafia} with JavaScript Botnets que dimos en la Rooted ha sido seleccionada para la Defcon 20 (parece que ya es costumbre eso de presentar primero en RootedCON lo que luego haremos en Defcon), y la verdad es que estamos muy contentos. Creo que el espíritu de esa charla encaja mucho con el espíritu de Defcon [version No Lusers]

Y claro, ya que vamos... habrá que volver a ganar la HackCUP, ¿no? ¿Quién se viene a la Defcon este año? ¿Quién quiere jugar en el FOCA Team? Amigos argentinos: Nico, Fran, Fede, Mariano, Eze, Hernán, Claudio, y compañía ... Fear the FOCA!

Saludos Malignos!

RootDSE: SupportedSASLMechanisms

noreply@blogger.com (Maligno) — Mon, 14 May 2012 00:01:00 +0000

Uno de los temas que se tocan en el libro de Ataques en Redes de Datos IPv4 e IPv6 es la de realizar un man in the middle a una conexión LDAP, y robar las credenciales del usuario en el proceso de Binding. Para ello, como está publicado en el artículo de Ataques LDAP, es fundamental conocer qué protocolos de autenticación y qué medidas de seguridad exiten durante el proceso de un autenticación con credenciales.

Es por ello que si quieres hacer un ataque man in the middle a un árbol LDAP se debe conocer esa información. Para ello, si el árbol LDAP permite la conexión anónima, como en el caso de la Nasa o Debian, se puede echar un vistazo al elemento RootDSE, en lugar de conectarse a cualquier otro nodo del árbol.

Figura 1: Conexión a RootDSE en Debian

En el nodo RootDSE se encuentran los protocolos de autenticación SASL y los protocolos de cifrado soportados. Para verlos, hay que configurar en la herramienta de conexión que se esté utilizando que se visualicen todos los atributos, incluidos los que se crean por mantenimiento y operación.

Figura 2: Para ver todos los atributos del árbol

Así, por ejemplo, los protocolos que soporta el árbol LDAP de Debian se pueden ver en los atributos supportedSASLMechanisms son los siguientes:

Figura 3: Protocolos de autenticación soportados en el árbol Debian

Por lo que hay que extremar la complejidad de las contraseñas que se usan y las redes utilizadas en la conexión, ya que para ellos existen técnicas para hacer un ataque man in the middle con éxito. En el caso de la Nasa, la información que se puede obtener es la siguiente.

Figura 4: Protocolos de autenticación soportados en el árbol de la Nasa

Y en cuanto a los protocolos de cifrado se pueden ver en supportedSSLCiphers, se soportan tanto robustos, como no robustos, lo que no sería lo recomendable en una instalación fortificada.

Figura 5: Sistemas de cifrado soportados en el árbol LDAP de la Nasa

Analizando la información en servidores LDAP que permiten conexiones anónimas se pueden encontrar algunos árboles con protocolos de autenticación inseguras, como GSSAPI y SIMPLE, que permiten, negociar en determinados entornos el envío de la contraseña en texto plano.

Figura 6: Un árbol LDAP basado en Novell

Esto es permitido, por ejemplo, en los servidores Windows Server 2003 con Active Directory, ya que permiten por medio de GSSAPI negociar la autenticación SIMPLE.

Figura 7: Password de conexión LDAP enviada en texto plano

Esto hace que, como se ve en el libro de Ataques en redes de datos, la password sea capturada en texto plano en cualquier conexión de una aplicación LDAP que pase por la red atacada.

Saludos Malignos!

No Lusers 131: Broken UP

noreply@blogger.com (Maligno) — Sun, 13 May 2012 05:30:00 +0000

Saludos Malignos!

Debian y su árbol LDAP: ¿Más chulos que un ocho?

noreply@blogger.com (Maligno) — Sat, 12 May 2012 05:30:00 +0000

Estaba yo pasando el rato analizando las configuraciones de algunos árboles LDAP para ver cómo analizar su robustez frente a un ataque de man in the middle, cuando me topé con uno de ellos que me sorprendió. Resulta que si te descargas la versión LDAP Browser de Softerra, y la instalas de forma completa, se agregan una serie de perfiles por defecto de servidores LDAP públicos en Internet. Y mi sorpresa fue encontrar entre ellos a Debian.

Figura 1: árbol LDAP de Debian entre los servidores públicos

Por supuesto, la curiosidad y el anhelo de volver a mi amigo Luciano Bello - además de comprobar si esto es un honney pot o no - me hizo buscarle entre los cientos y cientos de usuarios del sistema, para encontrarle allí.

Figura 2: La entrada de Luciano Bello en el árbol LDAP de Debian

Lo siguiente que me vino a la mente fue:

"Joder que chulos estos de Debian, ahí, con dos huevos publicando la lista de usuarios, la lista de todos los correos electrónicos, qué usuarios son los administradores, qué servidores tienen, qué versiones de software tienen instalado con la configuración de seguridad de sus servidor LDAP y todo. ¡Qué no se diga que no son Open, leñe!"

Figura 3: Información de todos los hosts de Debian

Claro que a mí, por deformación profesional, esto me parece algo erróneo en cualquier caso. más cuando Debian ya sufrió ataque graves y elaborados de seguridad en el pasado, como el Owned de Gluck. No entiendo por qué debe tener acceso anónimo habilitado y regalar los datos de todos los miembros, por pequeños que sean los datos. Pero... tal vez esté yo equivocado y no haya que preocuparse tanto de esto.

¿Y tú que opinas? Desde luego, tengo claro que ya no le voy a lanzar la FOCA... ¿Para qué? si ya es pública toda la red de la organización. No tiene gracia.

Saludos Malignos!

Auditar la seguridad de SharePoint

noreply@blogger.com (Maligno) — Fri, 11 May 2012 05:10:00 +0000

Hoy que tenía un poco de tiempo, y mi maligno hermano me había pedido que revisara la seguridad de un SharePoint 2010 para una auditoría de seguridad, he estado revisando el informe de seguridad que fue presentado en la Hackcon 2011 y emitido por la consultora de servicios de seguridad Stach & Liu para la ISSA (Information System Security Associations), donde se recogen las principales preocupaciones respecto de la seguridad en tecnologías SharePoint, que os paso a describir:

1º- Conocer la superficie de exposición de SharePoint

Este punto es crucial. Saber que tienes un servidor de SharePoint de cara al exterior sin ser consciente de cuales son los puntos de exposición del mismo y así poder forticarlos es algo prioritario. Las principales amenazas en este apartado vienen principalmente por las búsquedas Google Hacking preguntando por rutas y páginas administrativas del portal - como por ejemplo: inurl:”/_catalogs/wt/” -, aunque lo más recomendable es utilizar herramientas automatizadas.

Dentro de estas herramientas hay que destacar la utilidad gratuíta Search Diggity, ofrecida por la citada consultora, que implementa lo que ha dado en denominar SharePoint Google Regext 109 Querys, o lo que es lo mismo 109 expresiones regulares a consultar en tecnologías SharePoint por rutas y archivos administrativos porporcionados por un diccionario de datos especialmente creado para SharePoint (SharePoint Google Dictionary), que se carga desde el menú File=>Import Query Definition.

Figura 1: Search Diggity con módulo de SharePoint Google Hacks

2º- Ataques de fuerza bruta a URL’s de SharePoint

Consistente en la comprobación por fuerza bruta de los principales puntos de autenticación de SharePoint en busca de acceso. Stach & Liu proporciona otra herramienta para tal fin, denominada SharePointURLBrute, desarrollada en Perl, con un modulo ejecutable para Windows. Esta herramienta utiliza 89 extensiones conocidas para probar los ataques de fuerza bruta, a través del archivo proporcionado por la herramienta como diccionario de entrada (SharePoint-UrlExtensions-18Mar2012).

