30 octubre 2008

Recopilación de sites con listas de cuentas por defecto


Que mejor homenaje al título de nuestro blog que enumeraros en un post las que, por lo menos para mí, son los mejores sites cuyo fin es recopilar usuarios y contraseñas por defecto tanto de dispositivos de red (quién no necesita ciertas credenciales de ciertos routers en concreto mientras realiza una "auditoria wifi" a su vecino...), como de servidores de aplicaciones ("¿anda, y este formulario de login en este puerto tan raro de esta aplicación web? vamos a probar..."), etc etc.


  • Lista en Cirt.Net - Igual por el nombre no os suena al principio, pero ¿y si os digo que de este sitio sale una herramienta muy utilizada para auditorias de servidores web? Si, exacto, es el hogar del Nikto. Pues no sólo nos debemos dirigir a su sección dedicada a tal script, en ella también nos podemos encontrar una de las mejores listas de cuentas de usuario y contraseñas por defecto, todas ellas catalogadas por fabricante ("vendor"), contando con más de 1700 contraseñas en su base de datos.
  • Lista en Cyxla - A simple vista podría parecer una de las múltiples páginas que se dedican a realizar este tipo de recopilaciones, pero hay dos cosas que me atraen mucho de esta en concreto... Lo primero, su fecha de última actualización, que corresponde al 17 de Octubre de 2008 en el momento en el que se está escribiendo este post. La página lleva operativa desde 2004 nada más y nada menos. Lo segundo, la posibilidad de poder aportar cada uno con más credenciales en el caso de no encontrarse ya registradas, todo ello, mediante previa aprobación por el administrador, y con este formulario.

  • Lista en Default-Password.info - Página con diseño más bien minimalista pero con una gran recopilación en ella. También separada y catalogada por fabricante, en la que predomina sobretodo la gran cantidad de cuentas por defecto de dispositivos de red.

Hay multitud de ellas, quizás la más conocida y en la que primero miramos cuando nos enfrentamos a un router wifi al que "queremos abrir los puertos" es esta de fondo negro y fuente naranja, pero siempre es más cómodo disponer de un buscador y no tener que buscar desde el propio navegador. en un html kilométrico. Para gustos los colores, como se dice, y si creéis que alguna más merece especial mención, los enlaces a modo de comentarios siempre son bien recibidos.
Leer más...

29 octubre 2008

Hackeos memorables: Arsys

Continuando con la saga de los artículos que nos hemos propuesto recopilar, hoy le toca el turno a una empresa española dedicada al hosting, housing, gestión de dominios, etc,... Arsys.es
El ataque explicado en esta ocasión es bastante reciente: Abril/Mayo de 2007.

La metodología del ataque fue la siguiente. Unos atacantes (presumiblemente rusos) detectan una aplicación web del área de clientes de Arsys que no validaba correctamente los parámetros de entrada. De esta manera, con un poco de magia en SQL Injections, los atacantes consiguen listar el contenido de la base de datos de usuarios/contraseñas (suponemos que los números de cuenta también aunque esto no podemos confirmarlo afirmativamente).

Con las contraseñas conseguidas de la base de datos (estaban almacenadas en texto claro) intentaron acceder al área de cliente para FTP. En el 90% de los casos el acceso era correcto, puesto que la contraseña de hosting de FTP de los clientes coincidía con la robada del área de cliente.

A partir de aquí los atacantes podían hacer un defacement completo a las páginas de los clientes de Arsys. Sin embargo, su base de actuación consistió en descargar los diferentes index.php o index.asp e introducir un iframe con código javascript ofuscado en las mismas volviéndolas a dejar en su sitio. Este código javascript descargaba un troyano que se ejecutaba en los clientes que visitaban esas páginas.

Nos podemos imaginar los miles de accesos a montones de páginas web de empresas y organizaciones importantes alojadas en Arsys, entre otras el Partido Popular, Izquierda Unida (que sufrió otro defacement hace poco tiempo). Pues todos esos clientes fueron infectados por el troyano.

Para la elaboración de ese ataque los atacantes utilizaron presuntamente un toolkit llamado MPack.

Posteriormente, Arsys intentó ocultar la existencia del ataque (buscad notas de prensa del compromiso de Arsys del 11/06/2007!!!) Para intentar arreglar (parcialmente) el problema causado (recordad la cantidad de usuarios visitantes de las páginas infectados que Arsys no tendría mucha consideración con ellos) se ideó un sistema de scripts que recorrían los diferentes dominios en busca de los iframes maliciosos y se borraban de las páginas de inicio.

Asimismo se hizo un mailing a todos los clientes de Arsys solicitando un cambio de contraseña (por motivos de política de seguridad) para el acceso FTP a las áreas de hosting y se forzó además que en el siguiente login de los clientes se cambiara la contraseña actual.

Los crackers contratacaron mediante scripts que inyectaban la contraseña antigua (la tenían) en el CGI de cambio de contraseña, y ellos mismos modificaban la password de los clientes y actualizaban la suya de manera que la medida no corregía nada.

Finalmente se implementó un sistema de Captchas para evitar que el cambio de contraseñas fuese automatizable y que los usuarios por fin pudieran modificar su contraseña por una más segura y no conocida por los atacantes de forma robada.

