Un informático en el lado del mal

No Lusers 133: Cuatreros en España

noreply@blogger.com (Maligno) — Sun, 27 May 2012 05:10:00 +0000

Una de las aficiones en que empleo el tiempo de mis muchos viajes es la de dibujar. Hago mis garabatos con el ay!Pad plasmando las cosas que me hacen gracia a mí, me entristecen, o simplemente me motivan en el momento. Hay muchas de ellas que no publico en el blog porque las hago para mí, o las mando a amigos personales.

Ésta en concreto la hice de camino en Colombia, con todo el jaleo en España con la banca, pero no la quise publicar. Sin embargo, a la vuelta de Holanda, me encontré en el avión con la tira del gran Forges en el periódico del día, y me llamó mucho la coincidencia de apreciación en el sentir.

Para los que no conozcáis a Forges, porque seáis de fuera de España, he de decir que durante toda mi vida consciente, Forges ha sido un cronista único de la sociedad Española, con sus grandezas, sus miserias y sus situaciones cómicas, y es difícil encontrar a alguien que no tenga El País y vaya pasando las páginas una tras otra en busca de la viñeta del día de Forges.

Además, Forges fue el encargado de ilustrar una colección de libros de Informática para Torpes con el gran Megatorpe, que llenó con cientos de viñetas relativas al mundo de la informática - que he de decir poseo sólo por sus viñetas, junto a fascículos de la Historia de España que también ilustró -. Aquí os dejo una de las muchas que hizo sobre el tema de la ciencia de la computación, pero en su web podéis ver muchas, muchas, más.

Saludos Malignos!

LeadkedIn: Seguir los data leaks por RSS

noreply@blogger.com (Maligno) — Sat, 26 May 2012 06:00:00 +0000

Este proyecto con forma de blog y nombre haciendo honor a la famosa red social de contactos profesionales, permite, de forma similar a otras herramientas de monitorización de Pastebin, seguir las fugas de datos por RSS o Twitter. El proyecto analiza todo lo que está siendo publicado en tiempo real en Pastebin, y etiqueta por categorías lo que va apareciendo, siendo fácil encontrar números de tarjetas de crédito, cuentas de correo electrónico, datos personales o credenciales de servicios.

Figura 1: Carder pasando tarjetas de crédito de "demo".¿Estarán marcadas?

En el about del proyecto se especifica que es un blog personal con el único objetivo de concienciar a la gente de la importancia de controlar las fugas de datos en las organizaciones, algo que a día de hoy no han tenido demasiado en cuenta muchas empresas, a tenor de lo que se puede ver hoy en día. Tiene una dirección de abuso para solicitar el borrado de posts por los dueños de los datos.

No deja de ser un proyecto más de monitorización de fugas de datos, pero visto que yo soy mucho más seguidor de RSS que de Twitts, voy a meterlo en mi lector de blogs, a ver qué aparece por ahí. ¿Qué otros sistemas de monitorización de fugas de datos seguís vosotros?

Saludos Malignos!

Pruebas para descubrir un LFI al estilo FOCA

noreply@blogger.com (Maligno) — Fri, 25 May 2012 07:05:00 +0000

En la versión privada de la FOCA, que vamos a enseñar en un ratito en Hack in the Box, se busca automáticamente por vulnerabilidades LFI. Para ello, en las URLs parametrizadas - las que tienen parámetros por GET, vamos - se hacen unas pequeñas pruebas para saber si es posible o no que tenga un Local File Inclusión.

Paso 1: La URL con la respuesta original.

Primero se toma la URL sin realizar ninguna modificación, para tomarla como referencia en las subsiguientes pruebas. Así que en la primera petición no se inyecta nada.

Figura 1: La URL sin inyectar

Paso 2: Probando el directorio local

Después se prueba si es posible acceder a la misma página haciendo uso de ./, lo que implicaría que hay probabilidades de que se permita inyectar caracteres en la ruta de acceso al fichero local. Si devuelve la misma página que en el paso 1, entonces vamos por el buen camino.

Figura 2: Probando el directorio local

Paso 3: Probando un directorio falso

Una de las pruebas más significativas es la de solicitar un subdirectorio inventado y luego subir con ../ al directorio padre para acceder al mismo fichero. Si se devuelve el mismo resultado, es que tiene muy buena pinta, pero aún no es seguro ya que podría tener un comportamiento de tratamiento de errores que devolviera siempre la misma página, por lo que hay que hacer alguna prueba más.

Figura 3: Probando un directorio falso y subiendo al padre

Paso 4: Generando un error conocido

Para descartar la posibilidad de que sea el tratamiento de errores el que siempre nos devuelve la misma página, se pide el fichero, pero en una ruta que no exista, para o que lanzamos un directorio fantasma. ¡Cuidado no aciertes con el nombre de un directorio oculto! Prueba con un par por si se diera ese caso.

Figura 4: Probando un directorio falso sin anularlo

Paso 5: Por si hay un filtro

En este caso en concreto ya sabemos que hay un LFI, pero por si hubiera un filtro que quitase "../" de manera erronea, un truco es pedir "..././", ya que si quita "../" de la ecuación, quedaría "../". Aunque parezca mentira muchos filtros mal programados pueden ser saltados de esta forma.

Figura 5: Probando un posible bypass de un filtro

Existen muchas herramientas que implementan este tipo de comprobaciones, pero nuestra FOCA se porta muy bien con estos tests en las auditorías de seguridad web que realizamos a nuestros clientes. ¿Qué más trucos usáis vosotros para descubrir LFI?

Saludos Malignos!

El déficit de la Comunidad de Madrid y los metadatos

noreply@blogger.com (Maligno) — Thu, 24 May 2012 07:53:00 +0000

Las historias relativas a los metadatos no dejan de aparecer, y esta última le ha tocado a la Comunidad de Madrid, por una sencilla afirmación: "Hicimos público el dato del déficit en cuanto fue definitivo".... y resulta que el documento se había creado 4 días atrás, lo que parece suponer que no fue tan rápida su publicación.

Figura 1: El documento fue creado el 14 de Mayo con eDocPrinter PDF ProVer 6.42

En cualquier caso, desde hace tiempo voy recopilando todas estas historias en un post que ya se llama: Análisis Forense de Metadatos, y en el que hay 18 casos por el momento, en los que los metadatos fueron los protagonistas. Desde el caso de Tony Blair, al del Déficit de la Comunidad de Madrid pasando por la foto de las tetas de la novia del hacker, los casos de corrupción en ayuntamientos descubiertos por los metadatos, la manera de esconder una webshell en metadatos o el asunto del Programa del PP para salir de la crisis publicado por el becario.

Todos estos casos son alimento para la FOCA y, por supuesto, con MetaShield Protector o siguiendo las recomendaciones del Esquema Nacional de Seguridad sobre metadatos no hubieran pasado.

Saludos Malignos!

Pruebas de Selección Talentum Startups esta semana

noreply@blogger.com (Maligno) — Wed, 23 May 2012 06:00:00 +0000

La semana que viene tendrán lugar las pruebas de selección de Talentum Startups para estudiantes universitarios que quieran participar en las becas tecnológicas que se van a entregar para este verano desde Telefónica y Wayra. Existen dos tipos de becas.

