29 julio 2015

Nominados a los Pwnie Awards 2015

Un año más, los premios a los mejores FAILs en seguridad informática (a este paso habrá que hacer varias convocatorias) Pwnie Awards serán entregados durante la Black Hat USA que se celebrará en Las Vegas entre el 1 y el 6 de Agosto.


Desde ayer, ya tenemos la lista de nominados para cada una de las categorías propuestas. En negrita, he marcado mis preferencias para ser los ganadores.

Pwnie for Best Server-Side Bug

  • SAP LZC LZH Compression Multiple Vulnerabilities (CVE-2015-2278, CVE-2015-2282)
  • Clobberin' Time (CVE-2014-9293, CVE-2014-9295)
  • Magento(CVE-2015-1397)

Pwnie for Best Client-Side Bug

  • Will it BLEND? (CVE-2015-0093, CVE-2015-3052)
  • Sandworm (CVE-2014-4114)
  • It's ESET Up!
  • W3TotalFail

Pwnie for Best Privilege Escalation Bug

  • Rowhammer
  • PingPongRoot (CVE-2015-3636)
  • UEFI SMM Privilege Escalation
  • Wild TTF Overflow
  • Will it BLEND? (CVE-2015-0093, CVE-2015-3052)

Pwnie for Most Innovative Research

  • ret2dir
  • Modern Platform-Supported Rootkits
  • Threatbutt Advanced Enterprise Platform
  • Abusing Silent Mitigations
  • Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice

Pwnie for Lamest Vendor Response

  • "A Peek Under The Blue Coat"
  • Seagate NAS RCE
  • Samsung Swift Keyboard MITM RCE

Pwnie for Most Overhyped Bug

  • Shellshock (CVE-2014-6271)
  • iOS CoreText DoS (CVE-2015-1157)
  • VENOM (CVE-2015-3456)

Pwnie for Best Song

  • "Try Harder!" - Offensive Security
  • "Integer Overflow" - NYAN
  • "Clean Slate" - YTCracker
  • "Spierdalaj Kurwa" - Acid Flux, Dariush Gee

Pwnie for Most Epic FAIL

  • Oh, Please... Man! (OPM)
  • We're Not Quite Sure (Bank in Poland)
  • Peepin' on the Creepin' (Ashley Madison)
  • ManageEngine
  • Aviator (WhiteHat Security)

Lifetime Achievement Award

  • Ivan Arce
  • Gera Richarte
  • Wu Shi
  • Halvar Flake
  • Rolf Rolles

Pwnie for Epic 0wnage

  • Kaspersky Lab (Duqu 2)
  • Hacking Team
  • U.S. Office of Personnel Management
  • The World (always China)
  • Samsung Swiftkey Keyboard Bugdoor
Queda muy poco para saber los verdaderos ganadores, actualizaremos este post con los resultados, pero por el momento, podéis dejar vuestras apuestas en los comentarios. ¡Que gane el "peor"!

Leer más...

26 julio 2015

Enlaces de la SECmana - 286

Leer más...

24 julio 2015

Hackers a domicilio


Da bastante miedo los portales para alquilarte a tu propio hacker y que participen en tus proyectos. Un trabajo en el que se requiere un nivel tan alto de especialización y ética en manos de personas prácticamente desconocidas ¡Fuuu!

Pero mucho más miedo provoca buscar por la palabra hacker en los portales más famosos de contactos y anuncios.  En esta entrada, perfecta para un viernes, vamos a ver unos cuantos ejemplos.

1.- Hacking de redes sociales ECONOMICO, eso sí... Whatsapp, móviles, un clásico. El anuncio es tan lamentable que no tengo claro si soy fan o hater. Lo que realmente asusta es que se ha solicitado el teléfono 59 veces.

Persona que "vulnera" redes sociales, whatsapp y cualquier cosa con su software "hack"

2.- Informática Forense, o eso dice él, aprovechando el marketing de los forenses, aunque es más de lo mismo, redes sociales, correos electrónicos, "softare hack" a "medidda". Una pasada. Lo mejor es que a diferencia del anterior, este ya es "Profesional", lo pone bien claro en rojo.

