29 noviembre 2008

Más de mil cámaras velan por tu seguridad

Pues la verdad es que después de volver de Londres, en unos días de vacaciones, quiero compartir con vosotros una de las cosas que más me han sorprendido de allí. Es impresionante la cantidad de cámaras de seguridad de diferente tipo que había por absolutamente cualquier parte de las vías públicas.

Este tipo de medidas, por una parte, te dejan con una sensación de seguridad bastante placentera, puesto que sabes que ante cualquier incidente por parte de los dueños de lo ajeno, sabes que puede estar siendo monitorizado en tiempo real o, al menos, quedará registro que pueda servir de prueba a la hora de cursar una denuncia.

Sin embargo, por otro lado, se te pone la piel de "concursante de Gran Hermano", al pensar que tanta cámara te está apuntando y se te está considerando un potencial delicuente, simplemente por cómo vistes o que actitud llevas.

Otra de las cosas que me impactó de Londres fue el ver un control policial (con detector de metales incluido) en una estación de metro. En el preámbulo de la noche del sábado por la noche la intención era decomisar todo tipo de armas blancas (y no tan blancas) a determinado tipo de público.

Asimismo me preguntaba qué pasaría con la privacidad de la gente a la que, como efecto colateral, tuviera de forma permanente una cámara apuntándoles durante 24 horas hacia las puertas o ventanas de sus casas, oficinas, garajes, tiendas, etc,...

Al volver a España, mis dudas quedaron medianamente resueltas al ver un documental sobre Megaciudades, en particular sobre Londres. Según dicho documental, se trata de una de las ciudades con mayores medidas de seguridad del mundo y, cómo no, detallaban el entramado de cámaras distribuidas por toda la ciudad. Hacían hincapié precisamente sobre la misma problemática que cito yo, que para proteger el derecho a la privacidad de la gente, se puede solicitar a las autoridades, que se "tape" digitalmente aquellas zonas de tu propiedad (ventanas, puertas, etc,...). De esta manera, ni siquiera desde los centros de control de la policía se podría ver a través de las cámaras (de una forma normal) qué es lo que te encuentras haciendo en el salón de tu casa, en tu oficina, sin controlar qué público es el que accede a determinados negocios, etc,...
Leer más...

28 noviembre 2008

Y se vuelve a repetir, como era de esperar...

Un mes y apenas unos pocos días, es lo que hemos tenido que esperar para empezar a oir ya las primeras noticias sobre el hecho de que un nuevo troyano nos acecha ya, aprovechando la vulnerabilidad crítica para la que Microsoft tuvo que sacar su parche de urgencía en Octubre, el MS08-067.

Symantec lo llama Downadup, en Microsoft lo llaman Conficker.a.

El "bichito" se hizo notable el pasado fin de semana, pero parece ser que lleva unos días muy guerreros, registrando una actividad máxima, comprobándose así que se está extendiendo ya de una manera frenética. El mayor número de denuncias vienen de Estados Unidos, pero lo más curioso es que uno de los investigadores del Malware Protection Center de Microsoft afirma que este exploit evita infectar ordenadores que se encuentren en Ucrania, lo que hace pensar que el troyano proviene de allí.

Entre sus acciones destacan, además de su proliferación automática, la imposibilidad de restaurar el sistema a un punto anterior a la infección y el parcheo automático del sistema...no, si al final nos va a hacer un favor y todo, viendo que todavía no todo el mundo ha reaccionado ante tal vulnerabilidad...

Recomendamos encarecidamente parchear vuestro sistema con los fix que correspondan, sin esperar a que lo haga el troyano sin pedirnos permiso antes.

[+] Más información:
- Noticia en ComputerWorld
- Entrada en el blog del Malware Protection Center
Leer más...

26 noviembre 2008

Detecta la presencia de BotNets en tus sistemas con BOTHUNTER

Por aquí ya hemos hablado en alguna ocasión sobre botnets ya que es un tema muy interesante tanto a nivel técnico como por las intrahistorias que genera.

Hoy toca hablar de una herramienta que será muy muy útil para los administradores de red y/o seguridad de organizaciones que dispongan de múltiples PCs / servidores conectados a Internet y donde, en un descuido, es fácil que el virus-botnet se propague entre sus equipos. En organizaciones cuyo volumen de trafico de red es considerablemente alto es bastante probable que una decena / centena de PCs zombies puedan pasar inadvertidos entre enormes cantidades de flujos de red.

Detectar la presencia de botnets en una red cuyo tamaño supere el millar de equipos conectados puede ser una tarea ardua y compleja ya que, salvo tratar de afinar un IDS de propósito general, pocas opciones más hay disponibles

Recientemente ha sido presentada una herramienta destinada exclusivamente a detectar patrones anómalos relacionados con sistemas zombies, la herramienta se llama BotHunter y su puesta en escena es magnifica: interface gráfica impecable, buena documentación, desarrolladores competentes

A nivel interno hace uso de una versión modificada de Snort a la que le han añadido un motor de correlación y una vistosa interface gráfica. Hay versiones para Linux, FreeBSD y Windows

Cabe destacar que no es una herramienta destinada al home-user ya que no actúa en modo H-IDS. Para hacer uso de la herramienta hay que posicionarla en un tramo de red donde pueda 'ver' el trafico de entrada/salida en el segmento de red monitorizado ya sea implantando TAPS o haciendo port mirroring.
Leer más...

25 noviembre 2008

Rescate

Express Scripts, empresa dedicada a la industria farmaceutica, ha ofrecido la nada despreciable cifra de 1.000.000 de dolares para todo aquel que aporte datos a la hora de identificar y detener a los autores de un intento de extorsión que recientemente ha sufrido la empresa.

El intento de extorsión vino en forma de un correo en el cual aparecían datos de 75 clientes de la compañía, estos datos contenían información -obviamente- de índole muy privada. A su vez se solicitaba una cantidad de dinero para evitar hacer públicos estos datos.

A mi me recuerda muchisimo a la película de Mel Gibson 'Rescate' donde un todopoderoso magnate sufre el secuestro de su hijo y tras fracasar las negociaciones se lanza a tumba abierta ofreciendo un montón de dinero para quien capture a los secuestradores.

En la película, la jugada le sale bien a Mel Gibson ya que consigue llevar a un callejón sin salida a los autores del secuestro que finalmente se caen con todo el equipo.

De lo que no cabe la menor duda es que la actitud de la compañía es muy valiente al enfrentarse directamente a los extorsionadores y jugar muy duro. Lo que no tengo nada claro es que opinan los clientes con cuyos datos se está jugando, muy posiblemente desde ese lado, yo exigiría que si la compañía ha cometido una negligencia y se ha dejado robar, hiciera todo lo posible para que mis datos continúen en privado, les cueste lo que les cueste.

Leido en securityfocus
Leer más...