Figura 2: Ejecución de SharePointURLBrute sobre sitio de SharePoint 2010

3º- Escaner de vulnerabilidades para aplicaciones administrativas

En este apartado, se puede utilizar escáneres de vulnerabilidades y puertos tipo nmap para la búsqueda de cualquier aplicación administrativa que funcione sobre SharePoint, tales como la Consola de Administración Central de SharePoint, Proveedores de Servicios Compartidos (2007), etc...

Esto es algo que Juan Garrido y Chema Alonso ya explicaban muy bien en la parte de auditoría y pentesting de SharePoint en el libro que escribimos los tres dedicado a SharePoint 2010: Seguridad.

4º- Control de Prevención de fuga de información (Data Loss Prevention)

Aquí se hace crucial controlar la fuga de información sensible de nuestros servidores web SharePoint, con herramientas como MetaShield Protector. Ademas, recurriendo a técnicas de Google Hacking mencionadas anteriormente, podemos encontrar información de cuentas de usuario, correos, puestos de trabajo.

Hay que tener especial cuidado sobre todo en aquellas implantaciones de SharePoint que tengan muy socializada la red con la aplicación de servicio de perfiles de usuario en funcionamiento, ya que se pueden realizar búsquedas a la pagina /_layouts/UserDisp.aspx (inurl:”/_layouts/userdisp.aspx”), para identificar información de los citados perfiles.

Figura 3: Localización de perfil de usuario de cara al exterior

5º-Usuarios con privilegios de acceso excesivos

Este es uno de los mayores retos de los administradores de SharePoint. Grupos de usuario de SharePoint existentes, niveles de permisos y usuarios/grupos/listas de distribución de Windows conviviendo en una laberíntica implementación de sitios y subsitios con una jerarquía de seguridad heredada (¿o no?), hacen que se pierda control sobre los privilegios de acceso de los usuarios de una organización y más dificil de controlar la seguridad a establecer.

Estos privilegios de acceso pueden estar establecidos sin control alguno sobre determinados servicios web disponibles en SharePoint, tales como Admin.asmx o Permissions.asmx. Búsquedas mediante Google Hacking a ubicaciones “/vti_bin/” y “/vti_adm/” facilitan la localización de sitios de SharePoint con servicios web publicados de cara al exterior y posibilitan un posible acceso de usuarios con privilegios de acceso excesivos.

Figura 4: Informes de seguridad generados por Sushi

En este apartado, podéis utilizar aplicación gratuita llamada Sushi disponible en Codeplex, que, entre otras cosas, nos va a permitir realizar informes de seguridad para identificar en todos los sitios y listas usuarios con acceso y con qué tipo de acceso.

6º- Soluciones desarrolladas por 3ªs personas

Otro riesgo importante para la seguridad, en cuanto a estabilidad y disponibilidad se refiere es la cantidad de soluciones de desarrollo que admiten las tecnologías SharePoint, y que pueden provocar, si no estan programadas correctamente, la inestabilidad en el servidor. Características (features.xml), soluciones personalizadas (*.wsp), elementos web (*.dwp), flujos de trabajo, etcétera, son algunas de los componentes de desarrollo que se pueden incluir en SharePoint y que afectarán en mayor o menor medida al servidor.

El implementar a la ligera cualquier tipo de desarrollo externo, luego puede traducirse en características o webparts perdidas a la hora de migrar - al no haber compatibilidad de versiones, como pasó con las famosas 40 plantillas de aplicación en su momento -, como puede ser en migraciones de base de datos adjunta.

SharePoint 2010 ha avanzado algo en este sentido, al incluir el desarrollo de soluciones Sandbox, las cuales permiten la ejecución de forma segura de componentes de desarrollo sin penalizar un cierto despliegue de SharePoint en el caso de que no se hayan seguido las buenas prácticas a la hora de desarrollar dichos componentes, minimizando así el riesgo de plugins de terceros.

Figura 5: Despliegue de soluciones sandboxed

7º- Múltiples formas de realizar copias de seguridad

La conclusión del informe de la consultora Stach & Liu acaba indicando lo terrible que puede llegar a ser realizar copia de seguridad sobre entornos SharePoint, al disponer de multiples formas y métodos y a diferente nivel para la realización del mismo, listando algunas de las formas disponibles que son:

- Desde Windows Server 2003/2008/R2
- Utilidad Stsadm con comandos de Backup
- Copias de seguridad desde SharePoint Central Administration
- Copias de seguridad desde SharePoint Designer
- Copias de seguridad de plantillas de sitio y listas
- Copias de seguridad de bases de datos de SQL Server

Yo personalmente no veo esto un problema si conoces el funcionamiento de cada una de las herramientas disponibles, no siendo excluyentes la utilización de varias a conveniencia, como sería lógico, pero para eso se requiere un conocimiento profundo de qué contiene cada elemento, ya sea una base de datos o una plantilla de sitio.

Un saludo a todos.

Autor: Rubén Alonso
Blog: Punto Compartido
Autor del libro SharePoint 2010: Seguridad

Los payasos no computan

noreply@blogger.com (Maligno) — Thu, 10 May 2012 05:30:00 +0000

Cuando hice el dibujo de No Lusers dedicado a Clown Computing, suponía que nadie podría equivocarse en esos términos. Sin embargo, me ha hecho mucha gracia cómo Google asume que sí. Si buscáis por Clown o por Computing, cada término por separado en una búsqueda, los resultados que se obtienen son muchísimos.

Sin embargo, cuando se busca por Clown Computing, lo que aparecen son anuncios de Cloud Computing. WTF?

¿Es que los payasos no computan? Si lo hacen, desde luego no es con computación payasa, por lo que si algún día se buscan una metodología ¡qué se busquen otro nombre!

Saludos Malignos!

Gira Up To Secure 2012 Online

noreply@blogger.com (Maligno) — Wed, 09 May 2012 05:10:00 +0000

Durante el primer trimestre del año realizamos la Gira Up To Secure 2012, en la que participamos una buen número de empresas, y donde visitamos 10 ciudades españolas. El material de las charlas está ya disponible online, y aquí os lo traigo, por si queréis ver las diferentes presentaciones:

Lo que será windows 8

Soluciones de seguridad empresarial desde la nube. Nuevos retos: protección de terminales móviles

Análisis forense & security smartphones

Firma digital y biométrica en smartphones y tablets

D-Link technologies

Un paseo por la seguridad de las comunicaciones móviles (2G/3G) de voz y datos

Seguridad, mantenimiento y gestión de parches de seguridad en la nube

Saludos Malignos!

Dopado hasta el gorro

noreply@blogger.com (Maligno) — Tue, 08 May 2012 06:31:00 +0000

Me suelo entusiasmar con las tareas que hago y disfruto haciendo multitud de cosas diferentes. Eso hace que al final los límites los tenga que poner mi cuerpo - que de vez en cuando me recuerda que no soy RoboCop - y el tiempo, que hace que el día me eche la manta de la noche antes de tiempo cuando aún no he terminado de hacer lo que quería haber hecho ese día.

Como conozco de esos límites he desarrollado una actitud ante las cosas que hago nada perezosa o vaga, así que si tengo que hacer algo, lo hago y punto. No escucho al diablo ese que nos muestra el camino del sofá, la cerveza y la televisión cuando empieza a pesar el ritmo de combate de la jornada.