Informática Forense, mismamente.

3.- Hacker(A) Experimentad(A). Mejor que quede claro que es una chica, que las hackers como Lisbeth Salander venden mucho más que los profesionales como el anterior. Esta también facilita exámenes, universidades

HackerA

4.- Me lo quitan de las manos OIIIGAAAA. qué lo mismo te robo un usuario de una red social que me cuelo en tu hotmail. BAAARAAAATOOOO.

Hacker 4 cacahuetes.

5.- ¿Venta de cuentas bancarias hackeadas? y ahora se pone un poco más feo. Yo por si acaso ya le he dado a "Denunciar", curioso como el futuro presidiario pone distintos precios según la nacionalidad de la cuenta. En fin, que no hace falta irse a Tor (eso de la deepweb es un cuento chino) para encontrarse estas cosas.

Venta de datos bancarios.



Leer más...

21 julio 2015

Vulnerabilidad en el aeropuerto, sacando listados de viajeros

Últimamente se habla bastante de la seguridad en aeropuertos y aviones. Charlas en eventos como HiTB, RootedCON o T2, y además los medios de comunicación prestan atención a las detenciones de hackers que han confesado vulnerar la Wifi de servicio de un avión. 

La tecnología avanza a pasos agigantados y más en los aeropuertos, pero lo hace más deprisa que su propia seguridad, pese a todas las medidas de control que nos ponen a los viajeros. Es algo muy sensible, y toda una industria lucha por parecer más segura de lo que realmente es.

Cuando vas a un aeropuerto, difícilmente puede escapar de los kioskos o terminales automáticos que ayudan a realizar tu check-in. Equipos destinados a agilizar las largas colas en periodo vacacional, y que además sirven para sustituir al personal de tierra en los aeropuertos de medio mundo.

El otro día me disponía a emplear una de esas máquinas en Croacia. Volvía de vacaciones y me veía obligado a escanear mi pasaporte, ya que estos equipos incorporan un escáner que mediante OCR transcribe los datos del viajero y los vuelca en las bases de datos de las compañías.


Hasta aquí todo bien. El problema fue cuando el lector de la máquina que estaba empleando no funcionaba correctamente, y mis datos no eran incorporados de forma automática. Me solicitaba que acudiese al mostrador debido a un error en la lectura de datos de mi pasaporte.

En vez de ir al mostrador, traté de alguna forma de incluir mis datos en los campos obligatorios, pero iluso de mi, no se mostraba ningún escritorio por pantalla. Era OCR o nada.

Sin embargo, vi que al pulsar sobre cada uno de los campos, veía información de los viajeros. ¿WTF? 

Nombre, apellidos, nacionalidad, género, fecha de nacimientos, DNI/Pasaporte y fecha de expiración. Tenía la posibilidad de visualizar miles de datos de viajeros que habían escaneado sus pasaportes, y además por orden. Los últimos en registrar sus datos, aparecían los primeros (Last In Fisrt Out).


Es curioso como las pruebas de seguridad en las aplicaciones, se centran casi exclusivamente sobre el campo “password” para evitar el autofill, sin reparar muchas veces en el resto de campos. Está claro que la empresa IER ha olvidado que los datos personales son críticos, y esto es un ejemplo de Incidente de seguridad donde los datos personales quedan completamente expuestos.


Y es que con el “autofill” a pleno rendimiento, solo necesitas un rato para extraer todos los datos de los viajeros que emplearon el terminal. Un método discreto es emplear la cámara del móvil para grabar mientras en cada campo recorres el scroll. Ya habrá tiempo en casa de pasar los datos a limpio, y tener una base de datos bien organizada. No iba a resultar problemático o sospechoso, puesto que ahora con los billetes electrónicos, muchas veces se necesita introducir la referencia de vuelo o bien el escaneo de algún código QR proporcionado por la compañía, así que es habitual que la gente tenga el teléfono móvil en la mano mientras realiza su registro. 