24 noviembre 2008

Como protegerte de buffer overflows, format strings y similares

A estas alturas de la película, casi todo el mundo conoce ya lo que es un buffer overflow o, cuanto menos, lo asocia a técnica-para-explotar-vulnerabilidades. Tal vez sea la forma mas común o la mas ampliamente explotada a lo largo de los años para sacar partido a vulnerabilidades. No obstante, existen otro tipo de vulnerabilidades que se pueden explotar con otras técnicas que igualmente son un serio problema a la hora de defender un sistema.

No voy a entrar en detalle sobre descripciones técnicas de estas vulnerabilidades ya que existe abundante material en Internet sobre los pormenores de porque se produce un buffer overflow, format string y similares.

Lo que hoy voy a presentar es una herramienta que incorpora protección contra ese tipo de ataques en sistemas Windows. Su nombre: WehnTrust

WehnTrust es una herramienta gratuita destinada a sistemas Windows XP / 2000 y 2003 que incorpora una serie de protecciones para tratar de anular los efectos de un exploit contra el sistema operativo.

Su funcionamiento está basado en el trabajo que realizó la gente de Pax para el kernel de Linux (muchos conocerán el famoso parche Grsecurity) portando a Windows, entre otras, la tecnica ASLR (Address Space Layout Randomization)

Pero no todo es gratis, claro. El coste directo de este tipo de parches es una penalización relativamente perceptible en el rendimiento del sistema, indirectamente existe la probabilidad de que algunos programas no sean muy amistosos con este tipo de modificaciones en la ejecución normal y empiecen a dar misteriosos cuelgues. Incluso cabe la posibilidad de que el sistema se vuelva inestable ya que este tipo de soluciones se meten muy profundamente en las entrañas del sistema y al no ser un software probado y ultra-testado por Microsoft no lo podemos denominar estable.

WehnTrust, una vez instalado en el sistema, se lanza automáticamente al arrancar Windows y tiene como interface de administración un tray en la barra de tareas. Si lo lanzamos, podemos ver un breve resumen del funcionamiento de la herramienta donde, entre otras cosas, podremos ver el numero de intentos de 'explotacion' que ha detectado y bloqueado.


En caso de que algún programa se declare rebelde a ser ejecutado bajo las protecciones de la herramienta, podemos añadir una excepción decidiendo que programa va a ejecutarse 'sin protección' y que tipo de protección deseamos deshabilitar



En definitiva WehnTrust es una muy interesante herramienta bastante recomendable en entornos donde la exposición del PC le haga susceptible de ataques en forma de exploits.
Leer más...

21 noviembre 2008

Diez días después


Después de diez días de la publicación sobre algunos debilidades en el software de Meneame, es realmente gratificante ver que han servido de algo.

Hoy revisando el registro del portal, me he encontrado con la grata sorpresa de que la política de contraseñas ha cambiado a más restrictiva, obligando el uso de contraseñas de 6 caracteres intercalando minúsculas con mayúsculas y/o números.

El código de esta función se puede ver en el archivo: www/libs/utils.php, en el que se hace una expresión regular:

function check_password($password) {
return preg_match("/^(?=.{6,})(?=(.*[a-z].*))(?=(.*[A-Z0-9].*)).*$/", $password);

Otros de los problemas importantes siguen sin resolverse, pero tal vez con el tiempo se les pueda dar salida ya que suponen un cambio drástico. El primero de ellos es cambiar la mentalidad y comprender que realmente son un problema.
Leer más...

20 noviembre 2008

Metasploit 3.2 ya disponible

Metasploit, tal vez la herramienta mas potencialmente dañina jamas escrita ha liberado su última versión (3.2).

Esta herramienta, para el que no lo sepa, viene a ser una colección de exploits funcionales que, unidos a varias técnicas ya preparadas para sacar partido de las vulnerabilidades (remote-shells, inyeccion VNC ...) se ofrece paquetizada junto con una bonita GUI para que cualquier persona saque partido de ellas.

La ultima versión ya cuenta 'de serie' con el exploit de la famosa vulnerabilidad.
Leer más...

19 noviembre 2008

Seguridad en redes inalámbricas

Mucho se ha hablado sobre la inseguridad de las redes wireless respecto a las claves WEP de 40 bits, que si se capturan los paquetes con IVs, etc etc,... y ya puedes navegar por la red del vecino. Parecía que la solución llegaba de forma intermedia antes de WPA2, mediante la utilización de WPA. La utilización de esta nueva tecnología para las comunicaciones inalámbricas caseras y corporativas supuso una gran revolución puesto que permitía enlazar con servidores de autenticación (Radius), claves compartidas (PSK o pre-shared keys) o certificados digitales. Se ha convertido en el estándard de facto.

Sin embargo WPA refuerza a WEP por la longitud del tamaño de clave (de 40 a 128 bits) y por longitudes de vectores de inicialización (IVs) de 48 bits, aunque se sigue utilizando el algoritmo simétrico RC4. Dada la longitud de clave utilizada se hace computacionalmente más duro reventar este tipo de algoritmo puesto que hay más combinaciones que probar.

Hace poco tiempo se publicó que se estaba aprovechando la potencia de las GPUs de las tarjetas gráficas Nvidia para efectuar ataques de fuerza bruta ante redes wifi con claves WPA y WPA2, de manera que el tiempo necesitado para comprometer redes se dividía por 100.

Las últimas noticias apuntan a que, parcialmente, el algoritmo WPA podría haber sido comprometido. En realidad esta noticia tan alarmista en realidad solo se refiere a WPA-PSK (es decir el basado en una clave compartida). No obstante, en Kriptópolis descartan ya WPA y se deja al final la esperanza de que al menos nos queda WPA2...

Mi duda es,.... ¿hasta cuándo durará imbatible WPA2? A lo largo de mi vida como consultor de seguridad, cuando una organización me ha pedido asesoría sobre cómo securizar sus redes wireless, he propuesto diferentes alternativas dependiendo del caso. Sin embargo, ha habido algo que, dada la criticidad de la información intercambiada, y la potencia de cálculo de las máquinas utilizadas, he recomendado como algo común: la utilización de tecnología VPN a lo largo de la red wifi.

Un despliegue clásico podría incluir una red wireless conectada contra un firewall que sólo permitiese tráfico VPN hasta un gateway de VPNs (en ocasiones hasta el mismo firewall puede realizar ese papel). Directamente antes de poder conectarse a la red interna, se hace necesario el establecimiento de un túnel VPN. De esta manera, se asociará una IP de rango interno (o un rango VPN) a un interfaz virtual en la máquina cliente de manera similar a como sucede cuando se hace desde Internet. Si confiamos en encapsular nuestro tráfico confidencial a través de la red de redes, ¿por qué no hacerlo en una red mucho menos arriesgada, como puede ser una red inalámbrica?

Para mentes aún más paranoicas, siempre se puede encapsular el tráfico VPN sobre una red wireless que obligue por supuesto un control de acceso por dirección física o MAC, y que utilice además WPA2 para cifrado a nivel de punto de acceso.

Desde SecurityByDefault recomendamos OpenVPN como alternativa libre basada en SSL con clientes para Windows, Linux y Macintosh, de fácil despliegue para este tipo de lides.