Pero con todo y eso, hace tiempo que alcancé los límites de lo que puedo hacer en un día, y ha hecho que siempre se me quede algo en el tintero. Proyectos con Informática64, que cada día es más grande y hace más cosas - gracias por ello queridos clientes - a Wayra y las Becas Talentum que es un proyecto que me tiene enganchado por la posibilidad de trabajar con estudiantes universitarios haciendo tecnología, mis charlas en las conferencias - algo que adoro hacer -, dibujar, escribir en los blogs, enredar con el hacking, mis clases en la UEM, o el más reciente proyecto de traer de vuelta a Cálico Electrónico, son aveces demasiadas actividades para un día, por lo que procuro ser muy estricto en qué dedico mi tiempo y cómo lo reparto.

Tengo rutinas que sigo desde hace años y cumplo con disciplina militar para mantener el ritmo, lo que me ha llevado a interiorizar muchos hábitos que me ayudan a agilizar mi trabajo y maximizar el tiempo que invierto en ello. No hay truco, sólo práctica.

Pero hay algo que no todo el mundo sabe, y es que, como especulaban algunos vecinos trans-pirenaicos, me dopo. Hago uso de sustancias estimulantes que me ayudan a maximizar el rendimiento de mi tiempo, y cuando hago uso de uno de ellos, parece que voy más rápido con todo. Son los mensajes de apoyo.

Cuando me llega un correo electrónico de alguien que me dice que le encanta lo que hago, que le he inspirado en sus estudios o en su vida laboral, que disfruta con mis charlas, o que es una adicto a mi blog, que quiere mi cuerpo... - bueno de estos aún no llegan, pero estoy en ello - o que es fan mío, me siento flotar.

Me estimulan a hacer más y más cosas, y las guardo con mucho cariño. Algunas han logrado emocionarme, algunas me han hecho reír mucho, y otras me han tocado en lo más profundo por lo sentido de los sentimientos que transmiten. Otras me han encantado, por el trabajo que hay detrás de los dibujos, las caricaturas, los montajes fotográficos, los posts en los artículos, los iconos, comics, etcétera, en los que puedo imaginar todo el tiempo que se ha invertido.

Caricatura enviada por JabyReART

A veces he tenido la ocasión de veros en persona, de poder haber pasado un poco de tiempo con vosotros tomando un café, una cerveza o discutiendo un rato, y me siento genial. Otros sois ya parte de mis amigos, y disfruto de mantener una relación más personal, e irnos a comer, tomar algo, estar de visita en vuestros hogares o llamarnos por teléfono con cierta regularidad.

Sin embargo, cuando el volumen de trabajo no me permite mostrar con detalle todo el agradecimiento que me gustaría en la contestación, me queda una desazón interna. Me gustaría transmitir en la respuesta que me ha encantado el correo electrónico, el dibujo, el comic, o las palabras en persona, que es impresionante que compañeros de profesión me digan esas cosas, y de una manera tan personal y directa, que tanto me llega.

Como a veces se me pasan los twitts, los mensajes que me llegan por Facebook, e-mail o los comentarios en el blog sin tiempo para contestarlos, valga este post para agradeceros a todos que me mantengáis dopado con vuestras muestras de afecto y cariño, y contestaros públicamente con el gracias más maligno de mi corazón. Gracias.

Saludos Malignos!

Estela Encobrada

noreply@blogger.com (Maligno) — Mon, 07 May 2012 06:00:00 +0000

Como estaba anunciado, aquí tienes el nuevo capítulo. Ponlo a pantalla completa y disfrútalos en HD a ful.

Llego el día 7 de Mayo, a las 00:00 horas, se publicó el Primer Capítulo de la IV Temporada de Cálico Electrónico, que llevó por título: Estela Encobrada... y me sentí feliz. Por fin, después de tan largo camino podía volver a ver un nuevo episodio del Superjirou Aspañol más grande del universo... - en todos los sentidos -. Nikotxan lo había hecho otra vez, y teníamos a Cálico tan "mejor" como siempre, con un capítulo con toda la huella del héroe.

No ha sido nada más que el comienzo, y esperamos que podamos seguir muchos más años con él, pero sabemos que queda mucho por hacer, y más en estos momentos tan complicados económicamente. Quiero hacer notar que desde ESET España, y desde Ontinet, nos ayudaron con un sponsor de toda la temporada apostando por Cálico Electrónico desde el minuto 1. Sin ellos no hubiera sido posible y quiero darles las gracias otra vez.

Y por supuesto sin los aficionados a Cálico Eletrónico nada tendría sentido, así que se ha querido estar cerca de todo ellos, por lo que se ha creado un Canal en Youtube con los vídeos clásicos en HD, una página en Tuenti, una página en Facebook, página en Google + y un Canal en Twitter, para que sigas y contactes con el gordito desde dónde más te guste.

Además, si quieres colaborar con Cálico Electrónico puedes comprar algo de merchandising en la Tienda Oficial Cálico, sponsorizar la serie o algún capítulo o enviarnos al correo del fan lo que más te guste - toda la info en la web oficial de Cálico Electrónico -. Por supuesto, a todos los que nos habéis ayudado con la difusión vía blogs o redes sociales, también os queremos dar las gracias, que hay mucha gente que aún no se lo creía....

Saludos Malignos!

Amenazas en Internet en 2011: 403 Millones de malware

noreply@blogger.com (Maligno) — Sun, 06 May 2012 07:55:00 +0000

Symantec ha publicado el Internet Security Threat Report 17, con el resumen de lo que ellos han visto relativo a la seguridad informática durante el año 2011. Este informe es muy similar a los Security Intelligence Report que realiza Microsoft, y siempre arrojan datos curiosos. El documento, que puede ser descargado desde este enlacen en su versión resumida [ISTR 17], trae algunos datos que llaman la atención, y otros que son ya bastante conocidos y asumidos.

Por supuesto, en primer lugar hay que recordar lo que ya sabemos y no hay que olvidar, pero que recalcan en el informe como que el spam farmaceutico sigue siendo el campeón, como que el malware sigue creciendo, que los Mac OS X están en la línea de fuego, que los dispositivos móviles son objetivo atacado ya, que en las infraestructuras críticas se han descubierto vulnerabilidades críticas, o que el número de bugs descubiertos, bajó un poco, pero sigue siendo muy alto.

Figura 1: Número de bugs por año

Por supuesto, la industria del malware y el fraude online sigue siendo el gran motor de esta industria, y el número de copias únicas de malware se ha disparado, pasando según el informe de 286 Millones de variantes de malware en 2010 a 403 Millones de copias únicas de malware, lo que no es moco de pavo. Estas copias, casi todas, se distribuyen vía infecciones de sitios web, utilizando kits de explotación, tipo Black Hole - que a día de hoy es el preferido de tu amigo el criminal - y se crean usando herramientas automatizadas, para al final conseguir infectar a las víctimas a través de sitios web infectados.

Curiosamente, los sitios más peligrosos no son los pornográficos, como muchos podrían pensar por una antigua creencia, sino que los blogs y webs personales son lo más vulnerado. Recordad que en los ataques automatizados de sitios web, se pueden llevar por delante hasta webs de renombre, como la de la propia Apple.

Figura 2: Sitios más peligrosos para navegar por ellos

Como reflexión curiosa, y extraída del propio informe: Los sitios religiosos o ideológicos son el triple de peligrosos que los sitios pornográficos, algo que seguro que alguno saca una sonrisa por lo irónico de la metáfora.

Figura 3: Religión, Porno y Malware

Como último punto a destacar del informe, antes de que os pongáis con su lectura, os dejo esta cuenta de vulnerabilidades por navegadores en 2011, en la que se puede ver cuál ha sido el que más fallos de seguridad ha tenido durante el año pasado, y que como queda claro fue: Apple Safari.

Figura 4: Vulnerabilidades en 2010 y 2011

Detrás de Apple Safari quedaron Mozilla Firefox y Google Chrome, dejando a Internet Explorer en la cuarta posición en número de bugs.