- Talentum Startups Short Track: Se realizarán durante los meses de Julio, Agosto y Septiembre a jornada completa en las instalaciones de Wayra en Madrid (10 becas) y Barcelona (10 becas), y se darán a jóvenes universitarios que quieran desarrollar un proyecto tecnológico para arreglar algún problema en la sociedad. Más información en: Talentum Startups Short Track.

- Talentum Startups Long Track: Se realizarán en la academia Wayra de Madrid (10 becas), y serán para jóvenes universitarios a media jornada e integradas en los proyectos de las nuevas startups seleccionadas en Wayra, desarrollando algún proyecto de innovación tecnológica. Más información en Talentum Startups Long Track.

Todos los seleccionados tendrán una dotación económica, además de recursos técnicos, un grupo de tutores y un programa de mentoring en el que se les formará en diferentes tecnologías y disciplinas profesionales. Para participar en la selección es necesario primero apuntarse en la web de Talentum. Después hay que hacer una pequeña prueba de selección que se hará la semana que viene en cuatro ciudades:

Sevilla: 28 de Mayo de 11:00 a 12:30. Aula de Grados.
ETS Ingeniería Informática. Avda. Reina Mercedes s/n. 41012, Sevilla

Madrid: 29 de Mayo de 9:00 a 10:30h. Edificio A, aula A-137.
Escuela Técnica Superior de Ingenieros de Telecomunicación, Avda. de la Complutense, 30, 28040 Madrid

Barcelona: 29 de Mayo de 16:00 a 17:30. Aula Teleensenyament, Edificio B3 (1era planta) Escuela Técnica Superior Ingeniería de Telecomunicación - UPC Campus Nord, Jordi Girona 1-3, 08034 Barcelona

Valencia: 30 de Mayo de 11:00 a 12:30. Aula 2.2, Edificio 4P
ETSI Telecomunicación, Universitat Politècnica de València, Camino de Vera s/n, 46022, Valencia

Para participar en esta prueba es necesario asistir con el DNI y rellenar una pequeña prueba escrita de resolución de problemas y conocimientos técnicos y/o tecnológicos generales. Además, es necesario traer ese día un Curriculum Vitae impreso. Tras esta prueba se hará una selección de preliminar que deberán pasar una entrevista personal, para recibir las becas en el próximo evento de Red Innova en Madrid, el 14 y 15 de Junio.

Yo iré personalmente a hacer todas las pruebas de selección, así que espero veros allí con muchas ganas de hacer cosas chulas, y a sufrir con el más Maligno de todos los tutores. }:))

Saludos Malignos!

SmartBouncer: Control de accesos usando NFC y Bluetooth

noreply@blogger.com (Maligno) — Tue, 22 May 2012 06:10:00 +0000

Esta tarde es el día de la presentación de Proyectos de Fin de Master del Master de Seguridad de la UEM, y como todos los años, uno de mis grupos va a presentar un trabajo en el que han invertido un buen montón de esfuerzo. Se llama SmartBouncer, y la idea era hacer un prueba de concepto de cómo extender el control de acceso físico de una organización a los dispositivos móviles.

Para ello han diseñado un hardware de reconocimiento de personas utilizando NFC (y por ende RFID) y BlueTooth además de una aplicación Android para conectarse con ella. Aquí tenéis un resumen del trabajo, una demostración y el código de la aplicación disponible.

Saludos Malignos!

Diseño e implementación de un sistema de control de accesos mediante NFC y Bluetooth

En los últimos años la sociedad ha experimentado un gran cambio en su vida diaria gracias al avance de las comunicaciones móviles. La mayoría de la población dispone de un dispositivo móvil que ofrece altas prestaciones y una gran versatilidad en diferentes campos de la comunicación. Una de estas funcionalidades que se encuentra en auge es la tecnología NFC (Near Field Communication).

Figura 1: Esquema de la plataforma desarrollada

La plataforma desarrollada en este proyecto está compuesta de un cliente móvil, en este caso un terminal Android, que se conecta a una placa diseñada y fabricada de manera casera y artesanal. Esta placa dispone de tres interfaces con las que se puede interaccionar:

Figura 2: Placa hardware diseñada y creada de manera artesanal

Interfaz NFC: que permite al empleado o al encargado identificarse para acceder a la empresa. La tecnología NFC establece tres modos de comunicación. Las especificaciones de NFC son emitidas por el NFC-Forum y se encuentran en Especificaciones NFC.
Reader/Writer: este modo de comunicación se establece entre un dispositivo activo - aquel que requiere de energía -, por ejemplo un terminal móvil y un dispositivo pasivo, por ejemplo una tarjeta RFID o un smartposter, como el utilizado en la campaña de la película X-Men.
Peer to Peer: este modo de comunicación se establece entre dos dispositivos activos, por ejemplo dos teléfonos móviles o un teléfono móvil y una receptor NFC. Este modo es el que se utiliza en este proyecto.
Card Emulation: en este modo un dispositivo que es activo se comporta como pasivo, esto le permite emular tantas tarjetas como recursos posea para guardarlas. El gran problema de este modo reside en el elemento seguro que debe almacenar esta información. En general serán tarjetas de crédito de ahí la importancia de la seguridad. Las grandes compañías no están de acuerdo en qué utilizar. Así, Google Wallet implementa en el elemento seguro en un chip y Telefónica junto con RIM en la tarjeta SIM.
Interfaz Bluetooth: La interfaz Bluetooth se implementó para dar un valor añadido al proyecto y una posibilidad más al empleado, no obstante NFC es la tecnología prioritaria. El empleado puede utilizarla también para autenticarse. Además la interfaz Bluetooth permite al miembro de seguridad del control de acceso comprobar quien está accediendo en cada momento, mediante línea de comandos.
Interfaz RJ-45: que permite conectarse vía web al panel de configuración del control de accesos, en caso de que un usuario haya olvidado su credencial y quiera entrar o el sistema mecánico se haya averiado.

En definitiva se ha desarrollado una plataforma de identificación que integra los dispositivos móviles en el control de accesos de una empresa y que además de ser más seguro, ofrece un nuevo canal de comunicaciones entre la empresa y el empleado.

Figura 3: Portal web de monitorización del sistema

Imaginad, por ejemplo, que cuando el usuario accede todas las mañanas a la empresa le aparece en el móvil la agenda del día recordándole que tiene una reunión con un compañero en 2 horas, los mensajes dejados en la recepción, paquetería o simplemente información del edificio como la temperatura, la humedad, los planos de evacuación de incendio o los empleados que se encuentran en el edificio. Os dejamos un video donde se puede ver el funcionamiento de la plataforma.

El objetivo de este proyecto es poder estender las políticas de seguridad de una compañía a los accesos físicos, pudiéndose desplegar en el futuro los permisos de acceso físico de una empresa desde un sistema de seguridad de red, por ejemplo las políticas de Active Directory, y gestionarlo utilizando dispositivos móviles, lo que ayudaría a tener una gestión más globalizada de la seguridad de una compañía.

Figura 4: Aspecto de SmartBouncer para Android

El código de la aplicación SmartBouncer se ha puesto a disposición pública en Google Code para todos los que deseen utilizarlo como ejemplo para un sistema de comunicación BlueTooth o NFC, ya que utiliza los protocolos estándares.