Yago recomendó tiempo atrás la utilización de un punto de acceso "fake" para emitir con el mismo SSID aunque en distinto canal en los límites físicos de la organización para engañar a atacantes externos.

¿Y tú, tienes algún otro mecanismo de securización de redes Wireless?
Leer más...

18 noviembre 2008

Telefónica y sus automatismos

Me ha llegado la factura de mi línea fija de teléfono a casa, y entre otras comunicaciones, me encuentro con un formulario en el que se indica el número de teléfono móvil que tengo asociado a mi ficha de línea fija.

Mentando a la LOPD, se me da la oportunidad de decidir si quiero permitir que Telefónica haga uso de este número de teléfono móvil para promocionar sus productos y servicios (así como de otras empresas) por SMS/MMS.

Para evitar esto se te insta a enviar este formulario con las cruces marcadas sobre aquello que no quieres permitir vía correo postal, vía internet o finalmente al número de teléfono 900502020 (que es lo que creo que harán la mayoría de los usuarios).

En este teléfono, una grabación te indica que marques el número de teléfono al que quieres denegar/permitir su utilización para envío de publicidad mediante SMS/MMS. Después de pulsar los 9 dígitos la misma voz enlatada te hace 3 preguntas sobre si deseas permitir o no este tipo de publicidad. Se te indica que si quieres permitirlo pulses 1 y si quieres denegarlo pulses 2.

Evidentemente he pulsado 2 a las tres preguntas. Posteriormente a esto se te indica que se ha tramitado correctamente tu solicitud y ya está.

Con este sistema en mano, si alguien se sabe mi número de móvil directamente puede llamar tranquilamente, pulsar los 9 dígitos de mi teléfono y marcar 1 a las 3 preguntas. De esta manera me enviarán publicidad de forma indiscriminada al móvil sin haberla pedido. Mis dudas ante esto son: ¿por qué no utilizan algún otro mecanismo de autenticación previo? Pedir que marques tu DNI o una One Time Password que venga en la carta personalizada sería más acorde que únicamente el móvil al que quieres permitir/denegar spam y el decir Sí o No.

He probado por si acaso a llamar desde un móvil diferente para ver si a lo mejor era debido a que sólo se pudiera hacer desde el número de teléfono fijo de casa, pero efectivamente he podido modificarlo para que me envíen morralla al móvil.

Ya aprovechando he modificado los datos para que a mis padres no les envíen publicidad de Imagenios y etcéteras al móvil,... pero lo mismo que he dicho que no lo quería para otra persona, podía haber marcado que sí a todo.
Leer más...

¿Quieres ganar 5.000 dolares?

Digital armaments, empresa dedicada a la búsqueda e investigación de vulnerabilidades ofrece 5.000 dolares para aquel que encuentre, documente y explote un bug en el kernel de Linux que otorgue privilegios de root.

Desde hace tiempo el asunto de buscar y explotar vulnerabilidades dejó de ser actividad underground cuyo fin último (dejando a un lado casos muy oscuros) era la de ganar un prestigio social y promover el grupo de hacking autor del descubrimiento

Tal vez Idefense fue la primera en dar el paso y abrir un programa de recompensas por vulnerabilidades reportadas. En función de la naturaleza, documentación y criticidad del exploit, mas o menos dinero se paga. El asunto, sin duda, mueve dinero ya que hay varias empresas que se han metido en el. Mención especial para Zero Day Initiative por ser una filial de TippingPoint.

Particularmente yo no conozco a nadie que viva única y exclusivamente de buscar bugs y venderlos, pero si conozco varias personas que han ganado algo de dinero.

Desde mi punto de vista, este tipo de 'negocios' rozan la inmoralidad ya que normalmente el modelo de negocio se basa en acumular vulnerabilidades y ofrecerlas en modo preferente en forma de suscripción a los clientes que pasen por caja.

De todas formas, en estos tiempos de crisis, puede ser una opción atractiva para ganar un dinero extra pero ¿Realmente estas cosas hacen el mundo más seguro?
Leer más...

17 noviembre 2008

Mozilla Firefox y sus contraseñas "recordadas"

Cada vez este navegador se extiende más y más entre nosotros, siendo incluso protagonista de noticias por los records de descargas que ha batido, y como no, de su uso, llegando hasta poseer el 20% de cuota del mercado mundial de navegadores. Criticado por temas de memoria ("déjame un poco de RAM aunque sea para el bloc de notas...") pero alabado por sus complementos ("benditos addons..."), frente a él pasamos seguramente, el mayor tiempo que dedicamos a navegar por internet.

Dejando a un lado lo que es el navegador en sí, hoy os hablaremos de una herramienta que se dedica ni más ni menos a volcar el listado de nombres de usuario y contraseñas que hemos elegido guardar en el navegador y que nos las recuerde por los siglos de los siglos (o por lo menos, hasta el próximo formateo...). Esta herramienta se llama FirePassword.

El listado de nombres de usuario y contraseñas se encuentra almacenado y cifrado en unos ficheros concretos, que corresponden con key3.db y signons.txt (para la versión del navegador anterior a la 2), signons2.txt (para la versión 2 del navegador) o signons3.txt (para su versión 3 o posterior). Estos se pueden encontrar en nuestro directorio del perfil, que según el sistema corresponde a:

Windows
  • Documents and Settings\\Application Data\Mozilla\Firefox\Profiles\

  • Users\\AppData\Roaming\Mozilla\Firefox\Profiles\

  • Linux/Unix
  • ~/.mozilla/firefox/

  • Mac OS X
  • ~/Library/Mozilla/Firefox/Profiles/

  • ~/Library/Application Support/Firefox/Profiles/

  • El fichero key3.db contiene la contraseña maestra y la clave para cifrar y descifrar las contraseñas que se encuentran en los signons.


    La herramienta, que funciona únicamente en windows por línea de comandos, accede al directorio del perfil especificado como parámetro y muestra por pantalla todas las credenciales y dominios dónde se aplican. Cabe destacar, que si se posee tanto del fichero key3.db, signons y el cert8.db (fichero de certificados de Firefox) y se coloca en un fichero temporal cualquiera, especificándose como directorio perfil, también se puede obtener toda la información sensible.

    Como nota curiosa, y recordando un post de nuestro compañero Alejandro Ramos sobre el uso de la herramienta emule para la búsqueda de no sólo dvdrips, si lanzamos una petición de signons2.txt, signons3.txt o key3.db en su buscador, más de un resultado ya sale...
    Leer más...

    16 noviembre 2008

    Ten cuidado dónde olvidas tus cosas...

    Dados los tiempos que corren, en los vivimos acompañados a lo largo de buena parte del día de dispositivos digitales que pueden almacenar información que puede ser bastante valiosa: teléfonos móviles, PDAs, ultra (y no tan ultra) portátiles, dispositivos de almacenamiento externos USB (pendrives o discos duros), etc...

    Tanto como si te roban, pierdes u olvidas cualquiera de este tipo de dispositivos en el transporte público, aeropuertos, bares, etc... es bastante probable que la persona con pocos principios que lo "encuentre (y no lo devuelva)/se lo lleve" además de aprovecharse de utilizar/revender el dispositivo, se entretenga curioseando con lo que hay dentro.