Saludos Malignos!

Ejecutar código remoto en Apache con PHP en modo CGI

noreply@blogger.com (Maligno) — Sat, 05 May 2012 06:50:00 +0000

El pasado 3 de Mayo ha salido a luz un serio bug, identificado con el CVE-2012-1823, que afecta a todas las instalaciones de PHP en modo CGI, que permite llamar directamente desde el la URL a los parámetros del motor PHP, lo que provoca que se pueda ejecutar código remoto en cualquier servidor con una instalación vulnerable.

Figura 1: Parámetros de llamada del motor PHP

Con estos parámetros se pueden hacer cosas bastante curiosas, como se puede ver en la ayuda del motor PHP, entre los que tenemos -s, que deja ver el código fuente del código a ejecutarse. Esto permite que con un sencillo -s en la URL el servidor web muestre el todo el código del sitio PHP que estamos visitando, y poder acceder a toda la información de configuración que allí se encuentre.

Figura 2: Código PHP mostrado desde la llamada de la URL

Por supuesto, con el modificador -d es posible incidir en los parámetros de ejecución del motor PHP, pudiendo escribir nuestro propio código en el servidor, por ejemplo, para obtener un phpinfo que nos de todas las variables del servidor.

Figura 3: info.php obtenido por medio de una llamada al motor PHP con -d

Y si se desea ejecutar una webshell, se puede modificar la configuración directamente desde la URL para insertar la webshell remotamente, en este ejemplo una C99.

Figura 4: Introduciendo una C99 por medio de una llamada al motor PHP

PHP ha publicado un parche de urgencia, pero tiene una vulnerabilidad que hace fácil saltárselo, y se ha abierto un nuevo expediente CVE-2012-2311 para seguirlo. Pero la historia del bug es aún más curiosa. El estándar CGI permite que se envíen desde el query string argumentos al ejecutable que se encargue de la ejecución, y Apache lo implementa. En el año 2004 se supo de los problemas que esto podría acarrear en entornos PHP y la documentación dice que PHP, cuando se ejecute en modo CGI ignorará esos argumentos... pero en algún momento de aquel 2004 alguien quitó el código de protección.

En el CTF de la NullCON se utilizaron los servidores de DreamHost para el llevar la puntuación, y al final se encontró el bug para conseguir ejecución de código y ownear el servidor. Ahora Internet está revuelto. Tienes toda la historia de este ya famoso bug en el post de publicación del fallo.

Ya está implementado el ataque en Metasploit, y por supuesto, nosotros estamos metiendo esta comprobación a la FOCA, por lo que los que tengáis la versión PRO en breve tendréis ya en la nueva actualización esta búsqueda, junto con alguna sorpresa más.

Saludos Malignos!

All input is evil...

noreply@blogger.com (Maligno) — Fri, 04 May 2012 05:43:00 +0000

Durante el mes de Marzo participé en el Developers Day de Wayra, dando una charla en streaming a desarrolladores sobre lo problemas de no tener buenas prácticas de desarrollo. La llamé "All input is evil". Es una charla de 40 minutos de duración que se impartió online, y que ahora han subido al canal de Agora News para que la pueda ver todo el mundo. Aquí os la dejo.

Saludos Malignos!

De Móstoles a Bogotá: FTSAI e IT Mega Conference

noreply@blogger.com (Maligno) — Thu, 03 May 2012 05:31:00 +0000

Con la llegada de Mayo ya toca pensar en los siguientes encuentros que me esperan, y volver a hacer la maleta. Sin embargo, antes de irme de viaje, estaré en el módulo de Auditoría de aplicaciones Web en el FTSAI, que comienza el próximo 4 de Mayo, donde impartiré una clase de 5 horas a mis alumnos sobre el libro de Hacking de Aplicaciones Web: SQL Injection, que les entregaré como documentación, junto con el de Sharepoint 2010: Seguridad a todos los que están apuntados - creo que aún queda una plaza, así que podrías apuntarte si quieres -.

Además, como viajo a finales de semana, también intentaré participar en los primeros días del Curso de Iniciación al Pentesting que daremos en Informática64 del 7 al 11 de Mayo.

Después, a la semana siguiente estaré en Bogotá, participando en IT Mega Conference, un congreso que tiene una pinta espectacular, y en el que estaré junto con un montón de amigos y colegas de profesión donde además estará mi amigo Cristian Borghello, MVP de Microsoft en Argentina, y responsable de Segu-Info.

El encuentro tendrá lugar los días 10, 11 y 12 de Mayo, y yo daré dos charlas y un taller de 8 horas sobre Ataques en redes de datos IPv4 e IPv6. Si te pilla bien ya puedes apuntarte, que yo ya estoy haciendo las maletas.

Saludos Malignos!

El Fraude Online tiene un Modelo de Negocio Sostenible

noreply@blogger.com (Maligno) — Wed, 02 May 2012 07:27:00 +0000

Hace poco tras una conferencia me hicieron una pregunta que a mí también me asaltó en el pasado, cuando aún era menos consciente de cómo funcionan las cosas en las empresas:

"¿Por qué muchas empresas no arreglan los fallos de seguridad?"

Al principio me asaltó un poco del sentido común pasado en el que compartía esa confusión inexplicable con el inquisitor, y que me llevaba a no comprender cómo un SQLi podía perdurar 2 años en una web de la ONU sin solucionar, pero lo cierto es que tras años de ver muchas empresas, de hablar con muchos CEO, CIO, CSOs, - y de verlos rotar en las empresas - la respuesta a esa pregunta me salió fluida, desde el interior, con una tranquilidad que incluso a mí me sorprendió:

"Porque es lo más rentable."

Aunque pueda sonar extraño a priori, los especialistas en SGSI y los directivos saben que, las empresas como ente, premian a los individuos más rentables de la organización, y si alguien es un problema para obtener esa rentabilidad, la organización lo fagocitará para escupirlo a posteriori fuera de su estructura. Y si no sólo hay que ver la salida de Steve Jobs de Apple en 1985.

Rentabilidad económica es la base del sistema capitalista, éste que hemos montado, y es la que hace que sólo los modelos sostenibles sobre esa premisa perduren - con raras excepciones empujadas con el esfuerzo de individuos o pequeños colectivos; no crean que caí en la desesperanza -. Y por supuesto, en todas las facetas de la seguridad informática, a una escala macroeconómica, acaba por ser la Piedra Rosetta de todo hecho.

En el mundo del malware, lejos han quedado los esquemas en los que se creaba por notoriedad o ego como Elk Cloner, por mero arte conceptual como LoseLose o por simple diversión maligna, aglutinando hoy en día porcentajes de mercado dentro de este negocio inferiores a nada. No son modelos sostenibles, no son rentables económicamente, no son perdurables en esta sociedad.

Por otro lado, esquemas como el del robo de dinero de cuentas bancarias tiene tal éxito, que con el número de ofertas de muleros que se emiten diariamente por medio de campañas de Spam se podría acabar con el paro de mundial... y hasta con el de España. Las mafias hacen su dinero y campan en tiendas online, como iTunes o Amazon, donde los robos van desde lo más profesional a lo más amateur, comprando sus propios discos con tarjetas robadas.

En el mundo del malware, botnets como la de los elegantes Mac OS X infectados con FlashBlack Trojan arrojan cálculos en los que se estima que han podido haber generado hasta 10.000 USD diarios sólo con el robo de clics en la publicidad en Internet. Tras una campaña de más de seis meses, la cantidad de dinero que se puede generar justifica la rentabilidad económica de otras especialidades. Es un negocio en auge.