Autores: Jesús González Tejería y Javier Cacho Pérez

Common Vulnerability Reporting Framework 1.1

noreply@blogger.com (Maligno) — Mon, 21 May 2012 04:55:00 +0000

Los días que hay muchos advisories de trabajo siempre pienso en mi amigo Sergio de los Santos echando "ofús". Esos días debe filtrar todos los documentos publicados por los fabricantes de software para que sean distribuidos a través de su servicio SANA y para ello debe pegarse con las maneras que cada uno de los fabricantes tienen de poner disponible esa información, así que sé que tiene una tarea larga por delante, por muy automatizados que tengan los procesos internos.

Esto es algo que sucede en casi todos los frameworks de gestión de vulnerabilidades, consolidación de reportes, o integración de resultados, en los que se muestra el expediente de seguridad del fabricante para ampliar la información del bug.

Para evitar esto se está trabajando en estandarizar la forma en la que se publica y consume esta información en un formato de documento definido como Common Vulnerability Reporting Framework, en el que se intenta crear un tipo de documento en XML que sea capaz de ser producido y procesado de manera estándar.

Figura 1: Esquema del schema de CVRF 1.1

El formato del documento está siendo definido por ICASI (An Internet Consortium for Advancement of Security on the Internet), y en el whitepaper publicado, además de justificar la necesidad de un consenso para hacer más fácil gestionar esta información, expresan la necesidad de seguir trabajando en la integración y evolución de otros formatos estandarizados para comunicarse, como son:

- Security Content Automation Protocol
- Common Platform Enumeration
- Common Weakness Enumeration
- Open Vulnerability and Assessment Language

Hoy en día, modelos como el CVSS para medir la criticidad de una vulnerabilidad son ampliamente utilizados - aunque algunos fabricantes adapten esas métricas y la expresen de otra forma -, pero todos estos esfuerzos en estandarización del advisory ayudarán a que haya un lenguaje completo y no solo una "manera de hacer las cosas", para que sea mucho más sencilla la tarea de consumir toda la información de seguridad que se produce.

Algunos fabricantes ya han anunciado que comenzarán a utilizarlo, como es el caso de Microsoft o de CISCO, que incluso ha publicado un manual en dos partes con un ejemplo de cómo transformar un advisory de CISCO a formato CVRF 1.1.

- The Missing Manual: CVRF 1.1 (Part 1 of 2)
- The Missing Manual: CVRF 1.1 (Part 2 of 2)

Espero que en el futuro, mi amigo Sergio de los Santos eche menos "ofús" los días que se hayan publicado muchos security advisories, y le quede más tiempo para otras cosas.

Saludos Malignos!

Suplantación de identidad en Facebook

noreply@blogger.com (Maligno) — Sun, 20 May 2012 09:41:00 +0000

Hace medio año aproximadamente, se encontró una vulnerabilidad en la gran red social por la que se puede suplantar la identidad de un usuario del sistema fácilmente. Es decir, hacerse pasar como si fueras otra persona haciendo un spoofing. El motivo por el cual escribo este articulo es porque me di cuenta que a día de hoy la gran mayoría de usuarios no está enterada de esto.

Según Inteco (Instituto Nacional de Tecnologías de la Comunicación), este defecto "se deriva del propio protocolo de correo electrónico de Internet, que es el que utilizan Facebook y otros proveedores de servicio similares, y que no permite por defecto asegurar al receptor quien es el auténtico emisor del correo".

Este problema existe en todos los servicios de correo electrónico como en Hotmail, Gmail, Yahoo!, para lo que se han implementado soluciones como DKIM, SPF, o la firma digital PGP o S/MIME. Quizás en Facebook es más gravé aún porque el mensaje llegaría como una notificación más con el nombre e imagen de "x" persona, lo cual si no sabe del tema, generaría grandes consecuencias.

El sistema de suplantación es muy fácil de realizar, lo único que se necesita es:

Dirección de correo electrónico de la persona que se va a suplantar.
Dirección de correo electrónico de Facebook de la persona a quién se engaña.
Un sistema para enviar correos SMTP.

Suplantación de identidad en Facebook paso a paso

Generalmente para obtener el e-mail de una persona en Facebook es suficiente con ir a su perfil, luego a información y buscar donde dice Información de Contacto. Ahí estará su dirección de correo, siempre y cuando no la haya ocultado. Si es el caso, el email se puede obtener a través de la simple deducción, usando servicios que el mismo Facebook nos brinda.

Figura 1: Usuario de Facebook

Para obtener el email de Facebook de una persona, basta con saber su nombre de usuario. Facebook asigna como dirección de correo con el mismo nombre de usuario, por lo que si el nombre de usuario es "username" su dirección de correo de facebook sera username@facebook.com. Eso siempre y cuando el usuario tenga habilitado el correo de Facebook.

Figura 2: Identificación de contacto en Facebook

Para saber si tiene habilitado el correo de Facebook o no, podemos googlear y buscar algún sitio que chequee si una dirección de correo es válida o no. Un sitio efectivo es Verify Email.

Una vez que se obtienen los datos, se debe hacer uso de algún sistema pare enviar correos spoofeados. Esto puede hacerse con una simple conexión telnet al servicio SMTP de algún servidor MX de Facebook, con un sistema de enviar a un amigo inseguro o con un formulario PHP creado para tal uso.

Figura 3: Servidor MX de Facebook.com

En este caso se ha hecho un formulario con la estética de Facebook, para que sea más bonito. En el campo del receptor va el e-mail de Facebook y en el campo del emisor va la dirección de correo de la persona que va a ser suplantada, en este caso el propio Mark Zuckerberg. Finalmente se envían los datos.

Figura 4: Formulario para enviar correos SMTP vía PHP

Este correo electrónico se envía al correo asociado a Facebook y aparece dentro de la conversación que el usuario que lo recibe mantenía con el contacto que supuestamente se lo envía. Luego de unos segundos, me llega un mensaje privado a mi cuenta... Y si, del CEO de Facebook: Mark Zuckerberg me necesita en su equipo de seguridad informática...

Figura 5: Correo recibido de Mark Zuckerberg.. spoofeado

Pero por el momento no le voy a dar bolilla porque Bil Gates me contactó primero para Microsoft hace ya bastante tiempo, asi que sigo con lo mio :).

Figura 6: Alerta de seguridad en el mensaje recibido

Si tienen buena vista, habrán visto en la imagen anterior, a la derecha del mensaje un pequeño triángulo de color amarillo - signo de alerta -. Si ponemos el puntero del ratón encima del símbolo, saldrá un cartel con lo siguiente:

Figura 7: Identidad no verificada

Como verán, Facebook alerta que no puede confirmar si el mensaje fue enviado por esa persona. Ustedes pensaran que entonces no es grave ya que nos avisara.. pero lamentablemente, sólo da la alerta cuando la dirección de e-mail de la persona que nos envía el mensaje proviene de algún servicio de e-mail con tecnologías SPF, Sender ID o DKIM y no se ha podido verificar la dirección IP del servidor emisor.

Sin embargo, lo peor de todo es que la alerta solo aparece en las conexiones vía aplicación web, y no en las aplicaciones Facebook para iOS o Android, algo que deberían arreglar, además del almacenamiento inseguro de la sesión que permite hacer hijacking en Facebook.

Las consecuencias que trae este bug pueden ser graves si se hacen contra usuarios que no esté prevenidos de este problema del correo electrónico usado en Facebook, y por supuesto ya ha habido mucho malware y spam que ha hecho uso de esta característica en la red social, adjuntado binarios o distribuyendo enlaces a sitios maliciosos. Todo depende de la imaginación que le aplique cada uno.