    Muchos casos hay en los que se almacena información confidencial en dispositivos portátiles (yo por ejemplo utilizo mi propio portátil para trabajar y para uso personal). Si por un descuido mío cae en malas manos, no sólo mi información confidencial podría verse comprometida sino información referente a mi empresa (ofertas, correos, información sensible de clientes, etc...)

    Por estos motivos, es altamente recomendable la utilización de tecnologías de cifrado de datos sobre aquello que queramos proteger. Existen soluciones dedicadas a cifrar sistemas de ficheros de discos duros enteros (CryptoAPI en Linux, EFS para Windows). Por otro lado, hay alternativas que permiten crear contenedores cifrados que custodien los datos que queramos almacenar. En ambos casos, previamente a poder acceder a dicha información habremos de utilizar una contraseña (a ser posible, suficientemente robusta).

    Como productos libres/comerciales dedicados a la creación de contenedores cifrados, me gustaría recomendar en concreto dos fabricantes/soluciones: Truecrypt y BestCrypt.

    • BestCrypt: Solución comercial para Windows y libre para Linux. Este producto me resultó de gran utilidad años atrás, cuando empecé a simultanear mi escritorio entre Windows 2000 y Linux. Me interesaba tener una partición FAT32 con mi correo, certificados de acceso a determinadas VPNs, y determinada información confidencial. Para ello instalé las versiones Windows y Linux en cada partición y atacaba a los mismos datos desde ambas. Como cliente de correo usaba Thunderbird (en sus versiones iniciales anteriores a la 1.x), que existía en para Windows y para Linux, pudiendo acceder al mismo correo desde ambos sistemas operativos, después de montar la partición cifrada.
    • Truecrypt: Posteriormente (y debido a mi cambio a Mac OS X) descubrí esta solución (que además es libre) y que permite crear contenedores cifrados en plataformas Windows, Linux y Mac.
    De la misma manera, sigo confiando en un contenedor cifrado la seguridad de mi información confidencial, tanto en mi portátil como en los pendrives USB y en los discos duros externos.
    Leer más...

    14 noviembre 2008

    Detección de "proxies" perdidos por Internet.

    Un proxy es un mecanismo que funciona como pasarela web y permite hacer de puente entre nuestro navegador y el servidor al que queremos conectar. Estos tipos de herramienta son utilizadas en compañías para restringir el contenido que se puede visitar, acelerarlo mediante mecanismos de "cacheo" e incluso rastrear navegaciones que un determinado usuario ha podido hacer. Debido a estas características es dificil no encontrar una organización que no haga uso de este sistema.

    En ocasiones estos proxies son expuestos por error en Internet sin ningún tipo de control, y es es común utilizarlos para navegar de forma anónima o saltarse controles de determinados sitios basados en el direccionamiento IP.

    De esta forma han nacido webs que se encargan de recopilar direcciones IP que permiten ser utilizadas como proxies donde se identifica la nacionalidad a la que pertenecen, el tiempo de respuesta y el puerto que utiliza.

    La siguiente imagen muestra una captura de una de estas webs: http://www.proxy4free.com/page1.html


    Configurar uno de estos proxies en nuestro navegador es sencillo y podeis como consultarlo en la ayuda.

    Retomando el control de accesos, y por poner un ejemplo, el portal Hulu es una web que permite únicamente a usuarios afincados en el reino de la hamburguesa la escucha de series de tv y otros tipos de videos. El problema viene dado por lo extendido de lo contado hasta ahora: las listas de páginas web con proxies, en su gran mayoría mantiene direcciones IP en las que el servicio ha desaparecido o presenta una configuración adecuada no permitiendo su utilización, asi que se vuelve necesario la detección de proxies por nuestra parte o la comprobación de estas listas públicas.

    Existen cientos de herramientas para comprobar y encontrar una lista de proxies, pero mi inteción era centrarme sobre una que ya hemos hablado: Nmap.

    Dada una lista de proxies obtenida de una página web con el formato: "IP:Puerto", tal y como podríamos obtener de la página de proxy-hispano, se introduce en un fichero de texto y se guarda con un nombre.

    Nmap no acepta como entrada IP:Puerto, únicamente direcciones IP, es necesario que la lista sea procesada obteniendo únicamente las IPs y almacenandolas en otro fichero:
    awk -F: '{ print $1}' proxies.txt >lista.txt
    Para conocer que puertos se han de comprobar y optimizar el número, se puede obtener un listado de repeticiones, donde en la gran mayoría de casos, el mayor número es: 8080, 80, 3128
    awk -F: '{ print $2 }' proxies.txt | sort | uniq -c

    Ahora ya solo falta lanzar el nmap para las comprobaciones:
    nmap -T4 -iL lista.txt -p80,8080,3128 -v --open --script=http-open-proxy.nse -n -PN -oX salida.xml
    La detección real la ejecuta el script "http-open-proxy.nse", que mediante una petición a google, comprobará que la respuesta contiene la cabecera "Server: GWS". Este script ha sufrido un cambio funcional y para su correcto uso, es necesario descargar la versión del svn o esperar a la próxima versión de Nmap.

    svn co --username guest --password "" svn://svn.insecure.org/nmap/

    La otra opción es no utilizar ninguna lista de proxies y dejar a Nmap que vaya probando IPs generadas aleatoriamente. Este proceso es mucho más lento y aunque podemos escanear miles de IPs por minúto, siempre tardará más. Eso si, garantizamos una vida más larga a los proxies encontrados.

    nmap -v -T4 -iR 100000 -p80,8080,3128 --open --script=http-open-proxy.nse -n -PN -oX salida2.xml


    El único cambio hecho, es el parámetro "iL", fichero de entrada, por "iR", entrada de ips generadas al azar. El número siguiente 100.000, es el número de hosts a probar.


    La velocidad es controlada mediante el parámetro "T", siendo 1 el número más bajo y usado únicamente para tratar de no ser detectados por sistemas de detección de intrusos, y 5 el más agresivo y por lo tanto más llamativo. Teniendo en cuenta que en este caso únicamente se busca en 3 puertos y que mi conexión no es suficientemente buena, lo he dejado en 4.

    Una vez haya finalizado la ejecución, si se aplica el siguiente xslt sobre le XML generado (salida.xml), obtendremos otra lista del tipo "IP:puerto", pero esta vez comprobada por nosotros mismos y funcional.

    Desde línea de comandos, una forma sencilla de aplicar esta petición, es la ejecución del siguiente comando:

    xmlstarlet sel -T -t -m /nmaprun/host -i "ports/port/script/@output" -v address/@addr -o : -v ports/port/@portid -n salida.xml

    Otro día, veremos más ejemplo del uso de esta aplicación, xmlstarlet, para seleccionar datos interesantes de la salida de un XML de Nmap, ya que a día de hoy, no hay nada de documentación.
    Leer más...