Con la cantidad de dinero que genera el malware, aparecen los trabajos especializados como la de los creadores de kits de exploits profesionales, al estilo de Black Hole o Eleonore II, el hackeo de miles y miles de servidores con WordPress - siento poner a este de ejemplo por haber sido el último masacrado - o páginas webs con vulnerabilidades SQLi que llevan a grandes empresas como la propia Apple y webs legítimas a ser parte cómplice en la distribución del malware.

También justifican la creación de un modelo de partners, en el cual los miembros cobran dinero por cada instalación que se realiza el malware, ya sea un rogue AV, un bot al uso o un simple crapware o adware que se encargue de generar dinero con publicidad, robo de clics o venta de placebos ilusorios en forma de falsas vacunas para virus inexistentes.

Es un negocio rentable, y crea un modelo sostenible en esta sociedad capitalista, que lleva años instaurado en el mundo de Windows, y desde hace poco en otros jardines de flores, como en Mac OS X o Android, pero que mientras genere dinero, los entes llamados empresas - ya sean legítimas o criminales - seguirán premiando a los individuos que más las hagan conseguir su objetivo de lucro.

Saludos Malignos!

PD: De todo esto y mucho más, con mucho más detalles técnicos, organizativos y ejemplos reales, Mikel Gastesi y Daniel Creus, expertos en e-crime, hablan en su libro Fraude Online: Abierto 24 horas.

El primer minuto de la cuarta

noreply@blogger.com (Maligno) — Tue, 01 May 2012 05:33:00 +0000

Ya queda menos para que podamos ver el Primer capítulo de la IV Temporada de Cálico Electrónico, pero desde ayer por la tarde puedes disfrutar del primer minuto del primer capítulo del nueva temporada.

Además, tanto en la página oficial de Cálico Electrónico en Tuenti, como en el Canal Oficial de Cálico Electrónico en Youtube, puedes ver los 18 capítulos que componen las tres temporadas clásicas en formato HD. Lo sabrás porque arriba pone HD a ful.

Para los que nunca hayáis visto antes los capítulos de Cálico Electrónico, dejadme que os seleccione mis tres favoritos:

- T1 - Cap 5: Una historia de Amor [Esa ladrona que me ha "robao el corasón"]

- T2 - Cap 2: El Fin de Cálico (Parte II) [Cálico Lúbrico y el Retorno de Cálico]

- T3 - Cap 3: Los Pelusos Carambanales [Una dedicatoria a los Argentinos]

El 7 de Mayo será el estreno oficial del nuevo capítulo, mientras tanto puedes comprar tu camiseta de Cálico en la tienda oficial.

Saludos Malignos!

¿Realidad o Especulación?

noreply@blogger.com (Maligno) — Mon, 30 Apr 2012 05:25:00 +0000

Se supone que en el mundo hay miles de millones de personas, personas pertenecientes a distintos países en los que se habla de la “situación actual” por la que atraviesa cada uno de éstos; se habla de la población, la economía, la inseguridad, avances tecnológicos, educación, etc… Lo cierto es que en cada uno de los países no se habla de la situación actual real en la que se encuentran, y la mayoría de nosotros vivimos pensando que lo que el gobierno o personas importantes exponen es la verdad, hasta que alguien se interesa por investigar más allá de lo que se dice y verlo por sí mismo, o hasta que ocurre un desastre y se nos informa de que lo que creíamos no era cierto y las cosas eran mucho más graves, entonces descubrimos que en realidad existen muchas irregularidades en todos esos informes y estadísticas.

Explicaré lo anterior de una forma más comprensible: Somos parte de una red de redes, WAN, MAN y LAN (si lo quieren ver así). En cada una de éstas la mayoría de los usuarios ven sólo datos superficiales, datos generales que se observan fácilmente en cualquier host, hasta que alguno de nosotros se interesa por conocer datos más específicos y reales en las redes, equipos o archivos, y utilizamos un potente antivirus, algún extractor de datos (Obviamente sabemos que los mejores para esto son FOCA y Forensic FOCA) o algún otro programa, el necesario para hacer lo que queramos; entonces descubrimos muchos aspectos y datos que no se ven a simple vista; una vez que sabemos en qué situación se encuentra nuestra red, equipo, etc.. Procedemos a utilizar la información obtenida o realizar acciones para modificar y posiblemente mejorar la situación.

Entonces, retomando el tema de lo que se habla en cada país; una vez que alguien se da cuenta de que la realidad es muy diferente a lo que se creía, y que existen muchos problemas que deben ser tratados para erradicarlos y así evitar que se conviertan en un problema mayor, generalmente no se realizan acciones para mejorar, las personas simplemente ignoran el problema hasta que cada vez se vuelve más notorio y destructivo, ese problema lleva a otro y ese a otro y así hasta que es muy difícil terminar con ellos.

Por eso cuando se identifica un problema en la sociedad, es necesario terminar con él desde el momento en que nos damos cuenta de que existe; lamentablemente una sola persona puede hacer muy poco para solucionar un problema que es de muchos pero que nadie quiere reconocer… Lo digo por mi propia experiencia, ya que hace 4 meses me di a la tarea de iniciar un proyecto de tecnología para mejorar la calidad de vida de las personas en comunidades consideradas con alto grado de marginación (comunidades habitadas por personas que no cuentan con los recursos necesarios para vivir adecuadamente, personas con pobreza) en el estado de Guanajuato en México; pero los resultados del proyecto hasta ahora son muy desfavorables, ya que yo no cuento con los recursos necesarios para llevarlo a cabo y he recurrido a muchas personas e instituciones para pedir apoyo, pero prefieren evadirme o alejarme contestando simplemente con: “no se puede”; ¿acaso no hay personas que quieran ayudar y que quieran cambiar la situación del país? Es una pregunta que me he estado haciendo en estos últimos días…

Soy estudiante de la Universidad Tecnológica del Suroeste de Guanajuato y me dieron la oportunidad de que mi proyecto de tesis fuera en una comunidad (lo que es poco común), sabía que sería difícil pero no contaba con que nadie quisiera apoyarme. Mi proyecto consiste en crear un centro de cómputo con acceso a Internet en la comunidad llamada Botija (que se encuentra en el municipio de Valle de Santiago en el estado de Guanajuato), que permita: Incidir en el rendimiento escolar y desarrollo humano de los usuarios de los servicios, generar opciones productivas mediante cursos y talleres mediante la tecnología y brindar un espacio cultural y de conocimiento universal a los habitantes de Botija y comunidades aledañas.

En esta comunidad las personas no cuentan con acceso a Internet y para los estudiantes y personas en general es muy complicado trasladarse hasta otro lugar donde sí se cuenta con este servicio, ya que no cuentan con recursos y dinero necesarios, lo que hace que muchos jóvenes y niños abandonen sus estudios; y a falta de oportunidades esos jóvenes dedicarán su vida a trabajar en el campo, o a la delincuencia para obtener recursos que los ayuden a sobrevivir.

Como ya dije, un problema lleva a otro y a otro hasta que se convierte en algo casi imposible de detener. En esta comunidad tampoco se cuenta con líneas telefónicas lo que hace más difícil que se pueda tener acceso a Internet, he recurrido a varias empresas proveedoras de Internet en el país (desde la más importante hasta la menos conocida) pero cada persona con la que hablo me dice simplemente que como no hay líneas de teléfono, no se puede tener Internet, me pregunto si para esas empresas reconocidas internacionalmente y consideradas de las que obtienen más ganancias en todo el mundo, es muy difícil llevar Internet a una comunidad que lo necesita.