La suplantación en el chat

Otra de las cosas que sucede es que que si la persona a la que se le envía el mensaje está chateando con la persona a la que se suplanta, el mensaje le llegará al chat sin ninguna advertencia, ya que el chat realmente está creado sobre el sistema de mensajes de Facebook. Una curiosidad perfecta para los ataques dirigidos.

Lo recomendable para evitar que los malos utilicen tu identidad sería ocultar tu dirección de correo del perfil de Facebook y no pasársela a extraños, aunque se rumorea que, en un movimiento de marketing, Facebook podrá la dirección @facebook obligatoria a todos los usuarios. Así que, lo mejor es tener precaución y vigilar esa pequeña alerta en la recepción del correo, utilizar cuentas lo más seguras posibles para registrarse en Facebook y verificar la información recibida antes de tomarla en serio.

Ariel Ignacio
ariel.ignacio.la.cono at facebook.com (ya saben cómo suplantarme)

No Lusers 132 - Gobiernos Transaccionales

noreply@blogger.com (Maligno) — Sat, 19 May 2012 05:30:00 +0000

Saludos Malignos!

Distribución de libros en Colombia con IT Forensic LTDA

noreply@blogger.com (Maligno) — Thu, 17 May 2012 23:08:00 +0000

Con el fin de que sea más fácil y económico comprar los libros en Colombia, desde Informática64 hemos llegado a un acuerdo con la empresa IT Forensic LTDA, que permitirá comprar todos los libros de Informática 64, la Forensic FOCA, FOCA Pro y MetaShield Protector, a través de ellos, con gastos de envío sólo locales, lo que hace que sea más económico.

Si estás en Colombia, y quieres comprar un libro de Informática 64, ponte en contacto con IT Forensic LTDA a través de su página web, y solicita el libro en que estás interesado, así como un presupuesto con los gastos de envío.

Mientras tanto, desde Informática 64 continuamos trabajando en acuerdos de colaboración con otras empresas por Latinoamerica para poder reducir el coste de los libros en todos los países que actualmente tienen que pagar el envío internacional. Esperamos que dentro de poco los podáis comprar con este modelo en todos los países.

Saludos Maignos!

FOCA Web Fuzzer y API 0.1 para desarrollo de plugins

noreply@blogger.com (Maligno) — Wed, 16 May 2012 23:08:00 +0000

Ya hace tiempo que se ha creado una pequeña API en FOCA para poder cargar plugins. En la actualidad hay creados ya tres que vamos a ir publicando para que podáis sacar mucho más partido a la herramienta en cuanto vayamos testeándolos un poco más.

FOCA Web Fuzzer

El primero de ellos que vamos a poner público es un Web Fuzzer que se carga desde la opción de Plugins que tiene la herramienta. Una vez que se ha cargado aparecerá en el menú de plugins, y se podrá invocar para utilizarlo con cualquier URL. Tienes más información en el manual del API de plugins en FOCA.

El Web Fuzzer tiene un funcionamiento muy sencillo, en esta primera version, y para hacerlo funcionar necesitas solo un fichero con una buena cantidad de palabras comunes. Ese diccionario se irá sustituyendo en todas las peticiones, en la posición de la FOCA.

Figura 1: Configuración del fuzzer

En los resultados se obtienen aquellas respuestas que han devuelto un determinado código de servidor y de un tamaño distinto en palabras, lineas o tamaño, a las que se han configurado para ser ocultadas.

Figura 2: Respuestas positivas, y envío al proyecto de FOCA

Seleccionando esas URLs, se pueden meter en el proyecto principal de la FOCA. Puedes descargarlo desde la página web de la FOCA. Esperamos que os sea útil.

El API 0.1 de para plugins de FOCA

Figura 3: Plugin de ejemplo en FOCA

Además, si quieres desarrollar tus propios plugins de FOCA, puedes descargarte el manual sobre el API de la FOCA que se ha creado inicialmente y el código fuente de un plugin de ejemplo, para que extiendas la funcionalidad de tu FOCA.

Saludos Malignos!

SoapUI: Auditar Seguridad Webservices (WSDL & WADL)

noreply@blogger.com (Maligno) — Wed, 16 May 2012 01:00:00 +0000

SoapUI es una herramienta Open Source con soporte para Windows y Mac OS X pensada para testear el funcionamiento de WebServices. De manera sencilla carga todos los interfaces de los ficheros WSDL o WADL y permite que se puedan lanzar tests de funcionalidad, test de carga o test de seguridad automatizados para evaluar el comportamiento de los mismos.

Desde el punto de vista de una auditoría de seguridad web, hace muy sencillo cargar el interfaz completo de un sitio y empezar a realizar las pruebas al uso, ya que con sólo crear un proyecto con el fichero de interfaz, ya tenemos todo lo listo para empezar a probar.

Figura 1: Creación de un proyecto con SoapUI

Por ejemplo, la Nasa tiene muchos de los ficheros de descripción de interfaz publicados en Google, y con crear un nuevo proyecto ya están listas todas las peticiones, para que solo sea necesario sustituir los valores marcados con un signo de interrogación.

Figura 2: Uno de los interfaces de la Nasa cargados con SoapUI

La herramienta permite muchas opciones, y hay un manual de buena calidad publicado en Español, que puedes utilizar para sacarle el máximo provecho, pero desde el punto de vista de un auditor, lo más cómodo es tener las peticiones, y enchufarlas a través de un proxy a tu herramienta de auditoría manual preferida, como Zap o Burp.

Figura 3: Opción de Proxy en SoapUI

Una vez grabadas las peticiones, ya podrás lanzar tus tests de hacking preferidos, o hacerles fuzzing, pero si lo prefieres, puedes hacer también los tests desde la propia herramienta, tal y como si lo hicieras directamente desde el propio navegador.

Figura 4: Testing manual desde SoapUI

Hay que tener en cuenta que los ficheros de interfaz de WebServices pueden dar acceso a procedimientos que no están en uso en las aplicaciones web, por lo que un proceso de crawling de la web no sacaría todos, por ello, lo mejor es cargar todos los interfaces y probarlos uno a uno.

Saludos Malignos!

DEF CON me gusta mogollÓN

noreply@blogger.com (Maligno) — Tue, 15 May 2012 00:23:00 +0000

La primera vez que fui a Defcon era la edición número 16, y llegué muerto de miedo. Estuve semanas enteras preparando la charla sobre Time-Based Blind SQL Injection & Marathon Tool, porque el lugar me daba todo el respeto que merece dicho evento.... y me lo pasé genial, y estuve arropado por un montón de amigos.

Al año siguiente en la Defcon 17 fui con mi amigo Palako, a hablar de Tactical Fingerprintng using Metadata, Hidden Info and Lost data, y a sacar a pasear la FOCA, en una charla que creo nos quedó como nunca. Recuerdo que no salí tan satisfecho de una charla nunca. Trabajar con Palako en aquella charla fue una pasada, y creo que en su memoria también estará ese buen recuerdo. En la mía, nunca se borrará el incidente por el que casi acabo en la cárcel.