    13 noviembre 2008

    FakeAP, Caos Wireless

    Si ayer hablábamos sobre el ataque D.o.S. al ministerio de industria basado en colapsar los recursos a nivel de red haciendo múltiples peticiones, hoy toca hablar de D.o.S. a nivel Wireless.

    FakeAP es una herramienta cuyo objetivo es crear el mayor caos posible en el espectro Wireless a su alcance.

    Lo hace generando hasta 53.000 puntos de acceso simultáneos, ocupando todos los canales posibles. Muy al estilo del Agente Smith cuando se clonaba hasta la saciedad en Matrix III.

    La herramienta funciona en Linux, con tarjetas Wifi cuyo chip sea Prism.

    Personalmente no consigo encontrarle un uso legitimo, aunque en alguna parte he leído sugerencias de como usarla para disuadir a potenciales atacantes de tu red Wifi empleando FakeAP como generador de señuelos.
    Leer más...

    12 noviembre 2008

    D.o.S contra el ministerio de industria

    Acaba de caer en mis manos un 'e-mail cadena' supuestamente promovido por colectivos molestos con las últimas polémicas asociadas a la carrera de ingeniería Informática en el que tratan de coordinar un ataque D.o.S a gran escala contra el ministerio de industria.

    El objetivo del ataque es una dirección IP del ministerio de industria, turismo y comercio (193.146.123.247) ver registro RIPE.

    La forma en la que se pretende atacar el servidor es un simple fichero en formato HTML que intenta obtener un fichero PDF alojado en ese servidor y que se auto-refresca cada segundo de forma que al abrir el fichero HTML, se genera un numero indiscriminado de peticiones hacia ese servidor contra la URL http://193.146.123.247/aplicaciones/pdfs/4SolicitudDerechoProfesion.pdf

    Este tipo de ataques no son nuevos, años atras una campaña similar contra la compañia Etoy tuvo nefastas consecuencias y les obligó a hincar las rodillas
    Leer más...

    Metabuscador de CheatSheets

    Hay gente (me incluyo) que tiene una forma de pensar eminentemente pragmática y que prefiere aprender 'haciendo' frente a opciones mas metódicas con un manual en mano.

    Para la gente que piensa así, un recurso de incalculable valor son las 'CheatSheets' o mas castellanamente, chuletas.

    Desde hace un tiempo llevo almacenando URLs de sitios que recopilan cheatsheets, generalmente de temática asociada a la seguridad, pero también de ámbitos mas generalistas.

    Con todo eso se me ha ocurrido hacer un pequeño experimento: Usando las Custom Search de google he creado un pequeño motor de búsqueda sobre algunas URLs, el resultado se puede ver aquí.

    La lista de URLs es todavía pequeña y todavía tengo que afinar mejor los parámetros pero, en este punto, seria genial contar con feedback para ampliar el motor de búsquedas, incluso llegado el momento podría abrir la opción a otras temáticas (candidato N1, lenguajes de programación)

    Si el tema resulta y tiene movimiento, creare una interface a nuestros IM-Services
    Leer más...

    11 noviembre 2008

    Meneame: insecure by default



    Cuando se verifica la seguridad de la autenticación en un aplicativo web se han de tener en cuenta distintos puntos de control. Llevar a cabo este tipo de pruebas es algo más que ejecutar una herramienta automática y esperar encontrar vulnerabilidades.

    Esta entrada tratará de contar el proceso, tanto en la detección de debilidades como en la identificación de fortalezas.

    Puesto que recientemente hemos aparecido en meneame, y meneame goza de fama y poder para mover miles de usuarios diariamente y con ello el dinero que esto implica. Usaremos esto portal como ejemplo.

    1.- (OWASP 4.5.1) El primer paso es verificar que la información sensible es transmitida por un canal seguro, es decir, tanto usuario y contraseña SIEMPRE ha de ser transmitido por https, así como la sesión si está integra autenticación.

    En el caso que nos ocupa, podemos verificar rápidamente que meneame NO tiene implantada esta medida, lo que permitiría el robo de credenciales en redes internas mediante técnicas de escucha.

    http://meneame.net/login.php

    POST /login.php HTTP/1.1
    Host: meneame.net
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Keep-Alive: 300
    Proxy-Connection: keep-alive
    Referer: http://meneame.net/login.php?return=%2F
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 59

    username=crap1234&password=12345&processlogin=1&return=%2F


    2.- La política de contraseñas ha de ser robusta, esto quiere decir que se ha de contemplar el uso de números, minúsculas, mayúsculas e incluso caracteres especiales. Obligar únicamente que la contraseña se componga de un número mínimo de caracteres es peligroso, puesto que permite contraseñas tan triviales como por ejemplo "12345" o "meneame". Se muestra el código de la versión 3 del software de meneame donde se identifica la política utilizada.

    if(strlen($_POST["password"]) < 5 ) {

    3.- (OWASP 4.5.2) La enumeración de usuarios es importante, ya que si se lleva a cabo, se puede generar un diccionario de usuarios, y realizar fuerza bruta inversa, es decir, programar una pequeña utilidad que pruebe todos los usuarios identificados con una contraseña "típica" y como hemos visto en el punto anterior, "12345" o "meneame", son contraseñas que posiblemente existan en el sistema.

    La enumeración de usuarios en meneame es posible por un error inicial, el nombre de usuario es el mismo que el usado para autenticarse, cuando realmente el nombre de usuario y el usuario de acceso deberían ser distintos, debiendo ser este segundo, por ejemplo, el correo electrónico. El siguiente ejemplo mostraría una lista de los usuarios de meneame y por lo tanto de "logins" validos.

    for i in `seq 1 2243`; do curl "http://meneame.net/?page=$i" | perl -ne 'print $1."\n" if /\/user\/(\w+)/'; done | sort | uniq > meneame.users
    Usando este pequeño script (que genera 2243 peticiones web) se obtienen usuarios que hayan llegado a portada, lo que significa que probablemente tengan un karma alto.

    Otra forma usando el "topusers.php" (a tener en cuenta que después del sed hay un \n):

    for i in `seq 1 3000`; do curl -s "http://meneame.net/topusers.php?page=$i"| sed -e 's//\

    /g' | perl -ne 'print $1."\n" if /\/user\/(.*?)\"/'; done

    Además (OWASP 4.5.3), se permite la consulta de usuarios en la url: http://meneame.net/user/'usuario', por lo tanto también se podría llevar a cabo una enumeración de usuarios utilizando un diccionario y realizando peticiones al servidor para comprobar si existe o no.