Necesito ayuda para que este proyecto sea una realidad, hasta ahora nadie ha querido apoyar con el servicio de Internet (¡y no estoy pidiendo que sea gratis! sólo quiero que lo lleven hasta esa comunidad, las comunidades cercanas también se beneficiarán) tampoco he encontrado quien apoye con recurso económico o en especie para los equipos, todos los necesarios para el centro de cómputo (pueden ser nuevos o seminuevos) todo lo que quiero es mejorar la vida de esas personas, personas que nadie más ve hasta que se hace una investigación a fondo de la realidad del país.

Estoy segura de que no soy la única que quiere hacer un cambio y ayudar a mejorar, por eso sigo buscando a más personas como yo que estén dispuestas a apoyar a una buena causa que mejorará la educación y evitará muchos problemas en el futuro de más pobreza, rezago educativo, rezago tecnológico, y delincuencia.

Quiero agradecer a Chema Alonso por permitir la publicación de este artículo y si alguno de ustedes desea saber más sobre este proyecto y apoyar estos son mis datos:

Verónica Ramírez R. estudiante de la Universidad Tecnológica del Suroeste de Guanajuato, e-mail: veronica_rrz@hotmail.com

Man in the Middle en redes IPv4 por medio de IPv6

noreply@blogger.com (Maligno) — Sun, 29 Apr 2012 09:29:00 +0000

En la última sesión del viernes en el SOCtano, estuvimos definiendo los ataques que va a incorporar la herramienta Evil FOCA, y entre ellos, estuvimos hablando de cómo conseguir enrutar tráfico IPv4 a través de un ataque Man in the middle IPv6. Para ello, el primer punto es deshabilitar el protocolo IPv4 y conseguir que el algoritmo de precedencia haga el resto se reenvíe el tráfico por la conexión IPv6.

¿Cómo conseguir pasar el tráfico a IPv6?

El problema inicial se da cuando la conexión desde el cliente se hace contra una dirección de Internet IPv4, por lo que la conexión se va a hacer por IPv4 buscando el gateway, que también está en IPv4, por lo cual nuestro ataque man in the middle IPv6 no conseguirá capturar el tráfico.

Paso 1: Anular IPv4

El primer paso consiste en desactivar el tráfico IPv4 de la ecuación, para lo que, si el cliente no tiene ninguna protección tipo Marmita o PatriotNG, bastará con enviar un paquete ARP que configure una dirección MAC falsa a la dirección IP del gateway en el cliente. Esto, si todo va bien, dejará al equipo sin conectividad con el gateway, lo que le hará al sistema evaluar la posibilidad de IPv6.

Paso 2: Configurar IPv6 en el cliente con Rogue DHCPv6

En segundo lugar habrá que establecer en el cliente una configuración IPv6 que nos sea de utilidad. Si tenemos un servidor Rogue DHCPv6 podremos hacer que el cliente obtenga todo lo necesario de este esquema de ataque:

- Una dirección IPv6 válida
- Una dirección IPv6 de un gateway para la red IPv6
- Las direcciones de los servidores DNSv6

Figura 1: DHCPv6 en Windows Server 2008

Para hacer esto, cualquier servidor Windows Server 2008 o Windows Server 2008 R2 nos permitirá configurar un servidor DHCP para IPv6 y preparar toda la configuración en el equipo víctima para hacer el ataque. Cómo configurar esto se explica en el libro "Ataques de Redes de Datos IPv4 e IPv6"

Paso 3: Configurar IPv6 en el cliente con SLAAC e IPv6 DNS AutoDiscovery

Otra alternativa sería usar el servicio SLAAC (Stateless Address Auto Configurator) para poder configurar la dirección IPv6 y la dirección del gateway, para que el tráfico IPv6 sea enviado a la máquina del atacante. Sin embargo, el protocolo SLAAC no permite configurar valores como los servidores DNS, algo que complica mucho el esquema si el usuario se conecta a Internet usando nombres de dominios, y el servidor DNS está anulado - tras anular la red IPv4 -

Sin embargo, uno de los servicios de IPv6 que está implementado en las máquinas Windows - no he probado en Linux aún, pero supongo que será similar - es el servicio IPv6 DNS Autodiscovery, propuesto por el Network Working Group del IETF, por el que se realizan peticiones IPv6 a tres direcciones IPv6 fijas para encontrar servidores DNS en la red IPv6.

Figura 2: Ping a un dominio no existente desde un equipo con IPv4 anulado

Para probar esto, basta con hacer un ping a un nombre en la red IPv6 e interceptar el tráfico en el gateway, para ver cómo, en una máquina en la que está anulado IPv4, se lanzan peticiones DNS a las direcciones IPv6 fijas y reservadas, aunque no están configuradas en el cliente.

Figura 3: Peticiones DNS a servidores IPv6 fijados

Las direcciones que se utilizan son las que se ven en la siguiente captura de pantalla, por lo que si se quiere hacer el ataque habría que spoofear esas direcciones para que apunten a la/s maquina/s del atacante. Por supuesto, el documento del IETF se habla en la última sección de las implicaciones de seguridad que puede haber en una red en la que no se haga uso de técnicas para autenticar de manera robusta las direcciones IPv6.

Paso 4: Enrutar el tráfico IPv6 a IPv4 e IPv4 a IPv6

Para lograr que el cliente envíe todo su tráfico con IPv6, tenemos que lograr que toda la resolución de direcciones se haga en formato IPv6, así que hay que contar un servicio DNS64, es decir, un servidor DNS que escuche por IPv6, solicite las queries recursivas por IPv4 y devuelva las respuestas en formato de direcciones IPv4 sobre IPv6.

Figura 4: Esquema de enrutamiento de tráfico IPv4 a IPv6 controlando DNS y Gateway en IPv6

Esto, como se muestra en el esquema hará que las direcciones de servidores IPv4 tengan formato IPv6 y se envíen al gateway IPv6, donde el atacante deberá configurar un servicio NAT64 para enrutar el tráfico por Internet - a través del router IPv4 de la propia red -.

Puedes conocer más sobre esquemas de ataques en red en el libro Ataques en Redes de datos IPv4 e IPv6, y, por supuesto, todo esto se podrá implementar con nuestra querida Evil FOCA.

Saludos Malignos!

Google FeedFetcher como arma de destrucción masiva

noreply@blogger.com (Maligno) — Sat, 28 Apr 2012 04:28:00 +0000

Ya hace tiempo que le dedicamos Enrique Rando, algunos alumnos del Master de Seguridad de la UEM y yo un tiempo a jugar usando los Buscadores como arma de destrucción masiva, así que cuando he leído la entrada de hackplayers sobre cómo hacer un D.O.S. utilizando Google, me he ido a leerme la historia completa de cabeza.

El resumen de la historia es bastante peculiar e interesante. Resulta que Google tiene un agente, que no es el famoso bot de indexación GoogleBot, que se utiliza para la recolección de feeds XML en servicios como Google Reader, al que se ha denominado Google FeedFetcher.

Este bot está pensado para recolectar el contenido de URLs y mostrárselas al usuario a través de un lector XML. Sin embargo, el comportamiento es que lo que se obtiene a través de este bot no se incluye directamente en los índices del buscador, por lo que no tiene que preocuparse y por lo tanto no lo hace, del incomprendido funcionamiento de los robots.txt.

Esto quiere decir que si un usuario hiciera una lista de todas las URLs de un sitio y las metiera en un feed XML al que se suscribiera, haría descargarse todo el sitio a Google FeedFetcher. Una vez descargado todo el sitio, Google Reader cachea los contenidos, como vimos en el artículo de Puedes borrar tu blog, pero Google Reader guarda el feed.