Como haría Coco en Barrio Sésamo, analicemos los fallos encontrados, así como las diferentes partes implicadas:

1.- ) En aquella época (2007) los ataques basados en Cross-Site Scripting y SQL Injection ya se encontraban a la orden del día, por lo que no podemos decir que Arsys pagara la novatada de los ataques de nivel 7. En este caso, no tenían la costumbre de forzar auditorías de aplicaciones Web ni de desarrollo seguro para poder garantizar la entrada robusta. Arsys -> Culpable.

2.-) Las contraseñas no se encontraban cifradas en la base de datos (ni siquiera un hash de las originales) sino que podían leerse directamente al almacenarse en claro. Esto es achacable a un fallo de diseño en el almacenamiento, que atenta contra la privacidad de los datos almacenados. Actualmente con la entrada en vigor de la LOPD el poder acceder a datos confidenciales de clientes podría haber tenido consecuencias legales bastante fuertes contra Arsys. Arsys -> Culpable.

3.-) La utilización de la misma contraseña para ser utilizada en dos servicios diferentes teniendo diferentes fuentes de autenticación. En este caso, los usuarios no habían cambiado la contraseña de entrada asignada por Arsys para el acceso web al área de clientes, que era la misma para el área de FTP. Las contraseñas para estas últimas no eran accesibles de forma directa por lo que la integridad de sus sitios web se habría mantenido. Usuarios + Arsys (por no forzar o advertir de la importancia del cambio de contraseña) -> Culpables

4.-) Arsys, como medida correctiva, "tocaba" manualmente las páginas de inicio de los clientes por parte de la empresa de Hosting (cosa que no tengo nada claro que se pueda hacer de una forma legal por parte de Arsys sin consentimiento del cliente.... quizá al ser consecuencia de una negligencia y a fin de evitar un mal superior sea lícito hacerlo) Arsys -> Culpable.

5.-) Por querer callar los errores, arreglarlos y a otra cosa,.... Arsys -> culpable por negligencia y por poca consideración con los usuarios que visitaban las páginas de SUS clientes, al intentar ocultar sobre la posible infección con el troyano descargado.

¿Tendrá algo que decir el señor Sven Olof Sandstrom (director de seguridad de Arsys.es) al respecto?
Leer más...

28 octubre 2008

Grabación de sesiones VNC, SSH y Terminal Server

Existen diversas razones por las que se puede generar la necesidad de monitorizar y auditar las conexiones a una maquina y lo que se hace dentro de ella al estilo 'cámara de seguridad', bien porque esa maquina sea co-administrada por elementos externos a nuestra organización o simplemente porque la criticidad del sistema requiere ese tipo de auditoría.

Otra opción muy típica es emplear este tipo de sistemas como parte de la infraestructura Honeypot

En el post de hoy voy a exponer varias herramientas que permiten hacer eso, lamentablemente la mayoría son de pago.

  • Sebek: software del proyecto HoneyNet, monitoriza sesiones SSH, licencia libre, funciona en modo cliente<-> servidor
  • BalaBit: Permite monitorizar sesiones SSH y Terminal Server, software de pago
  • ObserveIt: Monitoriza sesiones Terminal Server y Citrix, software de pago
  • RecordTS: Terminal Services únicamente, licencia comercial
  • EguardPost: Tal vez, la mas completa, monitoriza SSH, Telnet, VNC y Terminal Server, licencia comercial
  • VNCrec: Esta herramienta está mas orientada a ser un sustituto del archi-conocido Camtasia pero se puede emplear para monitorizar sesiones y su licencia es OpenSource
Leer más...

26 octubre 2008

Advchk leerá advisories de seguridad por ti

Uno de los problemas mas clásicos que suele traer peores consecuencias es el uso de software desactualizado en el que se han reportado vulnerabilidades.

Gestionar unos pocos equipos puede dejarnos suficiente tiempo como para estar 'al tanto' de listas de seguridad, tanto generalistas tipo Bugtraq como las especificas del software que estemos usando.

En el momento en que los equipos dejan de ser unos pocos y se convierten en decenas, la gestión artesanal deja de ser una opción. En ese punto lo mas común es fiarlo todo a las herramientas de actualización del sistema operativo: WindowsUpdate, apt, yum y compañía.

El problema es que el 'timeline' entre que se publica un aviso de seguridad, y el correspondiente fabricante saca una corrección, a veces, suele dejar una ventana de tiempo bastante amplia como para que ese método no sea efectivo.

Por ese motivo, existen desde hace tiempo aplicaciones comerciales destinadas a la gestión centralizada de vulnerabilidades, herramientas muy sofisticadas y con un coste asociado.

Una alternativa a ellas es: Advchk, esta herramienta se aproxima al problema de una forma muy ingeniosa, se suscribe a feeds de seguridad y 'lee' los avisos de seguridad comparándolos con el software que tienes instalado en el sistema.

Además, permite la gestión centralizada ya que puede ser configurada para conectarse vía ssh a cuantos sistemas le indiquemos y auditar si se encuentra instalado software sobre el que se ha reportado alguna incidencia.

La herramienta dista mucho de la perfección o la calidad de soluciones comerciales, de hecho, el soporte se limita a Unix y la lista de feeds no es todavía demasiado grande.

No obstante y dado que la licencia del proyecto es libre, es bueno promocionar este tipo de herramientas ya que con el apoyo de la gente puede llegar a convertirse en algo realmente útil.
Leer más...

23 octubre 2008

Por fin: el CAOS (bueno, tal vez algo menos)

Ahora sí, esta es la buena. Ni fallo en la pila TCP/IP, ni el DNS, ni OpenSSL ni leches, un fallo que seguramente será explotado antes de que termine el mes va a llevarse el trofeo al bug del año.