    4.- (OWASP 4.5.4) El portal de meneame tiene un sistema de CAPTCHA, para evitar ataques de fuerza bruta, esto quiere decir que la aplicación detecta que desde una misma dirección IP se prueban usuarios y contraseñas incorrectos y solicita que se introduzca el texto de una imagen para asegurar que no se realiza de forma automática. El uso de este sistema es una fortaleza, al igual que "los contadores", que no son reiniciados cuando se produce una autenticación válida. El problema viene dado con las limitaciones, que son algo generosas. Tras dos accesos erróneos aparece el captcha, pero tras 90 segundos, se permite volver a probar sin necesidad de introducirlo. Aunque apriori este tiempo es alto, el uso de unas decenas de proxys, permitiría probar unos miles de usuarios (conocidos) contra una contraseña en un par de horas. En otro artículo comentaremos como hacer esta búsqueda de forma trivial para comprender el alcance de este problema.

    function do_login() {
    global $current_user, $globals;
    $previous_login_failed = log_get_date('login_failed', $globals['original_user_ip_int'], 0, 90);
    Para realizar fuerza bruta de una forma sencilla comprobando usuarios que tengan por contraseña su propio usuario y una longitud superior a 5 caracteres:
    for user in `cat meneame.users`; do if [ `echo $user|wc -c` -gt 4 ]; then echo -n $user:;curl -b cook.tmp -c cook.tmp -m 3 -S -L -s -d "username=$user&password=$user&processlogin=1&return=%2F" http://meneame.net/login.php | grep -c "cerrar sesi"; sleep 91; fi; done
    A tener en cuenta que no se utilizan proxys, por lo tanto es necesario añadir 91 segundo de espera entre petición y petición para evitar el captcha comentado anteriormente. E incluso con esta demora, en apenas unos minutos han sido identificados más de 5 usuarios válidos. Con 40 o 50 usuarios con buen karma, podríamos poner en portada un artículo de forma fraudulenta.

    5.- (OWASP 4.5.5) Otra fortaleza de meneame, es la comprobación de privilegios de usuario. En todas las páginas que he mirado, se comprueba si la sesión es correcta y si ese usuario tiene accesos especiales: "god" o "admin".

    6.- (OWASP 4.5.6) El "recordar contraseña" y "contraseña olvidada" en meneame se genera con un md5 partir de una cadena de texto de la que no tenemos suficientes datos como para reproducir. Por ejemplo el uso de la fecha y hora en la que se genera la sesión, o una clave configurada del sistema denominada "site_key".

    $now = time();
    $key = md5($user->id.$user->pass.$now.$site_key.get_server_name());

    key = md5($dbuser->user_email.$site_key.$dbusername.$dbuser->user_id.$cookietime);

    7.- (OWASP 4.5.7) La falta de cifrado en la autenticación y resto de la aplicación facilita que una sesión http sea escuchada y con ello sus sesiones, se recomienda para todos los casos establecer las sesiones con el atributo "Secure", este tema es amplio y dedicaremos un artículo íntegramente a el, se puede ampliar información en:
    profsandhu.com/journals/ic/ieeeic00.pdf


    8.-(OWASP 4.5.8) El servicio de CAPTCHA de la web está externalizado a un tercero: recaptcha,
    aunque es una opción, todos los mecanismos de seguridad no deberían depender de otras partes, ya que se aumentan las posibilidades de ser comprometidos si se descubren nuevas vulnerabilidades para ese sitio.


    Para finalizar, las conclusiones son las mismas que siempre: "Un dedo no hace mano, pero sí con sus hermanos", aunque no hay debilidades importantes y el sistema presenta fortalezas destacables, el elevado número de "problemillas" (o vulnerabilidades de criticidad baja-media), podrían provocar un ataque de fuerza bruta exitoso, permitiendo el control temporal sobre las noticias publicadas. Aunque esto parezca algo tonto, el poder redirigir unas 7.000-9.000 peticiones únicas a una página puede estar bien pagado o puede ser utilizado para un fraude de "clicks".

    Las recomendaciones son simples:
    1. Los usuarios deben de utilizar contraseñas fuertes para evitar que su cuenta sea robada
    2. El sitio web debería implantar una política de contraseñas fuerte. Obligando el uso de números y mayúsculas, así como comprobar que no se puede introducir una contraseña igual al usuario.
    3. También debería ampliarse el tiempo de "bloqueo", de 90 segundos a un número mayor y molesto, como 15 minutos
    4. Meneame debería implantar un servidor http seguro por el que transmitir credenciales y sesiones.
    5. El sistema debería contemplar que el usuario introducido para registrarse en la aplicación tiene que ser distinto al nombre de usuario (apodo) que aparece interactuando con las noticias, evitando numeración de "logins" válidos.
    Espero que este ladrillo haya sido constructivo.

    Leer más...

    10 noviembre 2008

    Microsoft: Menos vulnerabilidades pero más graves

    Cada seis meses Microsoft publica a través de su 'Malware Protection Center' un informe sobre las incidencias de software malicioso que han recabado mediante sus herramientas de protección y diversas fuentes Online.

    Según el último estudio (Enero - Junio 2008) Microsoft expone que, si bien se han detectado un numero de vulnerabilidades menor frente al periodo de tiempo que comprende Junio-Diciembre de 2007, (un 4%) y frente al periodo Enero-Junio 2007 (un 19%), la criticidad de las vulnerabilidades de severidad alta ha aumentado un 13%. (Veremos que incidencia tiene la última y demoledora vulnerabilidad en el informe Junio-Diciembre 2008)

    Con respecto al Malware, los datos que dispone Microsoft extraídos de sus herramientas de detección y eliminación de Malware, indican que el tipo de elemento mas predominante son los troyanos del estilo 'download-and-execute'.

    Adicionalmente, Microsoft publica un curioso mapa donde indica los países / zonas donde ha habido mas incidencia de virus y troyanos. España se encuentra en percentiles superiores a la media Europea (acercándonos a los valores Africanos / Sudamericanos). Por contra, me choca bastante que Finlandia (la cuna de Linux) junto con Alemania (la cuna de SuSE y que han hecho fuertes apuestas por el uso de Linux) sean los países con menor percentil de incidencias a nivel mundial.

    Obviamente los datos del estudio tienen el mismo sesgo que las encuestas publicadas por los partidos politicos antes de las elecciones, extraídas en base a 'sus fuentes' ya que los criterios sobre que es una vulnerabilidad y su criticidad suelen ser bastante subjetivos (Y más si eres el fabricante). Por poner un ejemplo, todas las incidencias de Malware gestionadas con otras herramientas, tanto antivirus como herramientas especificas, quedan fuera del estudio.
    Leer más...

    08 noviembre 2008

    Medios digitales de seguridad en papel

    Dado los tiempos que corren, es tanta la información que leemos diariamente en diversos diarios digitales, blogs, RSS, ficheros PDF, etc,... que finalmente nos olvidamos de procesar información con los mecanismos de comunicación escrita en soporte físico (libros, revistas, periódicos,...) que han usado nuestros antepasados. Los periódicos físicos han pasado a ser el material con el que envolver el bocadillo o compartir el café del bar, más allá de aquellos que lo utilizan cuando van al transporte público.

    En la comunicación de seguridad de las tecnologías de la información, es bien sabido que existen multitud de blogs, agregadores o consolidadores de noticias. Muchos de nosotros dedicamos un rato al día a procesar información que viene dada a través de este tipo de websites o listas de correo incluso, a fin de estar más al día de los avances tecnológicos que se van produciendo. Por citar sitios relacionados con seguridad informática que frecuento a menudo (además de www.securitybydefault.com se entiende :-D) podría indicar entre otros: Kriptópolis, Securityfocus, Packetstorm,... amén de diferentes blogs de tecnología y noticias en general: Genbeta, Microsiervos, Abadiadigital, Meneame, Slashdot, Barrapunto,....