En Defcon 18 repetí con Palako, después de haber pasado por la Yahoo! Security Week y volvimos a hablar de FOCA en este caso la versión 2 "The FOCA Strikes Back", donde fue genial ver que teníamos a la gente del año pasado y se acordaban de los chistes del anterior. A día de hoy, cuando Moxie Marlinspike me encuentra por cualquier conferencia del mundo, le oigo decir eso de "FOCA is working, FOCA is working...".

Este año, también nos animamos a impartir otra charla, en este caso la de Connection String Attacks, donde hablamos de Connection String Parameter Pollution y sacamos a pasear el CSSP Scanner. Creo que también nos quedó chula, aunque el comentario del final casi me cuesta un disgusto...

En Defcon 19, el año que ganamos el triplete [Eurocopa, Copa del Mundo y HackCup], primero hablé sobre DUST: Your RSS Feed Belongs to you, en un sitio donde no tenía todas conmigo de que el tono de la charla fuera a ser entendido.

Después, en esa misma edición de Defcon, acompañado por Juan Garrido "Silverhack", hablamos sobre Bosses Love Excel, Hackers Too, en una charla en la que Juan y yo trabajamos lo indecible. Puede que parezca que todo es muy sencillo, pero entender todas las políticas, las versiones, y afinar las demos nos llevó al trianero y a mí horas y horas y horas de trabajo, pero el resultado fue muy satisfactorio, y he de reconocer que después de ya varias charlas en Defcon, me sentí muy cómodo en el escenario en todo momento, aunque me pasé todo el tiempo trabajando.

Ahora, la charla de Owning Bad Guys {and mafia} with JavaScript Botnets que dimos en la Rooted ha sido seleccionada para la Defcon 20 (parece que ya es costumbre eso de presentar primero en RootedCON lo que luego haremos en Defcon), y la verdad es que estamos muy contentos. Creo que el espíritu de esa charla encaja mucho con el espíritu de Defcon [version No Lusers]

Y claro, ya que vamos... habrá que volver a ganar la HackCUP, ¿no? ¿Quién se viene a la Defcon este año? ¿Quién quiere jugar en el FOCA Team? Amigos argentinos: Nico, Fran, Fede, Mariano, Eze, Hernán, Claudio, y compañía ... Fear the FOCA!

Saludos Malignos!

RootDSE: SupportedSASLMechanisms

noreply@blogger.com (Maligno) — Mon, 14 May 2012 00:01:00 +0000

Uno de los temas que se tocan en el libro de Ataques en Redes de Datos IPv4 e IPv6 es la de realizar un man in the middle a una conexión LDAP, y robar las credenciales del usuario en el proceso de Binding. Para ello, como está publicado en el artículo de Ataques LDAP, es fundamental conocer qué protocolos de autenticación y qué medidas de seguridad exiten durante el proceso de un autenticación con credenciales.

Es por ello que si quieres hacer un ataque man in the middle a un árbol LDAP se debe conocer esa información. Para ello, si el árbol LDAP permite la conexión anónima, como en el caso de la Nasa o Debian, se puede echar un vistazo al elemento RootDSE, en lugar de conectarse a cualquier otro nodo del árbol.

Figura 1: Conexión a RootDSE en Debian

En el nodo RootDSE se encuentran los protocolos de autenticación SASL y los protocolos de cifrado soportados. Para verlos, hay que configurar en la herramienta de conexión que se esté utilizando que se visualicen todos los atributos, incluidos los que se crean por mantenimiento y operación.

Figura 2: Para ver todos los atributos del árbol

Así, por ejemplo, los protocolos que soporta el árbol LDAP de Debian se pueden ver en los atributos supportedSASLMechanisms son los siguientes:

Figura 3: Protocolos de autenticación soportados en el árbol Debian

Por lo que hay que extremar la complejidad de las contraseñas que se usan y las redes utilizadas en la conexión, ya que para ellos existen técnicas para hacer un ataque man in the middle con éxito. En el caso de la Nasa, la información que se puede obtener es la siguiente.

Figura 4: Protocolos de autenticación soportados en el árbol de la Nasa

Y en cuanto a los protocolos de cifrado se pueden ver en supportedSSLCiphers, se soportan tanto robustos, como no robustos, lo que no sería lo recomendable en una instalación fortificada.

Figura 5: Sistemas de cifrado soportados en el árbol LDAP de la Nasa

Analizando la información en servidores LDAP que permiten conexiones anónimas se pueden encontrar algunos árboles con protocolos de autenticación inseguras, como GSSAPI y SIMPLE, que permiten, negociar en determinados entornos el envío de la contraseña en texto plano.

Figura 6: Un árbol LDAP basado en Novell

Esto es permitido, por ejemplo, en los servidores Windows Server 2003 con Active Directory, ya que permiten por medio de GSSAPI negociar la autenticación SIMPLE.

Figura 7: Password de conexión LDAP enviada en texto plano

Esto hace que, como se ve en el libro de Ataques en redes de datos, la password sea capturada en texto plano en cualquier conexión de una aplicación LDAP que pase por la red atacada.

Saludos Malignos!

No Lusers 131: Broken UP

noreply@blogger.com (Maligno) — Sun, 13 May 2012 05:30:00 +0000

Saludos Malignos!

Debian y su árbol LDAP: ¿Más chulos que un ocho?

noreply@blogger.com (Maligno) — Sat, 12 May 2012 05:30:00 +0000

Estaba yo pasando el rato analizando las configuraciones de algunos árboles LDAP para ver cómo analizar su robustez frente a un ataque de man in the middle, cuando me topé con uno de ellos que me sorprendió. Resulta que si te descargas la versión LDAP Browser de Softerra, y la instalas de forma completa, se agregan una serie de perfiles por defecto de servidores LDAP públicos en Internet. Y mi sorpresa fue encontrar entre ellos a Debian.

Figura 1: árbol LDAP de Debian entre los servidores públicos

Por supuesto, la curiosidad y el anhelo de volver a mi amigo Luciano Bello - además de comprobar si esto es un honney pot o no - me hizo buscarle entre los cientos y cientos de usuarios del sistema, para encontrarle allí.

Figura 2: La entrada de Luciano Bello en el árbol LDAP de Debian

Lo siguiente que me vino a la mente fue:

"Joder que chulos estos de Debian, ahí, con dos huevos publicando la lista de usuarios, la lista de todos los correos electrónicos, qué usuarios son los administradores, qué servidores tienen, qué versiones de software tienen instalado con la configuración de seguridad de sus servidor LDAP y todo. ¡Qué no se diga que no son Open, leñe!"

Figura 3: Información de todos los hosts de Debian

Claro que a mí, por deformación profesional, esto me parece algo erróneo en cualquier caso. más cuando Debian ya sufrió ataque graves y elaborados de seguridad en el pasado, como el Owned de Gluck. No entiendo por qué debe tener acceso anónimo habilitado y regalar los datos de todos los miembros, por pequeños que sean los datos. Pero... tal vez esté yo equivocado y no haya que preocuparse tanto de esto.

¿Y tú que opinas? Desde luego, tengo claro que ya no le voy a lanzar la FOCA... ¿Para qué? si ya es pública toda la red de la organización. No tiene gracia.

Saludos Malignos!