Ha tardado, como el penalti del Madrid con el Atletico, pero ahí está. Navidades adelantadas.

La criticidad es máxima, es remoto y permite ejecución de comandos.

Tan importante es, que hasta Microsoft ha decidido preparar un webcast para hoy donde comentarán lo que ocurre, eso sí: no esperéis inscribiros, ya está lleno.

No hay detalles de la vulnerabilidad, solo se sabe que afecta a todos los sistemas Windows desde su versión 2000, incluido Vista y Server 2008.

Será interesante ver quien desarrolla la primera prueba de concepto, cuanto dinero le pagan y lo que tarda en salir el primer gusano.

Quien lo iba a decir, cuando pensábamos que estas cosas ya no pasaban.

ACTUALIZADO: Thu Oct 23 20:14:26 CEST 2008

Se que mañana todo el mundo lo oirá en la TV, y lo leerá en todos los blogs, y de hecho, por ello me arrepiento de postearlo aquí. Pero bueno, por ser lo que es, comentar que ya hay detalles técnicos, en el link que he copiado antes y aquí: http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

Mañana no habrá quien lea las feeds.



Leer más...

Hackeos memorables: Indonesia

En 1997 un grupo de hackers Portugueses llamado Toxyn apoyado por el que, tal vez, haya sido el 'hacker' mas representativo del panorama nacional, Jordi Murgo, alias 'Savage' (del mítico grupo Apostols) organizaron la que fue la ciber-campaña de hacktivismo mas importante de ¿la historia?.

La campaña se organizó debido a las atrocidades que se estaban cometiendo en Timor Oriental por parte de Indonesia.

No voy a entrar en disquisiciones morales sobre este tipo de acciones. Lo verdaderamente interesante (en este post) es el enorme despliegue que realizaron, un acoso-y-derribo en toda regla donde, literamente, se hackearon miles de maquinas indonesas. Como ejemplo, he podido localizar un hackeo a la web del ministerio de asuntos exteriores de Indonesia.

Me tomo la libertad de citar un extracto de una entrevista que realizó Merce Molist a Jordi Murgó para que os hagáis una idea de la dimensión que tuvieron este tipo de ataques:
" Colaboré haciendo software y hackeando algunas máquinas. Hice exploits a medida para la campaña. Era ir mirando máquina a máquina, qué tenía y hacer los exploits. Entonces, no circulaban exploits libremente por Internet como ahora, te los tenías que hacer. Hicimos máquinas importantes, de ministerios de allí, exploits para AIX, BSD, Linux, Solaris... Hicimos prácticamente de todo. También hice What OS, que detectaba 5 o 6 SO y que después sería QueSO. Era para montar scripts de búsqueda de todos los dominios .id. Dominio que había, buscábamos la máquina www, la ftp, la mail y la news y intentábamos atacar las cuatro. Montamos tantos ataques automatizados como pudimos. Y, cuando veías algún positivo, intentabas acabarlo manualmente. Hicimos miles de máquinas. "
Resulta sumamente impresionante que, al calor de esas acciones, se creara la herramienta QueSO en la que se basó y mucho el famoso Nmap para integrar las capacidades de 'fingerprinting'.

Uno de los exploits creados 'ad hoc' para los ataques a Indonesia fue este para el ya vetusto servidor web NCSA.

Desconozco si la campaña tuvo o no tuvo algo que ver, el único dato cierto es que en 1999 la ONU promovió un referéndum de auto-determinación que le dio a Timor Oriental la anhelada independencia.
Leer más...

21 octubre 2008

Nueva metodología de keylogging

Todos conocemos el riesgo que corremos ante las típicas amenazas de que roben nuestras contraseñas, mediante keyloggers, Cross-site Scripting (identidad), phising,...

Además hemos oido hablar de las formas de recrear por parte de atacantes, lo que vemos en nuestro monitor mediante las emanaciones electromagnéticas del mismo (esto suena a película pero es completamente viable). Para ello se desarrollaron precisamente los estándares TEMPEST.

Si ya no corriéramos peligro suficientemente al exponer nuestros datos en la red, comprar billetes de avión, entradas de cine, fútbol, teatro,..... paseamos la información de nuestras tarjetas de crédito/débito a través de las redes, confiando en que los administradores de seguridad de los sitios donde compramos mantendrán la confidencialidad de dicha información.

Amén de todos estos riesgos, aún hemos de sumar un nuevo factor a tener en cuenta. Se ha descubierto que los teclados de nuestros dispositivos (y no me refiero únicamente a los inalámbricos) emiten energía que es posible que sea captada y por lo tanto reproducible a modo de keylogging físico. Se han llegado a hacer pruebas con teclados PS2 y desde 20 metros de distancia incluso. Y yo me pregunto, los teclados de los cajeros automáticos, ¿serán susceptibles de este tipo de vulnerabilidad también?

Para mitigar esta amenaza a nuestra privacidad, Yago explicó en su momento cómo utilizar un teclado virtual, de manera que sólo podrían captarse los clicks de ratón y sus movimientos, dando lugar a que estos investigadores tengan que comerse la cabeza un poco más.