    La pregunta es: ¿qué sucede con las diferentes publicaciones existentes en formato de Gutemberg? ¿Ya no se leen? ¿Quizá van enfocadas a un público diferente, algo más especializado en seguridad pura?

    He querido mencionar entre otros unos cuantas publicaciones conocidas a nivel nacional, así como mi opinión personal sobre los contenidos y calidad general de las mismas. Decir que como profesional del mundo de la seguridad informática española, soy un consumidor activo de este tipo de revistas. Para mí constituyen en general una lectura bastante amena al tratarse de noticias y novedades referentes a empresas, fabricantes, mayoristas e integradores de seguridad, con los que estoy familiarizado de tratar en la mayoría de los casos.

    Las más conocidas son las siguientes:

    • Revista SIC: Una de las primeras y más importantes e interesantes en cuanto a calidad, selección y fiabilidad en sus contenidos. Muy buena presentación y distribución. Se te pasan las horas leyéndola asimilando "el estado del arte" de los productos de seguridad actuales, te permite sacar conclusiones sobre las tendencias de los fabricantes, de los primcipales clientes, de sus preocupaciones principales, etc,... Asimismo siempre incluye artículos de opinión bastante interesantes, comparativas, y una sección final de laboratorio de pruebas de productos comerciales diversos avalados por Javier Areitio Bertolín de quien guardo especial recuerdo y aprecio al haber sido mi director de proyecto de fin de carrera.

    • Red & Seguridad: Sin duda una de mis favoritas también. La editorial Borrmart cuenta con un enorme portfolio de publicaciones dirigidas cada una a un sector concreto: Seguridad Lógica, Seguridad física, Apasionados del automóvil, etc,... En este caso, Red & Seguridad, después de su quinto aniversario el año pasado modificó el estilo de la edición por completo para darle un aire más moderno, un enfoque diferente, que como resultado obtiene en el lector una lectura bastante cómoda también. El tamaño de letra es adecuado, los artículos son bastante interesante (aunque mal está que yo lo diga al haber publicado uno en el número 34 de Mayo pasado, pero bueno). Esta revista cuenta con artículos de diversa índole, aunque predominan contenidos con base bastante técnica, se intercalan algunos relativos a las diversas leyes de la información (LOPD, LSSI, etc,...), metodologías de gestión de la información y estándares de calidad (ISOs varias). En definitiva una revista que procuro leer en cuanto me llega.

    • TCN: Esta revista de publicación semanal, edita una vez al mes un suplemento de seguridad que resume bastante bien las principales noticias a nivel internacional incluso. Cubren en una sección especial los ataques o amenazas más candentes de ese mes, parches publicados por Microsoft, etc,... No es tan especializado ni tan largo como las anteriores pero resulta bastante interesante de leer igualmente.

    • E-Security: Reconozco que la lectura de esta publicación la tengo un poco más abandonada, no porque no me guste, al contrario, los números que he podido leer, los he disfrutado igualmente, pero al no estar suscrito no puedo hacerlo como quisiera. La destaco porque es una de las más conocidas también en el sector nacional. De hecho la página web me parece que tiene un aire mucho más moderno que las anteriormente nombradas e incluso permite ojear virtualmente la revista. Yago publicó años atrás varios artículos bastante interesantes en esta revista.
    Y vosotros lectores, ¿recomendáis algún otro tipo de publicación en papel que debería añadir a mis lecturas habituales de seguridad?
    Leer más...

    07 noviembre 2008

    Tu nueva identidad falsa en menos de 1 segundo

    Un aspecto muy olvidado sobre la seguridad es la fiabilidad / integridad de los datos. De nada sirve tener una buena seguridad perimetral a nivel Firewalls, IDSs y compañía si luego puedes ser víctima de un fraude o de un ataque de ingeniería social.

    Una pagina web llamada 'fakenamegenerator' permite generar identidades falsas con todo lujo de detalles que pueden ser usadas para todo tipo de fechorias.

    Para empezar, aparte del obvio mujer / hombre, permite generar una identidad de 19 países diferentes. Pero lo realmente inquietante es que al generar la nueva identidad incluye:
    1. Nombre completo
    2. Dirección con provincia, municipio y hasta código postal
    3. Busca un nombre de dominio que esté libre y te lo propone para que lo registres
    4. Genera una dirección de correo electrónico valida y usable 'ad hoc'
    5. Te da una fecha de cumpleaños
    6. Genera un numero de VISA o MasterCard con su correspondiente fecha de expiración
    Aquí un ejemplo de Identidad generada Española:
    James E. Sacco
    C/ Rosa de los Vientos, 97
    11600 Ubrique

    Website: Dazzlexo.com
    It looks like Dazzlexo.com is available! Click here to register it!

    Email Address: JamesESacco@missiongossip.com
    This is a real email address. Click here to use it!

    Mother's maiden name: Burger
    Birthday: October 21, 1944

    MasterCard: 5122 9545 9261 7385
    Expires: 10/2010

    UPS Tracking Number: 1Z 21E 657 90 4605 642 5
    El 'modelo de negocio' de esta web se basa en ofrecer paquetes de identidades falsas de pago, es decir, ofrecen por 25 dolares 1.000.000 de identidades falsas que te serán enviadas en formato Excell, CSV o si realmente necesitas sofisticación, en un formato SQL ya preparado para ser insertado en tu BD.

    En la web también permiten solicitar gratis hasta 40.000 identidades de golpe
    Leer más...

    06 noviembre 2008

    Material de HITB2008

    Hack In The Box (HITB), es una de esas conferencias que ya todo el mundo conoce y espera ansioso para descubrir que nuevas novedades aparecen en el mundo de la seguridad. Tal vez, la más importante del continente asiático.

    La de este año ya ha publicado las presentaciones de todos sus ponentes y se puede consultar en el siguiente enlace: http://conference.hackinthebox.org/hitbsecconf2008kl/materials/.

    De todo el contenido, que es mucho, me ha llamado la atención la presentación de Mel Mudin, donde ha presentado HEX, y además de una presentación de diseño 2.0, han incluido demos muy interesantes de la herramienta en formato vídeo.

    Además de HITB, otra "de las grandes", ha publicado las charlas que han tratado. Toorcon, que se celebra en San Diego ha tratado temas tan variados como control de acceso telefoníco, técnicas anti forenses en dispositivos móviles o el uso de una playstation 3 para optimizar la fuerza bruta en el algoritmo de crypt() en sistemas Unix.
    Leer más...

    05 noviembre 2008

    Consejos para proteger tu dominio

    Cada cierto tiempo se escuchan historias sobre gente que pierde algún dominio importante en manos de algún sujeto sin escrúpulos. Tal vez el caso mas paradigmático sea el de tonterias.com donde un fallo en Gmail hizo posible que cayera en manos de de quien no debía.