De acuerdo al funcionamiento de la aplicación, la única forma de entrada de datos debe de ser por OCR, es decir, manualmente tan solo puede introducirse el Booking Reference, digamos el código único de tu registro. Y es por eso que habrán tenido semejante error, tanto en las fases de diseño, desarrollo y en las pruebas de QA.

Ni que decir tiene que tras ver eso, fui directamente al mostrador de la compañía para que me hiciesen el check-in allí mismo, no quería que mis datos quedaran registrados en los terminales automáticos.

Contribución por Anónimo

Leer más...

20 julio 2015

Hacker Épico en comic.


Hace ya mucho tiempo que anunciamos que la editorial de Hacker Épico, 0xWord, nos informó que haría un comic basándose en la historia de nuestro héroe particular. Aquella fue una gran noticia y esperábamos ansiosos el resultado que hoy ya podemos ver.

Tanto Rodrigo como yo hemos sido meros espectadores de cómo Eve Mae le daba vida y dibujaba nuestras aventuras. 

Eve, una joven artista con mucha experiencia y fuerza, ha trabajado página a página y capítulo tras capítulo en un largo y duro viaje que por fin se puede apreciar y que personalmente pienso  ha quedado impresionante.

La adaptación, editada en A4, cuenta la misma historia dejando de lado las acciones técnicas y centrándose en la aventura.

Tal y como hicimos con el libro, publicando el prólogo de Yago, os dejamos el prefacio que hemos escrito y que acompaña esta edición en sus primeras páginas.

Prefacio: Hacker Épico se hace estético.

Hace más de dos años, cuando vimos publicado nuestro Hacker Épico, no podíamos estar más satisfechos. Concluía un largo camino que, como todo proceso creativo, había tenido sus escollos, pero que en general había resultado divertido y gratificante. La enorme acogida que tuvo el libro, así como los generosos comentarios de los primeros lectores, que pedían casi sin excepción una segunda parte, nos hizo alcanzar la cima del entusiasmo. Y justo cuando nos encontrábamos allí arriba, incrédulos de la suerte que había corrido nuestro pequeño proyecto literario, vino Chema Alonso, cual hada madrina, para cumplirnos un nuevo deseo. Un deseo que ni siquiera sospechábamos que teníamos hasta que él nos lo planteó. 

Chema había demostrado valentía al publicar un trabajo tan diferente de los libros técnicos que venía ofreciendo su editorial. Cuando nos llamó para comentarnos su idea, nunca imaginamos que esta pudiera superar a la anterior en audacia. Y así fue. Como gran amante del noveno arte, Chema pensó que la aventura de nuestro hacker Ángel Ríos podía adaptarse a las viñetas. Quería, en definitiva, editar un cómic de Hacker Épico. Tras tomarnos unos segundos para digerir la noticia, saltamos de emoción. También nosotros somos lectores de cómics, aunque estamos lejos de alcanzar el nivel del maestro Chema, y en no pocas ocasiones, mientras escribíamos una escena, la imaginábamos como una viñeta, y a nuestros personajes bien dibujados sobre ella. Ni que decir tiene que la propuesta nos pareció fantástica, en las dos acepciones de la palabra, por irreal y extraordinaria. Pero si una mezcla de novela negra y manual de hacking había funcionado, ¿por qué no iba a funcionar un cómic sobre la misma base? 

Ya que el experto era Chema, él se encargó de buscar a la persona más adecuada para llevar el proyecto a buen puerto. Nosotros sabíamos que estaba en las mejores manos. Finalmente, encontró a Eve Mae. Su obra previa la acreditaba como una excelente artista. Cualquiera que contemple sus dibujos, sea lego o avezado en la materia, no podrá decir lo contrario. Pero es después de ver acabada su visión de Hacker Épico cuando comprendimos que, efectivamente, ella había sido la mejor elección para adaptar nuestra historia.