Sin embargo, como descubrió este profesor de universidad, Google FeedFetcher también se utiliza para descargar contenido público enlazado desde servicios privados de usuarios, es decir, por ejemplo una hoja de cálculo en Google Docs que cargue un imagen desde una URL. Como este contenido no se cachea, Google FeedFetcher cada cierto tiempo va a volver a solicitar esa imagen al servidor.

De esta sencilla forma, creando una hoja de cálculo manipulada en Google Docs con carga de contenido remoto de un sitio, Google FeedFetcher estará descargando las URLs generando grandes cantidades de tráfico y costes en servicios de pago por uso de ancho de banda.

Figura 1: La factura de Amazon del profesor que se hizo su ataque vía Google DOCs

Lo curioso de este comportamiento es que los feeds XML manipulados, pueden convertirse en una buena arma de destrucción masiva si los bots no tienen límites adecuados o cacheo de contenido, ya que haciendo uso de Servicios de publicación masiva de Feeds, como por ejemplo Total Ping, un atacante podría crear un feed XML que cargase las URLs más pesadas de un sitio. Después lo publica en una URL de Internet y lo da de alta en Total Ping, generando que muchos bots automáticamente descarguen el contenido.

Figura 2: Agregadores en los que Total Ping da de alta el feed XML

Para conseguir que aún sea más divertido, podría dar de alta varios feeds XML maliciosos apuntando a contenido del mismo objetivo, e ir rotando continuamente las URLs para que el bot que hace el crawling siempre lo perciba actualizado. Si el objetivo tiene una web de pago por uso de ancho de banda, seguro que no le hace mucha gracia.

Saludos Malignos!

Aprende más sobre esto en el libro: Hacking con Buscadores: Google, Bing & Shodan

No Lusers 130: 10 días para el día señalado

noreply@blogger.com (Maligno) — Fri, 27 Apr 2012 06:04:00 +0000

Parece que la fecha se aproxima, y aunque en este mundo todo puede cambiar de un momento a otro, parece que el día señalado para que vuelva el héroe es el 7 de Mayo. Supongo que muchos estaréis tan ansiosos como yo, pero es que "su majestá el artizta" no me ha dejado ver nada de nada. Que si la pureza de la obra, que si la expectación, que si te va a gustar más si lo ves acabado, que si... leches.

Tengo hasta pesadillas, la emoción me impide ver, y él ahí, encerrado en su Palacio, cancelando la agenda de visitas de mandatarios que tenía encoladas, y nada... yo sin ver nada. Tanto que hasta dibujo a Cálico Electónico por los rincones, en mis presentaciones, en mi mente, en mi cárcel. Todo el rato igual, Cálico, Cálico, 23, Cálico, 23, 23...

Quedan 10 días, 240 horas, y las voy a contar una tras otra, tic... tac... segundo a segundo, tic...

Saludos Malignos!

Análisis Forense de metadatos: 17 ejemplos ejemplares

noreply@blogger.com (Maligno) — Thu, 26 Apr 2012 03:04:00 +0000

Uno de los capítulos del libro de Análisis Forense en Windows se centra en la evaluación y análisis de cada uno de los tipos de archivos que aparezcan en la franja temporal de interés en el caso. Para ello, tras generar el Time-Line de documentos modificados, creados, borrados, impresos, etcétera, es necesario pararse a evaluar qué información puede extraerse de cada uno de ellos. Esa fue la motivación principal que nos llevó a crear la Forensic FOCA y generar un time-line dinámico generado sólo con los metadatos descubiertos en un fichero.

Para ilustrar la importancia de los metadatos en un caso forense, recolecté una serie de incidentes de todo tipo en los que los metadatos son parte protagonista de la historia, y los usé para impartir mi charla sobre Análisis Forense de Metadatos en el Curso de Peritaje Informático de la ANTPJI.

Análisis Forense de Metadatos

Ver más presentaciones de Chema Alonso

Ejemplo 1: Word bytes Tony Blair in the butt:

Tony Blair presentó un documento y afirmó que no lo habían editado. La información de los metadatos demostró como personal de su equipo lo había copiado, editado, etcétera.

- Word Bytes Tony Blair in the butt

Ejemplo 2: El programa electoral del PP

Se publicó en PDF. El análisis de los metadatos mostraba un título del que se había copiado el documento y que los datos de la persona que había publicado el documento. Un becario de las FAES.

- El programa electoral del PP para salir de la crisis lo publica un becario

Ejemplo 3: La ministra de la SGAE

Desde Security By Default analizaron los documentos de la sociedad DAMA, donde trabajaba la ministra Sinde. En los documentos se pudo leer que el propietario de las licencias era la SGAE, lo que dejaba a las claras la relación entre Dama y SGAE.

- La ministra de la SGAE

Ejemplo 4: La piratería de software en una empresa

Analizando los metadatos de los documentos se pueden sacar versiones de software utilizadas internamente. Si la compañía no tiene esas licencias puede ser un escándalo. Yo revisé con FOCA el software de la SGAE.

- ¿Cuánto pagará la SGAE por su Software?

Ejemplo 5: El pliego de condiciones del ayuntamiento de Leganés

Un pliego de condiciones de un concurso fue adjudicado a una empresa. Cuando se analizaron los metadatos del documento que recogía las condiciones del concurso se pudo comprobar que el creador del mismo pertenecía a la empresa que ganó el concurso.

- Pillados: El pliego de condiciones lo redacta la empresa adjudicataria

Ejemplo 6: El pliego de condiciones del Plan de Movilidad del Valle de Egüés

Más de lo mismo. El pliego de condiciones había sido escrito por personal de la empresa adjudicataria del mismo, y un documento en Word guardó estos datos en la creación.

- Dudas sobre el proceso de adjudicación del Plan de Movilidad del Valle de Egüés

Ejemplo 7: El hacker anonymous

El caso de Alex Tapanaris saltó a las noticias. En pleno momento de popularidad de anonymous, una de las notas de prensa de AnonOps mostraba en los metadatos un nombre Alex Tapanaris. Ese nombre apuntaba a un diseñador gráfico, del que analizando los metadatos de su web se podía leer un nickname t4pan. De ahí, a dar con su persona y acabar detenido fue cuestión de poco tiempo.

- ¿Tapaqué?

- Designer arrested over anonymous press release

Ejemplo 8: La foto del alijo de Maria

No eran muchas bolsas, pero que apareciera una foto con droga en la que se publicaba la ubicación GPS de donde se estaba guardando fue muy gracioso.

- Priceless: Detener a un contrabandista por foto de iPhone

Ejemplo 9: El escote de la novia del hacker

Caso similar con una fotografía de la novia de un defacer en Facebook que contenía información GPS de dónde se había tomado, y llevó al FBI a detenerlo.

- Hacker detenido gracias a foto de los pechos de su novia

Ejemplo 10: El asesinato como suicidio

Este no es un caso real, sino una prueba de concepto que se usa para recalcar la resolución de un asesinato mirando las fechas de modificación de un documento. Si la nota de suicidio está modificada después de la hora de la muerte es, por lo menos, sospechoso.

- Caso real 3: Tiempos MAC resuelven un asesinato

Ejemplo 11: La operación Aurora y las cadenas de texto en el malware

Los analistas de malware buscan siempre los metadatos y las cadenas en los binarios. Esa información puede llevar, como cuenta Mikko Hypponen a detener a un criminal en rusia por su matrícula, o conocer que Google estaba bajo un APT con nombre propio: Operación Aurora. Por supuesto, las cadenas de texto que aparecieron en Stuxnet dieron mucho que hablar a la hora de determinar el origen del ataque.

- Aurora Operation

Ejemplo 12: El ataque dirigido por pendrive

Uno de los usos clásicos de FOCA es el de pintar un mapa interno de la organización para conocer el software que usa cada empleado, con qué servidores trabaja y plantear un ataque dirigido. Hay que tener en cuenta que el Pentagono reconoció un ataque mediante pendrive como uno de los peores.