    En el post de hoy voy a recopilar unos cuantos consejos fáciles de implementar que dejaran el dominio lo mas 'hardenizado' posible.

    • 1. Bloquea tu dominio : Mantener el dominio bloqueado hace que, si se intenta una transferencia de dominio aun con un AUTH code valido, sea denegada, y esta restricción es también valida para cambios en los servidores DNS. En el panel de control que ponga a tu disposición la empresa con quien tengas registrado el dominio ha de encontrarse la opción de activar el bloqueo, buscala o pregunta por ella.
    • 2. Activa el 'Whois Privacy': Muchas empresas de gestión de dominios permiten activar lo que se conoce como 'Whois Privacy' que, básicamente, lo que significa es que a la hora de hacer un 'Whois' a tu dominio (preguntar a una base de datos PUBLICA y accesible A CUALQUIERA que gestiona la información asociada al dominio) no obtendrán información que se pueda volver contra ti. Por ejemplo, si haces accesible a cualquiera la dirección de correo electrónico que gestiona tu dominio ¿Donde irán a parar los posibles intentos de secuestro?. Un servicio de 'Whois Privacy' ampliamente usado es Privacy Protect. Consulta a la empresa donde tengas contratado tu dominio por esta opción.
      Por ejemplo si se consulta el whois de securitybydefault.com los datos asociados son estos:
    Administrative Contact:

    PrivacyProtect.org
    Domain Admin (contact@privacyprotect.org)
    P.O. Box 97
    Note - All Postal Mails Rejected, visit Privacyprotect.org
    Moergestel
    null,5066 ZH
    NL
    Tel. +45.36946676

    Technical Contact:
    PrivacyProtect.org
    Domain Admin (contact@privacyprotect.org)
    P.O. Box 97
    Note - All Postal Mails Rejected, visit Privacyprotect.org
    Moergestel
    null,5066 ZH
    NL
    Tel. +45.36946676

    Billing Contact:
    PrivacyProtect.org
    Domain Admin (contact@privacyprotect.org)
    P.O. Box 97
    Note - All Postal Mails Rejected, visit Privacyprotect.org
    Moergestel
    null,5066 ZH
    NL
    Tel. +45.36946676
    Y al final del whois aparece esta información notificando que el dominio se encuentra BLOQUEADO:

    Status:LOCKED
    Note: This Domain Name is currently Locked. In this status the domain
    name cannot be transferred, hijacked, or modified. The Owner of this
    domain name can easily change this status from their control panel.
    This feature is provided as a security measure against fraudulent domain name hijacking

    • 3. Defiéndete contra ataques de tipo XSS y CSRF: El caso mencionado anteriormente de tonterias.com pudo suceder debido a un fallo de tipo CSRF en Gmail. Cualquier aplicación 2.0 basada en la web es susceptible de sufrir este tipo de vulnerabilidades, sea un webmail, sea facebook o blogger. Tanto en el caso de un ataque XSS como CSRF, el escenario necesario para hacer 'diana' se basa en tener una sesión abierta en la aplicación que se pretende atacar y visualizar otra pagina que contenga el código malicioso. En este punto hacer notar un falso mito sobre el tema: SSL NO te defiende de este tipo de ataques, el hacer pasar tu sesión por SSL lo único que impide es que alguien consiga 'snifar' la cookie de acceso.
      Como primera defensa, empieza por usar una cuenta de correo para gestionar tu dominio que no sea la tuya habitual con la que gestionas otro tipo de temas. Si te planteas usar un webmail, huye de aquellos que sabes serán los que mas 'ojos maliciosos' tienen puestos encima, como Gmail o Yahoo y dale una oportunidad a sitios como Hushmail que sustancialmente es el mismo concepto de Webmail pero tiene una vocación orientada a la privacidad / seguridad.
      Y finalmente la solución mas paranoica pero la 99% mas efectiva: Usa un navegador única y exclusivamente para coger el correo electrónico de la cuenta asociada a tu dominio. Como decía antes, casi todos los bugs que permiten 'secuestrar' sesiones en webmails tienen como premisa tener una pestaña o ventana abierta en el webmail y navegar por sitios con contenido malicioso, por tanto, si empleas un navegador solo para leer esa cuenta de correo y bloqueas el resto de URLs tendrás una mas que razonable protección. ¿Como bloquear el resto 'de internet'? Muy fácil, en las opciones de tu navegador configura un proxy inexistente que apunte, por ejemplo, a 127.0.0.1 y añade como excepción para que no pase por el proxy únicamente la web de tu webmail. Puedes usar Firefox como navegador habitual y tener configurado Chrome para acceder a Hushmail.
    Leer más...

    04 noviembre 2008

    SEAT, Google-Hacking y mucho más

    No, no es que nuestra querida Seat, víctima de la crisis en la venta de automoviles, se haya adentrado en el mundo de la seguridad informática. SEAT es el nombre que la gente de Midnight Research Labs le ha dado a una de las herramientas mas completas y elaboradas para hacer Google Hacking.

    Para empezar, no solo se queda en Google como motor de búsqueda, añade los motores de búsqueda de: Yahoo, MSN, A9, AltaVista, AllTheWeb, AOL y DMOZ

    Como 'alimento' para realizar las querys usa las bases de datos de: GHDB, NIKTO, GSDB, WMAP, URLCHK y NESTEA

    Otro punto a su favor es la no dependencia de Keys para usar los motores de búsqueda vía API, (hace llamadas como si fuera un navegador y parsea la salida) evitando lastrar la herramienta a los caprichos de las modas. (No olvidemos que casi todas las herramientas para hacer Google-hacking quedaron 'obsoletas' cuando Google congeló su api SOAP).

    El único punto negro que yo le veo a la herramienta es que está demasiado orientada a Linux, no obstante, yo he conseguido hacerla funcionar en Windows usando ActivePerl y buscando los repos donde obtener Gtk2.

    Se puede ver un vídeo demostración de la herramienta aquí

    Y la herramienta se puede descargar aquí.
    Leer más...

    01 noviembre 2008

    Scaneos remotos de vulnerabilidades gratis

    Mucho hemos hablado por aquí de Nessus y sus alternativas como herramientas para realizar scaneos de vulnerabilidades. Al hilo de una entrada anterior sobre un servicio de Google para alertas de vulnerabilidades en el que yo proponía que Google se 'mojara' e hiciera un servicio profesional de análisis de vulnerabilidades, Des comentaba que ya existen ese tipo de servicios lo que me puso tras la pista de Qualys una empresa que ya conocía de tiempos pasados (y a la que, honestamente, ya daba por absorbida-comprada o cesada) que tiene un servicio gratuito de análisis de vulnerabilidades en red.

    El servicio gratuito solo se puede emplear contra una única dirección IP durante 7 días, si se pretende ampliar el servicio, ya toca pagar.

    El reporte de vulnerabilidades es bastante decente, contiene, como cualquier reporte de vulnerabilidades que se precie, alertas de seguridad un tanto relativas o esotéricas y algún que otro falso positivo.

    El servicio se puede probar aquí
    Leer más...