Auditar la seguridad de SharePoint

noreply@blogger.com (Maligno) — Fri, 11 May 2012 05:10:00 +0000

Hoy que tenía un poco de tiempo, y mi maligno hermano me había pedido que revisara la seguridad de un SharePoint 2010 para una auditoría de seguridad, he estado revisando el informe de seguridad que fue presentado en la Hackcon 2011 y emitido por la consultora de servicios de seguridad Stach & Liu para la ISSA (Information System Security Associations), donde se recogen las principales preocupaciones respecto de la seguridad en tecnologías SharePoint, que os paso a describir:

1º- Conocer la superficie de exposición de SharePoint

Este punto es crucial. Saber que tienes un servidor de SharePoint de cara al exterior sin ser consciente de cuales son los puntos de exposición del mismo y así poder forticarlos es algo prioritario. Las principales amenazas en este apartado vienen principalmente por las búsquedas Google Hacking preguntando por rutas y páginas administrativas del portal - como por ejemplo: inurl:”/_catalogs/wt/” -, aunque lo más recomendable es utilizar herramientas automatizadas.

Dentro de estas herramientas hay que destacar la utilidad gratuíta Search Diggity, ofrecida por la citada consultora, que implementa lo que ha dado en denominar SharePoint Google Regext 109 Querys, o lo que es lo mismo 109 expresiones regulares a consultar en tecnologías SharePoint por rutas y archivos administrativos porporcionados por un diccionario de datos especialmente creado para SharePoint (SharePoint Google Dictionary), que se carga desde el menú File=>Import Query Definition.

Figura 1: Search Diggity con módulo de SharePoint Google Hacks

2º- Ataques de fuerza bruta a URL’s de SharePoint

Consistente en la comprobación por fuerza bruta de los principales puntos de autenticación de SharePoint en busca de acceso. Stach & Liu proporciona otra herramienta para tal fin, denominada SharePointURLBrute, desarrollada en Perl, con un modulo ejecutable para Windows. Esta herramienta utiliza 89 extensiones conocidas para probar los ataques de fuerza bruta, a través del archivo proporcionado por la herramienta como diccionario de entrada (SharePoint-UrlExtensions-18Mar2012).

Figura 2: Ejecución de SharePointURLBrute sobre sitio de SharePoint 2010

3º- Escaner de vulnerabilidades para aplicaciones administrativas

En este apartado, se puede utilizar escáneres de vulnerabilidades y puertos tipo nmap para la búsqueda de cualquier aplicación administrativa que funcione sobre SharePoint, tales como la Consola de Administración Central de SharePoint, Proveedores de Servicios Compartidos (2007), etc...

Esto es algo que Juan Garrido y Chema Alonso ya explicaban muy bien en la parte de auditoría y pentesting de SharePoint en el libro que escribimos los tres dedicado a SharePoint 2010: Seguridad.

4º- Control de Prevención de fuga de información (Data Loss Prevention)

Aquí se hace crucial controlar la fuga de información sensible de nuestros servidores web SharePoint, con herramientas como MetaShield Protector. Ademas, recurriendo a técnicas de Google Hacking mencionadas anteriormente, podemos encontrar información de cuentas de usuario, correos, puestos de trabajo.

Hay que tener especial cuidado sobre todo en aquellas implantaciones de SharePoint que tengan muy socializada la red con la aplicación de servicio de perfiles de usuario en funcionamiento, ya que se pueden realizar búsquedas a la pagina /_layouts/UserDisp.aspx (inurl:”/_layouts/userdisp.aspx”), para identificar información de los citados perfiles.

Figura 3: Localización de perfil de usuario de cara al exterior

5º-Usuarios con privilegios de acceso excesivos

Este es uno de los mayores retos de los administradores de SharePoint. Grupos de usuario de SharePoint existentes, niveles de permisos y usuarios/grupos/listas de distribución de Windows conviviendo en una laberíntica implementación de sitios y subsitios con una jerarquía de seguridad heredada (¿o no?), hacen que se pierda control sobre los privilegios de acceso de los usuarios de una organización y más dificil de controlar la seguridad a establecer.

Estos privilegios de acceso pueden estar establecidos sin control alguno sobre determinados servicios web disponibles en SharePoint, tales como Admin.asmx o Permissions.asmx. Búsquedas mediante Google Hacking a ubicaciones “/vti_bin/” y “/vti_adm/” facilitan la localización de sitios de SharePoint con servicios web publicados de cara al exterior y posibilitan un posible acceso de usuarios con privilegios de acceso excesivos.

Figura 4: Informes de seguridad generados por Sushi

En este apartado, podéis utilizar aplicación gratuita llamada Sushi disponible en Codeplex, que, entre otras cosas, nos va a permitir realizar informes de seguridad para identificar en todos los sitios y listas usuarios con acceso y con qué tipo de acceso.

6º- Soluciones desarrolladas por 3ªs personas

Otro riesgo importante para la seguridad, en cuanto a estabilidad y disponibilidad se refiere es la cantidad de soluciones de desarrollo que admiten las tecnologías SharePoint, y que pueden provocar, si no estan programadas correctamente, la inestabilidad en el servidor. Características (features.xml), soluciones personalizadas (*.wsp), elementos web (*.dwp), flujos de trabajo, etcétera, son algunas de los componentes de desarrollo que se pueden incluir en SharePoint y que afectarán en mayor o menor medida al servidor.

El implementar a la ligera cualquier tipo de desarrollo externo, luego puede traducirse en características o webparts perdidas a la hora de migrar - al no haber compatibilidad de versiones, como pasó con las famosas 40 plantillas de aplicación en su momento -, como puede ser en migraciones de base de datos adjunta.

SharePoint 2010 ha avanzado algo en este sentido, al incluir el desarrollo de soluciones Sandbox, las cuales permiten la ejecución de forma segura de componentes de desarrollo sin penalizar un cierto despliegue de SharePoint en el caso de que no se hayan seguido las buenas prácticas a la hora de desarrollar dichos componentes, minimizando así el riesgo de plugins de terceros.

Figura 5: Despliegue de soluciones sandboxed

7º- Múltiples formas de realizar copias de seguridad

La conclusión del informe de la consultora Stach & Liu acaba indicando lo terrible que puede llegar a ser realizar copia de seguridad sobre entornos SharePoint, al disponer de multiples formas y métodos y a diferente nivel para la realización del mismo, listando algunas de las formas disponibles que son:

- Desde Windows Server 2003/2008/R2
- Utilidad Stsadm con comandos de Backup
- Copias de seguridad desde SharePoint Central Administration
- Copias de seguridad desde SharePoint Designer
- Copias de seguridad de plantillas de sitio y listas
- Copias de seguridad de bases de datos de SQL Server

Yo personalmente no veo esto un problema si conoces el funcionamiento de cada una de las herramientas disponibles, no siendo excluyentes la utilización de varias a conveniencia, como sería lógico, pero para eso se requiere un conocimiento profundo de qué contiene cada elemento, ya sea una base de datos o una plantilla de sitio.

Un saludo a todos.

Autor: Rubén Alonso
Blog: Punto Compartido
Autor del libro SharePoint 2010: Seguridad

Los payasos no computan

noreply@blogger.com (Maligno) — Thu, 10 May 2012 05:30:00 +0000

Cuando hice el dibujo de No Lusers dedicado a Clown Computing, suponía que nadie podría equivocarse en esos términos. Sin embargo, me ha hecho mucha gracia cómo Google asume que sí. Si buscáis por Clown o por Computing, cada término por separado en una búsqueda, los resultados que se obtienen son muchísimos.