De momento es poco viable entrar en una oficina de un importante banco (por ejemplo) con un portátil con una antena de un metro de largo, así como pedirle al futuro atacado que apriete las teclas de una en una y no a toda velocidad (seguro que en más de algún ministerio esto podría hacerse :-D )

Os dejo el enlace que permite ver el documento original de unos atrevidos investigadores que han logrado demostrar esta teoría con un enfoque práctico
Leer más...
Telecom Italia (el ISP análogo a la Telefónica Española) tiene un servicio ADSL llamado 'Alice' que hoy merece una reseña en este blog no por su extrema calidad o por su enorme ancho de banda, el motivo es que unos investigadores Italianos han encontrado una backdoor en el router que ofrece como parte del servicio.

Por lo visto 'sandax' y 'drpepperONE' (los nicks de los investigadores) han localizado una curiosa forma de acceder a la interface de administración de los routers que, teóricamente, no debería estar accesible al usuario.

Lo curioso de la backdoor es que no se trata de una contraseña 'privada' (alguien recuerda el famoso adminttd / adminttd?) La puerta oculta está diseñada a modo de 'port knocker'. Para activar la puerta trasera es necesario enviar un paquete IP diseñado específicamente a tal efecto y, una vez enviado, magicamente se desbloquea el router permitiendo acceso total via ftp/http/tftp.

El paquete en concreto ha de tener las siguientes características:

Numero de protocolo: 255
El contenido / payload del paquete de tener un tamaño exacto de 8 bytes
En ese contenido ha de ir un md5 de la MAC del router
Leer más...

19 octubre 2008

¡Mon Dieu! Sarkozy victima de un fraude por internet

Atravesamos todos tiempos dificiles, no solo los pobres bancos, también los líderes mundiales y ya no sólo por la búsqueda de medidas para paliar la "recesión económica" de los paises. Esta vez es el turno del máximo mandatario francés, Nicolas Sarkozy, del cual se ha descubierto que lleva un tiempo siendo víctima de un fraude. La voz de alarma saltó hace aproximadamente un mes.



Parece ser que alguien estaba sustrayendo regularmente de la cuenta de Sarkozy unas cantidades indeterminadas, que posteriormente se utilizaban para hacer pequeñas compras de productos por internet, todo ello sin que levantase mucha sospechas (¿qué serán para él 200 eurillos de nada...?). Este modus operandi de realizar pequeñas compras con una frecuencia irregular es corriente entre los carders, para intentar no levantar sospecha alguna en la víctima y poder así aprovecharse de ella el mayor tiempo posible.

Entre las primeras informaciones de como se ha llevado este fraude a cabo, parece ser que los ladrones se hicieron con los datos bancarios de Nicolas Sarkozy, así como credenciales de acceso a su cuenta. El caso se está investigando por las autoridades francesas especializadas en este tipo de fraudes, pero que algo así salga a la luz, no aporta mucha confianza en alguien que se supone que tiene que velar por la economía de su país.

[+] Fuente: telegraph
Leer más...
Leo en Ojobuscador (y por cierto, con un pésimo titulo) que Google ha lanzado en fase experimental, que no beta, un servicio para webmasters dentro de su 'Webmaster tools' en el cual monitorizan tu sitio web y te avisan si el software que estás ejecutando tiene alguna vulnerabilidad.

De momento y por lo que se puede leer el servicio tiene una funcionalidad muy limitada y prácticamente se reduce a WordPress.

La idea es bastante buena y si se animan a desarrollarla, pueden dar un golpe de autoridad en materia de seguridad bastante notable.

Google, que tiene los recursos suficientes, podría, adaptando / empleando alguna herramienta libre de auditoría tipo Nessus o SARA, montar un 'panel de seguridad' donde por ejemplo, una vez al mes, se lanzaran ciertas pruebas de seguridad contra un site web y se generase un reporte donde apareciera la vulnerabilidad, su criticidad y alguna sugerencia para resolverla.

No es la primera vez que los intereses de Google se entrelazan con la seguridad, no hay que olvidar que el ínclito Michal Zalewski está en nomina y entre otras cosas, mantiene una herramienta de auditoria web llamada Ratproxy
Leer más...

18 octubre 2008

Jornada sobre Ciberdefensa y Ciberamenazas


El próximo día 22 de Octubre, en el campus de Villaviciosa de Odon la Universidad Europea de Madrid, en la que imparto alguno de los módulos del Máster Oficial en Seguridad de las Tecnologías de la Información y las Comunicaciones, va a celebrar un evento titulado: Jornada sobre ciberamenazas y ciberdefensa (que por cierto, yo hubiera llamado "ciberataque y ciberdefensa" o bien "ciberamenazas y cibercontramedidas", aunque este último suena bastante mal).

El programa es bastante atractivo y contiene charlas de distintos miembros militares, así como civiles, entre los que estoy yo y el famoso "Maligno".

Mis esfuerzos se centrarán en una versión histórica por las denegaciones de servicio, desde sus orígenes hasta la actualidad. La intención no es detallar cada una de ellas, pero si hacer participe a todos los visitantes del problema.

Imagino que como el resto de ponentes, comentaremos los incidentes ocurridos en Estonia y Georgia.

Si os pasais por allí, avisadme y aprovechemos para tomemos una cocacola (light) juntos!


Leer más...

17 octubre 2008

Estonia publica su guía estratégica de ciberseguirdad

En el 2007 Estonia denunció que Rusia le había declarado la ciberguerra bombardeando cientos de servicios online Estonios con ataques de tipo DDoS.

Obviamente la autoría de los ataques nunca fue probada, pero el incidente causó tal revuelo que hasta la OTAN tuvo que enviar expertos para defender a Estonia.

Hace unos días, Estonia ha publicado una guía donde expone la estrategia que se plantea implementar para la ciber-defensa, una guía que, por cierto, hace tiempo que ya publicó EEUU.