- Como enfocar un ataque de malware dirigido

Ejemplo 13: El ataque dirigido con ingenio

Que los metadatos dan mucha información del personal interno de la organización es conocido y clave para preparar ataques de ingeniería social. En este caso, conocer quién crea un documento PDF podría ser utilizado para engañar al webmaster y colar un PDF con malware como una nueva versión del documento.

- Cómo meter una webshell con ingenio y metadatos

Ejemplo 14: El caso de la CENATIC y el apoyo al SW Libre

Que la CENATIC, organismo de referencia en el uso del Software Libre, publicara un documento escrito con Mac OS X y Apple Keynote, no habló muy bien de ser la referencia en el uso de software de fuentes abiertas.

- ¡Qué poca vergüenza!

Ejemplo 15: La guía de instalación de Linux... escrita en Word

Algo similar ocurrió/ocurre con la Guía de Instalación de Linux, en la que en el título se podría ver a las claras cómo era un documento escrito con Microsoft Word. ¿Tendrían la licencia?

Ejemplo 16: Seguir los pasos de personas por los metadatos de sus fotografías

Las redes sociales permiten publicar fotografías desde dispositivos móviles. Estos últimos vienen incorporados con un GPS y en las fotos quedan guardados. Usando programas como FOCA o Creepy es posible seguir los movimientos de personas desde los datos de sus redes sociales.

- Creppy Data
- Cómo localizar a usuarios de flickr y Twitter a través de sus fotos
- Follow and meet Steve Wozniak

Ejemplo 17: Ocultando una webshell en los metadatos

La idea es que una fotografía del sistema puede llegar a contener una webshell completa de un servidor web vulnerado, lo que haría muy difícil su localización. Estos ejemplos muestran como:

- Ocultando el backdoor PHP Weevely en los metadatos de un JPG
- Backdoors web en imágenes: mejorando la técnica

Todos estos incidentes de seguridad son la muestra de porqué en el Esquema Nacional de Seguridad se habla de tomar medidas claras y contundentes para evitar las fugas de información por metadatos, y esta fue la motivación por la que creamos MetaShield Protector.

Saludos Malignos!

Curso de Análisis Forense de Móviles en Madrid y Pamplona

noreply@blogger.com (Maligno) — Wed, 25 Apr 2012 05:05:00 +0000

Durante las dos primeras semanas de Mayo vamos a impartir desde Informática 64 dos formaciones dedicadas al Análisis Forense de Dispositivos Móviles a las que te puedes apuntar. La primera de ellas se realizará en las oficinas de Informática 64 los días 3 y 4 de Mayo, en horario de 09:00 a 14:00 horas, mientras que la segunda formación será los días 09 y 10 de Mayo en Noain (Navarra), con la colaboración del CEIN.

En ambas formaciones se verán los principios fundamentales de un análisis forense de dispositivos móviles, y habrá prácticas especiales con los terminales Android, iPhone, el análisis de información de las tarjetas SIM, y cómo hacer un informe técnico.

En el curso se analizan las características de los terminales con Jailbreak, qué se puede obtener en offline, y online, como se pueden romper los cifrados de protección de los terminales o el funcionamiento de las técnicas de Juice Jacking, entre otros conceptos.

También se hacen prácticas de análisis forense de aplicaciones y demos como la del hijacking de Facebook o Dropbox - que es la que realicé en la charla de Hacking, Ciberguerra y otros palabros - o con cookies de sesión recuperadas de terminales móviles.

Para completar la formación, se utilizan herramientas profesionales para el análisis forense. En Informática64 nosotros utilizamos Oxygen Forensics, por lo que los asistentes podrán comprobar cómo funciona la versión Analyst de este software profesional.

Si quieres apuntarte a una de estas formaciones, tienes toda los datos en los siguientes enlaces:

- 03 y 04 de Mayo: Curso Análisis Forense Dispositivos Móviles Madrid
- 09 y 10 de Mayo: Curso Análisis Forense Dispositivos Móviles Navarra

Saludos Malignos!

Diabólicos FOCA Testers: Consigue tu Evil FOCA

noreply@blogger.com (Maligno) — Tue, 24 Apr 2012 04:31:00 +0000

Queridos FOCA Lovers,

La Evil FOCA está avanzando rápidamente para llegar a convertirse en una herramienta mucho más funcional, y ya está casi lista para pasar a las primeras fases de pruebas, así que queremos hacer un programa de FOCA Testers de la Evil FOCA. Actualmente Evil FOCA incorpora las siguientes características:

- Descubrimiento de equipos con Router Advertisement (SLAAC)
- Descubrimiento de equipos con Ping IPv6 multicast (Sólo para Linux)
- Reconocimiento de routers.
- Ataque Man in the Middle IPv6 con Neighbor Advertisement Spoofing
- Ataque D.O.S. IPv6 don ataque storm de Router Advertisement de SLAAC
- Ataque D.O.S. IPv6 con Invalid Mac Spoofing de Default Gateway IPv6
- Reconocimiento pasivo de puertos abiertos de equipos en Man in the middle
- Reconocimiento de sistemas operativos con paquetes ICMPv6
- Reconocimiento de nombres de equipos con LLMNR
- Descubrimiento de equipos IPv4 con ARP-Scan
- Ataque Man in the Middle IPv4 ARP-Spoofing
- Ataque Man in the Middle IPv4 DHCP ACK Injector + IP Forwarding
- Ataque D.O.S. IPv4 con Invalid Mac Spoofing de Default Gateway IPv4

No sabemos aún cómo distribuiremos esta herramienta, ni si será gratuita, de pago, open source, o qué leches, pero lo que sí que sabemos es que de momento vamos a hacer una versión beta/trial de pruebas que vamos a dar sólo a algunas personas.

Figura 1: Aspecto de la versión 0.1.1.0 de la Evil Foca

De momento, como el miércoles 25 e Abril acaba el Talentum Tour en Madrid, en la Universidad Carlos III por la tarde. En esta gira ha sido el lugar donde se ha presentado en sociedad nuestra Evil FOCA, así que ese día vamos a premiar a todos los asistentes con una versión beta/trial de Evil FOCA. No será fácil conseguirla, ya que deberás registrarte para el evento, asistir y pasar por la mesa de registro de Informática64 a la salida, y después te haremos llegar una licencia a tu correo electrónico.

Eso sí, los agraciados deberéis cuidar correctamente a nuestra Evil FOCA, o de lo contrario tendréis que véroslas con nosotros...

Saludos Malignos!

PD: No os preocupéis los demás, que ya abriremos algo más el programa de FOCA Testers }:))

Hacking, ciberguerra y otros palabros raros

noreply@blogger.com (Maligno) — Mon, 23 Apr 2012 05:01:00 +0000

El viernes de la semana pasada tuve el gusto de participar en las conferencias de The App Fest. Cuando me tocó cerrar mi participación estaba un poco justo de tiempo, así que cuando me pidieron un tema sobre el que hablar dije algo como: "No sé, pon algo sobre Hacking, Ciberguerra y otros palabros raros"... y así se quedó el título. La charla que di la tenéis integramente aquí.

Hacking, Ciberguerra y otros Palabros

Presentaciones de Chema Alonso en SlideShare

Gracias a todos los organizadores, colaboradores del evento, y a los animadores - que además compartían mi tremenda admiración por Rulo Pardo, Santiago Molero y el resto de los componentes de Sexpeare y todas las creaciones y que me dieron la alegría del día al contarme que la obra de teatro de ¡Que pelo más guay! la habían sacado en película.

Saludos Malignos!