Sin embargo, cuando se busca por Clown Computing, lo que aparecen son anuncios de Cloud Computing. WTF?

¿Es que los payasos no computan? Si lo hacen, desde luego no es con computación payasa, por lo que si algún día se buscan una metodología ¡qué se busquen otro nombre!

Saludos Malignos!

Gira Up To Secure 2012 Online

noreply@blogger.com (Maligno) — Wed, 09 May 2012 05:10:00 +0000

Durante el primer trimestre del año realizamos la Gira Up To Secure 2012, en la que participamos una buen número de empresas, y donde visitamos 10 ciudades españolas. El material de las charlas está ya disponible online, y aquí os lo traigo, por si queréis ver las diferentes presentaciones:

Lo que será windows 8

Soluciones de seguridad empresarial desde la nube. Nuevos retos: protección de terminales móviles

Análisis forense & security smartphones

Firma digital y biométrica en smartphones y tablets

D-Link technologies

Un paseo por la seguridad de las comunicaciones móviles (2G/3G) de voz y datos

Seguridad, mantenimiento y gestión de parches de seguridad en la nube

Saludos Malignos!

Dopado hasta el gorro

noreply@blogger.com (Maligno) — Tue, 08 May 2012 06:31:00 +0000

Me suelo entusiasmar con las tareas que hago y disfruto haciendo multitud de cosas diferentes. Eso hace que al final los límites los tenga que poner mi cuerpo - que de vez en cuando me recuerda que no soy RoboCop - y el tiempo, que hace que el día me eche la manta de la noche antes de tiempo cuando aún no he terminado de hacer lo que quería haber hecho ese día.

Como conozco de esos límites he desarrollado una actitud ante las cosas que hago nada perezosa o vaga, así que si tengo que hacer algo, lo hago y punto. No escucho al diablo ese que nos muestra el camino del sofá, la cerveza y la televisión cuando empieza a pesar el ritmo de combate de la jornada.

Pero con todo y eso, hace tiempo que alcancé los límites de lo que puedo hacer en un día, y ha hecho que siempre se me quede algo en el tintero. Proyectos con Informática64, que cada día es más grande y hace más cosas - gracias por ello queridos clientes - a Wayra y las Becas Talentum que es un proyecto que me tiene enganchado por la posibilidad de trabajar con estudiantes universitarios haciendo tecnología, mis charlas en las conferencias - algo que adoro hacer -, dibujar, escribir en los blogs, enredar con el hacking, mis clases en la UEM, o el más reciente proyecto de traer de vuelta a Cálico Electrónico, son aveces demasiadas actividades para un día, por lo que procuro ser muy estricto en qué dedico mi tiempo y cómo lo reparto.

Tengo rutinas que sigo desde hace años y cumplo con disciplina militar para mantener el ritmo, lo que me ha llevado a interiorizar muchos hábitos que me ayudan a agilizar mi trabajo y maximizar el tiempo que invierto en ello. No hay truco, sólo práctica.

Pero hay algo que no todo el mundo sabe, y es que, como especulaban algunos vecinos trans-pirenaicos, me dopo. Hago uso de sustancias estimulantes que me ayudan a maximizar el rendimiento de mi tiempo, y cuando hago uso de uno de ellos, parece que voy más rápido con todo. Son los mensajes de apoyo.

Cuando me llega un correo electrónico de alguien que me dice que le encanta lo que hago, que le he inspirado en sus estudios o en su vida laboral, que disfruta con mis charlas, o que es una adicto a mi blog, que quiere mi cuerpo... - bueno de estos aún no llegan, pero estoy en ello - o que es fan mío, me siento flotar.

Me estimulan a hacer más y más cosas, y las guardo con mucho cariño. Algunas han logrado emocionarme, algunas me han hecho reír mucho, y otras me han tocado en lo más profundo por lo sentido de los sentimientos que transmiten. Otras me han encantado, por el trabajo que hay detrás de los dibujos, las caricaturas, los montajes fotográficos, los posts en los artículos, los iconos, comics, etcétera, en los que puedo imaginar todo el tiempo que se ha invertido.

Caricatura enviada por JabyReART

A veces he tenido la ocasión de veros en persona, de poder haber pasado un poco de tiempo con vosotros tomando un café, una cerveza o discutiendo un rato, y me siento genial. Otros sois ya parte de mis amigos, y disfruto de mantener una relación más personal, e irnos a comer, tomar algo, estar de visita en vuestros hogares o llamarnos por teléfono con cierta regularidad.

Sin embargo, cuando el volumen de trabajo no me permite mostrar con detalle todo el agradecimiento que me gustaría en la contestación, me queda una desazón interna. Me gustaría transmitir en la respuesta que me ha encantado el correo electrónico, el dibujo, el comic, o las palabras en persona, que es impresionante que compañeros de profesión me digan esas cosas, y de una manera tan personal y directa, que tanto me llega.

Como a veces se me pasan los twitts, los mensajes que me llegan por Facebook, e-mail o los comentarios en el blog sin tiempo para contestarlos, valga este post para agradeceros a todos que me mantengáis dopado con vuestras muestras de afecto y cariño, y contestaros públicamente con el gracias más maligno de mi corazón. Gracias.

Saludos Malignos!

Estela Encobrada

noreply@blogger.com (Maligno) — Mon, 07 May 2012 06:00:00 +0000

Como estaba anunciado, aquí tienes el nuevo capítulo. Ponlo a pantalla completa y disfrútalos en HD a ful.

Llego el día 7 de Mayo, a las 00:00 horas, se publicó el Primer Capítulo de la IV Temporada de Cálico Electrónico, que llevó por título: Estela Encobrada... y me sentí feliz. Por fin, después de tan largo camino podía volver a ver un nuevo episodio del Superjirou Aspañol más grande del universo... - en todos los sentidos -. Nikotxan lo había hecho otra vez, y teníamos a Cálico tan "mejor" como siempre, con un capítulo con toda la huella del héroe.

No ha sido nada más que el comienzo, y esperamos que podamos seguir muchos más años con él, pero sabemos que queda mucho por hacer, y más en estos momentos tan complicados económicamente. Quiero hacer notar que desde ESET España, y desde Ontinet, nos ayudaron con un sponsor de toda la temporada apostando por Cálico Electrónico desde el minuto 1. Sin ellos no hubiera sido posible y quiero darles las gracias otra vez.

Y por supuesto sin los aficionados a Cálico Eletrónico nada tendría sentido, así que se ha querido estar cerca de todo ellos, por lo que se ha creado un Canal en Youtube con los vídeos clásicos en HD, una página en Tuenti, una página en Facebook, página en Google + y un Canal en Twitter, para que sigas y contactes con el gordito desde dónde más te guste.

Además, si quieres colaborar con Cálico Electrónico puedes comprar algo de merchandising en la Tienda Oficial Cálico, sponsorizar la serie o algún capítulo o enviarnos al correo del fan lo que más te guste - toda la info en la web oficial de Cálico Electrónico -. Por supuesto, a todos los que nos habéis ayudado con la difusión vía blogs o redes sociales, también os queremos dar las gracias, que hay mucha gente que aún no se lo creía....

Saludos Malignos!