En la guía no hay alardes técnicos; no es su objetivo, pero si resulta muy interesante ver en el tipo de aspectos en los que hace hincapié. La guía solo tiene 36 paginas y se lee bastante rápido. Llama poderosamente la atención como los Estonios tienen tan claras las cosas y como se toman bastante en serio, lejos de caer en el amarillismo, aspectos que pueden tener mucha mas relevancia de la que pueda parecer. En concreto, me ha chocado como ponen de manifiesto el enorme porcentaje de transacciones online económicas que se realizan en Estonia y como, en caso de que las infraestructuras bancarias fuesen anuladas, podría tener un enorme impacto.

En la guía se habla de potenciar la seguridad informática, se identifican aspectos críticos como los sistemas SCADA, proponen mejoras legales para combatir ciberdelitos y reseñan en varios puntos la importancia de la colaboración internacional.

Seguro que el teléfono del ministerio de defensa Español se encuentra entre los primeros puestos de 'sitios donde pedir ayuda'
Leer más...

16 octubre 2008

Wargame, un sudoku para geeks


Los retos de hacking son seguramente la mejor forma de adquirir nuevos conocimientos y de alimentar ese "gusanillo" (a veces serpiente), que todo buen técnico tiene y por el que es capaz de dedicar 20 horas al día a buscar la solución de un problema.

En España hemos tenido bastantes juegos y generalmente son bien recibidos entre sus aficionados. Hoy nos hemos enterado de la existencia de un nuevo juego en el que os animamos a participar.

GeekPuzle, es un concurso dividido en distintas pruebas con distintos niveles, en los que mediante un formulario se solicitará una palabra de paso que se ha de obtener mediante técnicas de hacking.

En la propia página de GeekPuzle, podréis encontrar soluciones a pruebas anteriores, con las que seguramente refresquemos algunos conceptos poco usados u oxidados.

A todos los participantes: ¡suerte!


Leer más...

15 octubre 2008

Antivirus y la falsa sensación de seguridad

Si existe algo peor que estar en riesgo es, sin duda, estarlo y sentirse a salvo. Mucho se ha hablado de la ineficacia de los antirivus y si realmente un sistema basado en patrones es o no es útil para defenderse de toda la enorme cantidad de malware que hay 'en el mercado'.

Para poner un poco mas de sal en la herida, un NeoZelandes convocó un concurso a nivel internacional en el cual, tomando como base 7 virus muy antiguos y dos exploits, habia que modificarlos / ofuscarlos para que siguieran teniendo sus características víricas pero pasaran desapercibidos frente a un buen numero de motores antivirus entre los que se encontraban las principales firmas.

¿Resultado? en 2 horas y 25 minutos un grupo había conseguido la proeza. Y estamos hablando de virus que comprendían, desde 'Stoned' creado en 1987, el archi-conocido Sasser (2004) y el infame gusano Slammer (2003) entre otros.

Desde hace tiempo que yo tengo muy claro que los sistemas basados en patrones fijos son totalmente ineficaces. En 2004 (bastante antes de que los sistemas anti-virus incorporasen sistemas basados en comportamiento), lancé una herramienta llamada Patriot que iba orientada a analizar cambios peligrosos en el sistema para detectar acciones maliciosas, herramienta que hace bastante que no actualizo y para la que acepto todo tipo de ideas para una futura versión.

La noticia la leí en Securityfocus
Leer más...

14 octubre 2008

HoneyPots Corporativos

Todos en algún momento dado hemos escuchado la tan manida frase "la mayoría de los ataques vienen desde dentro" y, estadísticas en la mano, razón no falta para afirmar dicha frase.

Mientras que hacia el exterior las medidas de seguridad suelen rozar lo paranoico, internamente las medidas adoptadas son muy laxas y permisivas. Si el tamaño de la organización es lo suficientemente grande, es normal que cada día llegue una nueva persona, pinche su portátil y acceda a la red.

En este tipo de entornos resulta muy interesante implementar sistemas que permitan detectar en tiempo real actividades que puedan resultar dañinas.

Hoy voy a presentar un boceto de como se puede implementar un sistema HoneyPot que permita detectar actividades sospechosas que deban poner en DEFCON 3 al equipo de seguridad.

La arquitectura propuesta es la siguiente (click para ver en tamaño real):


Como se puede observar, existe un servidor destinado a simular un servidor de ficheros en el que se encuentran una serie de HoneyTokens que conduzcan al usuario a dos falsos servidores con pinta de ser importantes, uno en versión Windows simulando un controlador de dominio y otro en versión Unix en el que, para mas realismo, se podría ejecutar un servidor Oracle. Adicionalmente, existe una maquina con servicios vulnerables al mas puro estilo HoneyPot clásico, servicios implementados con Honeyd. Todos estos sistemas, por comodidad / flexibilidad pueden ir en maquinas virtuales. Para tener monitorizados los HoneyPots todos ellos están tras HoneyWall que permite tener controlado lo que está sucediendo en nuestra honeynet.