Nosotros sabíamos que la adaptación no iba a ser un camino de rosas. Las peculiaridades de la novela, parte de ella dedicada a explicar cuestiones técnicas y procesos informáticos, dificultaban enormemente una traslación exacta. Algo, por otro lado, nunca deseable en la adaptación de una obra original, pues la historia se tiene que amoldar a cada medio de expresión. Por suerte, Eve se implicó desde el primer momento con un ímpetu arrollador. Leyó y releyó el libro, nos interrogó sobre algunos aspectos que necesitaba aclarar, interiorizó la trama y la hizo suya, trabajó con el texto hasta convertirlo en un guión que pudiera desarrollar luego en imágenes, todo ello con una dedicación y voluntad de superación admirables. Con todo ese material, que no constituía más que los cimientos y el armazón sobre los que edificar su edificio creativo, Eve comenzó a dibujar. Al admirar, pues no hay mejor verbo para definir la contemplación extasiada de algo, los primeros bocetos de nuestros personajes, que de algún modo ya estaban pintados en nuestra imaginación, asentimos con la cabeza y exclamamos al unísono: ¡Mola! Aquellos trazos en blanco y negro, con alto contraste y estética noir, eran, aunque suene cursi decirlo, la materialización gráfica de nuestros anhelos. Y asistir a todo este proceso, bien es cierto que como simples espectadores, pues el esfuerzo y el mérito son sólo de Eve, ha sido un espectáculo fascinante. 

Angel Rios visto desde su propio portátil.
Con el cómic ya terminado, Ángel Ríos ha vuelto a vivir su aventura. Una vez más, ha arrostrado graves peligros por su amada Yolanda; de nuevo, ha superado obstáculos gracias a sus conocimientos informáticos; también como antes, ha necesitado la ayuda de su amigo Marcos. Pero esta vez es diferente. Esta vez no hemos sido nosotros quienes lo hemos llevado de la mano; esta vez no hemos tenido que dirigirlo en sus decisiones ni acompañarlo allá donde estas lo llevaran. Ahora lo vemos desde arriba, como unos padres cariñosos que vigilan a su hijo desde la ventana, acompañado por Eve Mae, que ha creado a su vez esa ventana llamada viñeta para nuestro deleite. También para deleite de cualquier lector que abra las páginas de este Hacker Épico. 

Para nosotros, hacerlo ha sido una experiencia alucinante. Esperamos que también lo sea para el lector. Estamos seguros de que, haya leído la novela o se acerque a esta historia por primera vez a través de los pinceles de Eve Mae, no se sentirá decepcionado y sabrá reconocer el asombroso trabajo de una artista genial. 

Alejandro Ramos y Rodrigo Yepes

Leer más...

19 julio 2015

Enlaces de la SECmana - 285

Leer más...

17 julio 2015

EVO Banco te pide que la enseñes

EVO Banco, cuyo eslogan es 'Banca Inteligente', se ha descolgado con una campaña veraniega totalmente surrealista.

Pide a sus clientes que, empleando el hashtag  #TarjetaalasComisiones hagan fotos de sus tarjetas de crédito y las suban en Twitter, Instagram y Facebook.

Suena a chiste, parece sacado de los correos SPAM mas zafios que suelen llegar, pero no, es totalmente cierto la campaña reza tal que así:

Este verano, alza una de tus tarjetas EVO con orgullo, hazte una foto con ella en cualquier parte del mundo, compártela con el hashtag #TarjetaalasComisiones en Instagram, Facebook o Twitter, y podrás conseguir un viaje para dos personas a cualquier ciudad europea. Pero no vale cualquier foto, tiene que ser creativa, divertida y sobre todo, ¡diferente!

El premio, un viaje. Es evidente que esta campaña no ha pasado por la mesa del equipo de seguridad del Banco, ya que una de las luchas más intestinas que todo departamento de seguridad bancaria tiene, es, sin duda, que sus clientes sean precavidos a la hora de ofrecer sus datos bancarios.

Por tanto, pedir que se hagan fotos de las tarjetas y esperar que los clientes tengan el buen juicio de 'editar' las fotos para que no se vean los números o que no salgan los datos, es una temeridad.

De hecho, ya puestos, la campaña es totalmente falseable, simplemente puedes imprimir



Y hacerte la foto !
Leer más...