Amenazas en Internet en 2011: 403 Millones de malware

noreply@blogger.com (Maligno) — Sun, 06 May 2012 07:55:00 +0000

Symantec ha publicado el Internet Security Threat Report 17, con el resumen de lo que ellos han visto relativo a la seguridad informática durante el año 2011. Este informe es muy similar a los Security Intelligence Report que realiza Microsoft, y siempre arrojan datos curiosos. El documento, que puede ser descargado desde este enlacen en su versión resumida [ISTR 17], trae algunos datos que llaman la atención, y otros que son ya bastante conocidos y asumidos.

Por supuesto, en primer lugar hay que recordar lo que ya sabemos y no hay que olvidar, pero que recalcan en el informe como que el spam farmaceutico sigue siendo el campeón, como que el malware sigue creciendo, que los Mac OS X están en la línea de fuego, que los dispositivos móviles son objetivo atacado ya, que en las infraestructuras críticas se han descubierto vulnerabilidades críticas, o que el número de bugs descubiertos, bajó un poco, pero sigue siendo muy alto.

Figura 1: Número de bugs por año

Por supuesto, la industria del malware y el fraude online sigue siendo el gran motor de esta industria, y el número de copias únicas de malware se ha disparado, pasando según el informe de 286 Millones de variantes de malware en 2010 a 403 Millones de copias únicas de malware, lo que no es moco de pavo. Estas copias, casi todas, se distribuyen vía infecciones de sitios web, utilizando kits de explotación, tipo Black Hole - que a día de hoy es el preferido de tu amigo el criminal - y se crean usando herramientas automatizadas, para al final conseguir infectar a las víctimas a través de sitios web infectados.

Curiosamente, los sitios más peligrosos no son los pornográficos, como muchos podrían pensar por una antigua creencia, sino que los blogs y webs personales son lo más vulnerado. Recordad que en los ataques automatizados de sitios web, se pueden llevar por delante hasta webs de renombre, como la de la propia Apple.

Figura 2: Sitios más peligrosos para navegar por ellos

Como reflexión curiosa, y extraída del propio informe: Los sitios religiosos o ideológicos son el triple de peligrosos que los sitios pornográficos, algo que seguro que alguno saca una sonrisa por lo irónico de la metáfora.

Figura 3: Religión, Porno y Malware

Como último punto a destacar del informe, antes de que os pongáis con su lectura, os dejo esta cuenta de vulnerabilidades por navegadores en 2011, en la que se puede ver cuál ha sido el que más fallos de seguridad ha tenido durante el año pasado, y que como queda claro fue: Apple Safari.

Figura 4: Vulnerabilidades en 2010 y 2011

Detrás de Apple Safari quedaron Mozilla Firefox y Google Chrome, dejando a Internet Explorer en la cuarta posición en número de bugs.

Saludos Malignos!

Ejecutar código remoto en Apache con PHP en modo CGI

noreply@blogger.com (Maligno) — Sat, 05 May 2012 06:50:00 +0000

El pasado 3 de Mayo ha salido a luz un serio bug, identificado con el CVE-2012-1823, que afecta a todas las instalaciones de PHP en modo CGI, que permite llamar directamente desde el la URL a los parámetros del motor PHP, lo que provoca que se pueda ejecutar código remoto en cualquier servidor con una instalación vulnerable.

Figura 1: Parámetros de llamada del motor PHP

Con estos parámetros se pueden hacer cosas bastante curiosas, como se puede ver en la ayuda del motor PHP, entre los que tenemos -s, que deja ver el código fuente del código a ejecutarse. Esto permite que con un sencillo -s en la URL el servidor web muestre el todo el código del sitio PHP que estamos visitando, y poder acceder a toda la información de configuración que allí se encuentre.

Figura 2: Código PHP mostrado desde la llamada de la URL

Por supuesto, con el modificador -d es posible incidir en los parámetros de ejecución del motor PHP, pudiendo escribir nuestro propio código en el servidor, por ejemplo, para obtener un phpinfo que nos de todas las variables del servidor.

Figura 3: info.php obtenido por medio de una llamada al motor PHP con -d

Y si se desea ejecutar una webshell, se puede modificar la configuración directamente desde la URL para insertar la webshell remotamente, en este ejemplo una C99.

Figura 4: Introduciendo una C99 por medio de una llamada al motor PHP

PHP ha publicado un parche de urgencia, pero tiene una vulnerabilidad que hace fácil saltárselo, y se ha abierto un nuevo expediente CVE-2012-2311 para seguirlo. Pero la historia del bug es aún más curiosa. El estándar CGI permite que se envíen desde el query string argumentos al ejecutable que se encargue de la ejecución, y Apache lo implementa. En el año 2004 se supo de los problemas que esto podría acarrear en entornos PHP y la documentación dice que PHP, cuando se ejecute en modo CGI ignorará esos argumentos... pero en algún momento de aquel 2004 alguien quitó el código de protección.

En el CTF de la NullCON se utilizaron los servidores de DreamHost para el llevar la puntuación, y al final se encontró el bug para conseguir ejecución de código y ownear el servidor. Ahora Internet está revuelto. Tienes toda la historia de este ya famoso bug en el post de publicación del fallo.

Ya está implementado el ataque en Metasploit, y por supuesto, nosotros estamos metiendo esta comprobación a la FOCA, por lo que los que tengáis la versión PRO en breve tendréis ya en la nueva actualización esta búsqueda, junto con alguna sorpresa más.

Saludos Malignos!

All input is evil...

noreply@blogger.com (Maligno) — Fri, 04 May 2012 05:43:00 +0000

Durante el mes de Marzo participé en el Developers Day de Wayra, dando una charla en streaming a desarrolladores sobre lo problemas de no tener buenas prácticas de desarrollo. La llamé "All input is evil". Es una charla de 40 minutos de duración que se impartió online, y que ahora han subido al canal de Agora News para que la pueda ver todo el mundo. Aquí os la dejo.

Saludos Malignos!

De Móstoles a Bogotá: FTSAI e IT Mega Conference

noreply@blogger.com (Maligno) — Thu, 03 May 2012 05:31:00 +0000

Con la llegada de Mayo ya toca pensar en los siguientes encuentros que me esperan, y volver a hacer la maleta. Sin embargo, antes de irme de viaje, estaré en el módulo de Auditoría de aplicaciones Web en el FTSAI, que comienza el próximo 4 de Mayo, donde impartiré una clase de 5 horas a mis alumnos sobre el libro de Hacking de Aplicaciones Web: SQL Injection, que les entregaré como documentación, junto con el de Sharepoint 2010: Seguridad a todos los que están apuntados - creo que aún queda una plaza, así que podrías apuntarte si quieres -.

Además, como viajo a finales de semana, también intentaré participar en los primeros días del Curso de Iniciación al Pentesting que daremos en Informática64 del 7 al 11 de Mayo.

Después, a la semana siguiente estaré en Bogotá, participando en IT Mega Conference, un congreso que tiene una pinta espectacular, y en el que estaré junto con un montón de amigos y colegas de profesión donde además estará mi amigo Cristian Borghello, MVP de Microsoft en Argentina, y responsable de Segu-Info.

El encuentro tendrá lugar los días 10, 11 y 12 de Mayo, y yo daré dos charlas y un taller de 8 horas sobre Ataques en redes de datos IPv4 e IPv6. Si te pilla bien ya puedes apuntarte, que yo ya estoy haciendo las maletas.

Saludos Malignos!