Una vez implementada la infraestructura viene el verdadero reto: tratar la información generada. Existen muchas herramientas, algunas del proyecto Honeynet muy interesantes pero a mi, por su versatilidad y potencia me entusiasma SEC.
SEC es una poderosa herramienta de correlación de eventos que permite gestionar mucha información en base a patrones, lo que permite diseñar alarmas a medida en función de las alertas que se vayan generando. En la arquitectura anteriormente descrita, SEC actuaria como modulo SIM de análisis de la información que le ha de llegar vía HoneyWall como fuente primaria, y en menor medida vía herramientas de monitorización en los falsos sistemas como SEBEK

Realmente para hablar de SEC haría falta no ya un post, mas bien un libro entero ya que la herramienta permite configuraciones realmente complicadas. Recomiendo imprimir y leer el manual de SEC y hacer pruebas hasta afinar bien las alertas. Ademas, SEC puede ser empleado como motor de correlación para otros menesteres ya que es una herramienta de propósito general.
Leer más...

13 octubre 2008

Hackeos memorables: el código fuente de Windows 2000

Febrero del 2004, salta el rumor de que el código fuente de Windows 2000 está disponible en varios sitios para su descarga y también en redes tipo Emule.

Lo que a priori parecía un loco rumor, finalmente va tomando cuerpo, gente a la que conoces y de la que te fías va confirmando que ya se han descargado una copia y que, o bien se trata de un fake digno de record guinnes, o efectivamente es el código fuente de Windows.

Poco a poco sitios de bastante prestigio, como BetaNews, se van haciendo eco de la noticia y confirmándola, en ese momento salta a la palestra como es posible que eso haya sucedido ¿Un hackeo a Microsoft? ¿Tal vez algún empleado descontento? rumores, rumores rumores.

Después de muchas especulaciones, un Español y, por cierto, bastante bien conocido por algunos de los editores de este blog, tras analizar los ficheros robados, pone sobre la pista del origen del robo: La empresa de desarrollo de software Mainsoft cuya actividad está orientada a portar aplicaciones nativas de Windows al mundo Unix y que tiene acuerdos con Microsoft para disponer del código fuente.

Por lo visto, la gente de Mainsoft estaba empleando en uno de sus servidores un servicio FTP vulnerable (wu-2.6.1(1)) del que existen exploits públicos y, especulativamente (nadie llegó a confirmar nunca nada), por ahí se les colaron hasta la cocina.

El código fuente aun sigue disponible vía Emule pero no, no os hagáis ilusiones, no es el código fuente completo, exactamente se trata de 30.915 ficheros de código entre los que, por ejemplo, no se encuentra nada referente a CAPI (lo sé porque en un momento dado necesité información al respecto y me puse a buscar).

Al hilo de ese incidente muchos agoreros dijeron que la información sería empleada para descubrir nuevas vulnerabilidades, que el numero de exploits se multiplicaría ... Nada de eso llegó a suceder
Leer más...

10 octubre 2008

Criptografía cuántica... ¿incorruptible?

Por diversas fuentes leo que científicos de la Universidad de Viena han presentado un nuevo modelo de cifrado de datos incorruptible, indestructible e infalible.

Para ello se han basado en la utilización de criptografía cuántica. Principalmente, consiste enviar datos a través de una fibra óptica utilizando luz. Entre dos extremos que se quieran comunicar, establecen como "código a tener en cuenta" la polarización de los fotones de luz (es decir, la forma en la que llegan) de manera que puedan establecer qué formas son consideradas un "0" (cero) y cuáles un "1" (uno). Si se conoce este código, se pueden filtrar correctamente los fotones, y en caso contrario, la polarización de los mismos se distorsiona, corrompiéndose la integridad del mensaje en sí.

¿Para qué sirve esto? Anteriormente, y con los medios de transmisión que conocemos actualmente, es posible efectuar un "eavesdropping" de una forma anónima (escuchando una copia del tráfico con un tap, un port mirroring, un hub, haciendo un Man in The Middle o MiTM, vía wifi, etc,...). Gracias a los mecanismos cuánticos de transmisión, y como consecuencia del principio de indeterminación de Heissenberg, si llegado el momento, se intenta "escuchar" una conversación, cambiará teóricamente la polarización de los fotones (el proceso de medir en un sistema cuántico, perturba ese sistema). Ésto puede ser detectado por los componentes del intercambio de información mediante mecanismos de verificación de integridad de mensajes, así como haciendo públicos (por otro canal) una serie de bits del mensaje original. En caso de detectarse corrupción de datos, se descartarían todos los bits de la comunicación y se reiniciaría la misma.

Hasta ahora sólo existían modelos teóricos de este tipo de criptografía. Ahora, y gracias a estos científicos de la Universidad de Viena, ya hay implantaciones en una red real conecta seis localizaciones entre Viena y San Poelten a través de 200 kilómetros de cables estándar de fibra óptica.
Leer más...

08 octubre 2008

Todos sabemos que uno de los puntos fuertes del navegador Mozilla Firefox es su soporte de complementos o add-ons. Y seguramente esta característica es la que nos hace a muchos seguir utilizando este navegador a pesar de su ansia de memoria ram y sus cuelgues aleatorios.

Con tanta comunidad por detrás, y tanta libertad a la hora de crear estos complementos, no es de extrañar que existan varios enfocados a temas de seguridad, sobretodo en temas de seguridad Web (no olvidemos que ante todo, es un navegador, aunque podamos desde él leer el correo, jugar a emuladores de consolas antiguas y otras muchas cosas más...).

En SecurityByDefault os hemos hablado por ejemplo de la extensión Key Manager, capaz de ampliar las posibilidades de su gestión de certificados, pero hoy es el turno de hablaros de un conjunto o recopilación de add-ons, scripts de greasemonkey, motores de búsqueda, etc, dedicados al mundo de la seguridad informática, los cuales algunos nos podrían evitar tener que utilizar herramientas específicas para según que tareas. La recopilación se llama Ultimate Hackerfox Addons, y viene de la mano del grupo YEHG.

Esta recopilación tiene dos versiones; la primera versión, version-1-light, ocupa unos 10 Mb descomprimida, y entre otros complementos, contiene 3 plugins para greasemonkey relacionados con la seguridad, añade los motores de búsqueda de entre otros milw0rm, SecurityFocus y PacketStorm y 21 complementos, entre los que se incluyen la Hackbar, Live HTTP Headers, Fire Encrypter, etc. La versión-2 ocupa descomprimida más de 50 Mb, con un total de 124 extensiones.

Para poder utilizar estas recopilaciones, ambas versiones realmente se tratan de perfiles del navegador guardados, y ambas disponen de unos scripts tanto para linux como para windows, mediante los cuales se invoca al navegador para que utilice el perfil en concreto, ya sea de la versión 1 como de la 2.

El propio creador dice que no deberían necesitarse todos los complementos a la vez, por lo que se debería ir deshabilitando y habilitando los add-ons según las necesidades del momento, pero de todas formas, no deja de ser una buena recopilación a tener en cuenta (si no se conocía un proyecto parecido como es FireCat de SecurityDatabase que vió la luz el año pasado) y seguro que alguno de los más de 100 complementos nos eran desconocidos.

[+] Descargar versión-1-lite (dentro incluye un txt con todo el listado) (2,7Mb)
[+] Descargar versión-2 (dentro incluye un txt con todo el listado) (21Mb)
[+] Reseña a esta recopilación en la página del proyecto OWASP
[+] Página oficial del Ultimate Hackerfox Addons
Leer más...

07 octubre 2008

Herramientas para la auditoría de vulnerabildiades local

Por desgracia para los sistemas operativos de la familia Windows no existe una herramienta que centralice todas las actualizaciones de los productos que corren sobre ellos, a diferencia de lo que ocurre en sistemas GNU/Linux, donde los repositorios son una ventaja a la hora de actualizar a últimas versiones y aplicar parches.

Básicamente en Windows se utiliza el sistema MSI para el empaquetado de estos programas, como en RedHat se usa RPM, la diferencia más importante es que para el primero los fabricantes generan sus propios instaladores (sin utilizar la tecnología MSI) y en el segundo, salvo mínimas excepciones, todo el mundo empaqueta usando RPM.

Esto supone una gran ventaja para actualizar software, ya que en una estación de trabajo Linux con la herramienta yum, o su equivalente gráfico, actualizamos desde lo más básico hasta aplicaciones como openoffice o el propio firefox.

En cambio en estaciones de trabajo Windows, cada producto necesita apañárselas para buscar nuevas versiones o recordarnos que tenemos que hacerlo.

Una vez introducida la problemática, yo como usuario final de Windows ¿como se si tengo actualizado todas las herramientas y productos que tengo instalados? Para resolver esta duda nacen utilidades complementarias, que además, pueden ser usadas en entornos corporativos para auditar sistemas:

  • Security Software Analyzer (SSA) de Security-Database, utiliza la base de datos OVAL de Mitre y genera reportes en formato HTML.
  • Personal Software Inspector (PSI) de Secunia, la versión de escritorio para uso personal es gratuita, también dispone de versión ejecutable desde el propio navegador.




Leer más...

06 octubre 2008

Vale, ya sabemos que perl está muerto, y ya puestos, que es casi seguro que D arrasara a C (no tardaremos en ver el kernel de linux en D) y que Google acabara pasando de Python en favor de Ruby.

El caso es que flames aparte, Perl tiene una increíble y única cantidad de librerías (mas correcto, módulos) disponibles en CPAN que permiten hacer casi cualquier cosa en 10 lineas como por ejemplo:

Una herramienta de borrado seguro, algo sencillo para empezar, permite abrir un fichero, sobre-escribir en tres pasadas el fichero y eliminarlo.

Un sniffer para capturar contraseñas, haciendo uso de PcapUtils y NetPacket podemos, en unas pocas lineas, implementar un sniffer que permita capturar contraseñas de proxys web.

Un keylogger para Windows, empleando un módulo llamado Win32::API podemos 'cargar' cualquier dll y usar sus funciones de forma nativa, en concreto para implementar el keylogger usaremos GetAsyncKeyState() para monitorizar el pulsado de teclas.

Finalmente, no tanto una característica intrínseca al lenguaje, sino una funcionalidad externa muy interesante: podemos compilar cualquier script de perl y convertirlo en un .exe o un binario para Unix que se ejecute sin importar que esté o no esté perl instalado en el sistema. Para ese menester hay dos opciones, una totalmente gratuita llamada PAR y otra de corte profesional llamada PDK (Perl Dev Kit). Técnicamente, un script en perl no se compila, mas bien, se empaqueta para generar un binario totalmente autónomo.
Leer más...

04 octubre 2008

Liberada Guia 800-115 de NIST

Parece que el NIST estaba esperando a que hablásemos de su guía "Technical Guide to Information Security Testing and Assessment" (800-115), en su última versión, para publicar la versión final.

Si nos paramos y examinamos detenidamente los servicios del Instituto Nacional de Estándares y Tecnología (NIST, de sus siglas en inglés), este organismo del Departamento de Comercio de Estados Unidos dispone de proyectos muy interesantes, y no únicamente los que ya hemos comentado. Dentro de Centro de Recursos de Seguridad en Computadoras (CSRC), se encuentra la Base de Datos Nacional de Vulnerabilidades (NVD), alimentada de la organización MITRE, el Centro de Seguridad de Internet (CIS) o del Equipo de Emergencia de Computadores de Estados Unidos (US-CERT). Aunque de todos estos hablaremos en otras entradas.

Para finalizar, y pese a que estoy evitando poner siglas, el NVD es el repositorio del SCAP (Security Content Automation Protocol), encargado de unificar estándares libres para la gestión automática de vulnerabilidades, evaluaciones de cumplimiento y medición. SCAP ha dispone de un programa de evaluación de productos, mediante el que una compañía puede certificar sus productos con este protocolo.
Leer más...

Hackeos memorables: SETI@home

5 de Julio de 1999, los proyectos distribuidos entre miles de PCs conectados por Internet son una realidad. SETI@home, uno de los más famosos trata de encontrar actividad extraterrestre en otros planetas mediante el procesamiento de señales de radio.

La comunidad hacker, o por lo menos uno de ellos, decide modificar la página web de este desafío, y que mejor que hacerlo con humor. Cuelgan la foto que se muestra en la izquierda, centrada y algo más grande sobre un fondo negro. En la parte superior, con letras blancas: "Wanted", como si se tratase de un cartel del viejo Oeste con un delincuente por el que pagan una recompensa.

En el siguiente enlace podéis ver la noticia de este hackeo memorable.
Leer más...

02 octubre 2008

Nueva vulnerabilidad auto-bombo


Una nueva vulnerabilidad que acabará con Internet ha sido publicada. mejor dicho: lo será. Después de los problemas de ssl, snmp y dns, es el turno de la pila TCP/IP. Robert E. Lee y Jack C. Louis, han reportado un fallo que afecta a todos los sistemas en su implantación de TCP/IP. Según los distintos artículos, esta nueva vulnerabilidad genera una denegación de servicio mediante el envío de muy pocas tramas. Lo que significa que alguien desde su casa pudiese derribar granjas enteras de servidores. Y digo lo será, por que hasta la conferencia T2, no se contarán los detalles técnicos.

Varios sitios se han hecho eco, como Slashdot, SearchSecurity, TheRegister... y es que parece que hoy en día estos sitios parecen el iBrujula de los 90, donde se mostraban a diario los -defaces memorables-.

Fyodor (Gordon Lyon, el del Nmap), trigésimo cuarto cinturón negro en esto del protocolo TCP/IP, no ha tardado en publicar sus comentarios. Que pueden resumirse en que el fallo es antiguo, además de no parecer estar muy conforme con esto de la publicidad en los medios.

Robert. Lee no ha tardado en contestar en su blog, respondiendo que Fyodor se equivoca en sus conjeturas, siendo esta una vulnerabilidad nueva.

La polémica está servida (una vez más). ¿Será vaporware?
Leer más...

SbD Reloaded !

Como ya habréis podido observar, hemos lavado la cara al blog, el diseño ha sido inspiración de José A. Guasch y sin duda supone darle un look mucho más actual.

Aprovechando este post, me gustaría hacer un pequeño repaso a los momentos más destacados del blog siguiendo un orden cronológico.

Empezamos, como no, con el nacimiento del blog y nuestro primer post de envergadura: FNMT insecure by default del que se hicieron eco, entre otros, 20minutos, Kriptopolis y error500. Tengo como tarea pendiente revisar si las cosas siguen igual o si ya han solventado lo que se exponía en el post.

Alejandro Ramos realizó una pequeña investigación sobre el tipo de cosas que NO se deben compartir en el Emule.

Siguiendo esa estela de post 'currados' le hicimos un pequeño homenaje a Enrique Dans para describir lo que seguramente, en un futuro proximo, será un problema muy importante: Malware 2.0 en el que hablabamos de como toda la suerte de webs que permiten integrar funcionalidades ajenas serán empleadas como plataforma para difundir Malware. Una pena que Enrique tenga como política en su blog referenciar únicamente si le mencionan en medios 'grandes' aunque solo sean unas pocas lineas, lo cierto es que para sacar este post tuvimos que aprender a programar aplicaciones para facebook, probarlas ...

Como nos gusta ser originales nos 'curramos' unos bots para Gtalk y para MSN a modo de widget que hemos ido ampliando sucesivamente y que proximamente tendrán más IM-Services.

'Sufrimos' en nuestras carnes el efecto barrapunto con el post Syslog 2 Twitter y a decir verdad, no fue para tanto, no más de 700-800 visitas. ¿Como será el efecto Meneame?

Lorenzo realizó unas presentaciones muy interesantes sobre IDS/IPS e inició una serie sobre WAFs (1) (2) que deberían formar parte de las lecturas de cabecera de cualquier persona que pretenda implementar un negocio basado en aplicaciones web

Como no, le hicimos un debido seguimiento al bug mas mediatico del momento, e incluso propusimos una solución.

Finalmente, el ultimo 'hit' fue nuestro querido CipherTwitter que fue referenciado en Microsiervos. Mención especial para Alvy por su amabilidad, es muy loable como editando uno de los blogs más potentes de Europa, se puede tratar con ellos con una naturalidad absoluta.

Además estamos consolidando una sección con tintes históricos: Hackeos memorables

En definitiva, esperamos que os guste el nuevo diseño y confiamos en seguir sacando material de calidad, original y caer lo menos posible en las traducciones de contenido ajeno o las típicas noticias 'más de lo mismo'
Leer más...