31 julio 2009

Material de la BlackHat USA 09 disponible

Ayer concluyeron las conferencias de la BlackHat USA de este año, que se ha celebrado como viene siendo habitual en Las Vegas. Dos días (29 de Julio y 30 de Julio) repletos de charlas, con más de 8 tracks por día, como os comentamos en su día. Pues bien, para los que no hayan podido asistir, y aún sabiendo que no es lo mismo, ya están disponibles los materiales de casi todas las charlas.

En este enlace ya podemos conseguir los whitePapers, códigos fuente y programas, presentaciones, grabaciones de audio e incluso video de las conferencias. El contenido se irá actualizando poco a poco, pero de momento ya tenemos buen material al que echar un vistazo este fin de semana.

Yo destacaría entre todas las charlas, la de Moxie Marlinspike en su lucha de nuevo contra el SSL (lo que da de sí un carácter nulo ¿verdad?). Además, de ella es de las pocas que tenemos una grabación en video para descargar. Otra con video disponible es la de Mark Dowd, Ryan Smith y David Dewey, de la que vimos un preview mostrando como se saltaban los killbits.

En resumen, preparad una carpeta en vuestro disco duro, enchufad un descargador masivo de enlaces y ¡coged todo lo que podais que es gratis!
Leer más...

30 julio 2009

Grave vulnerabilidad en Bind 9 con exploits publicados

¿Tienes un servidor DNS Bind 9 instalado en alguna de tus máquinas que administras, que no corresponde ni con la versión 9.4.3-P3, 9.5.1-P3 ni la 9.6.1-P1? Pues deja todo lo que estés haciendo.

El 28 de Julio podíamos leer en la página del ISC un advisory sobre una vulnerabilidad que afectaba al servidor Bind, versión 9, con la que se puede provocar una denegación de servicio al sistema dónde se encuentre instalado (que no son pocos en todo el mundo).

La vulnerabilidad afecta a la función dns_db_findrdataset() que se encuentra en el fichero db.c, y que según explica el advisory, falla en caso de que el mensaje de actualización dinámica contenga un registro de tipo "ANY" y si por lo menos un registro RRSet para ese FQDN (Fully Qualified Domain Name) existe ya en el servidor."

Lo más grave de todo es que ya existen exploits públicos que se aprovechan de esta vulnerabilidad. En SecurityFocus podemos encontrarnos este txt que explica como explotar el fallo, y en la lista de seguridad Full-Disclosure, KingCope (el que descubrió no hace mucho el fallo de bypass en WebDav del que os hablamos por aquí) ha publicado una versión del exploit en C.

Así que no hay excusa, hay que actualizar YA de YA.
Leer más...

29 julio 2009

¿Quieres ver cualquier fichero del servidor de AT&T?

Hace unas horas se alertaba en diversos lugares de la existencia de una vulnerabilidad en uno de los php de esta gigante compañía de telecomunicaciones AT&T. Gigante también me parece el error, sobretodo a estas alturas.

El fichero PHP vulnerable era subpage.php, y la variable que aceptaba como parámetro cualquier archivo del servidor conociendo su ruta era page:

http://www.research.att.com/areas/visualization/papers_videos/subpage.php?page=

Y con él se podían hacer fechorias tales como obtener el fichero /etc/password, /etc/hosts, la configuración de su apache, la información de su servidor...todo lo que uno quiera únicamente sabiendo su ruta y nombre.

Hay rumores de que este descubrimiento puede llegar como respuesta al reciente bloqueo al servidor de imágenes de 4chan por parte de AT&T, el cual parece ser que evitaba que sus clientes de ADSL pudiesen acceder al bloque de direcciones IP asignado para ellos. Esto se confirmó, alegando que en realidad se había decidido bloquear el acceso porque se estaban recibiendo ataques de denegación de servicio desde dichos rangos. Moscas a cañonazos.

Pero, ¿y en qué consiste esta vulnerabilidad? ¿Por qué es explotable? ¿Cual es el despiste que tuvieron ciertos desarrolladores de att.com para permitir la lectura de cualquier fichero alojado en el servidor?

- La vulnerabilidad

La vulnerabilidad se conoce como inclusión de archivos locales gracias a directory/path traversal, y consiste en aprovecharnos de un fallo de validación de parámetros de entrada en una variable cuyo valor el desarrollador utilizará como argumento de funciones del lenguaje PHP (en el ejemplo de AT&T) como son include, require, include_once, require_once...

- El ejemplo

Si en tu código de un fichero php, que llamaremos recuperar.php, utilizas algo así para llamar a otros ficheros de tu aplicación mediante un parámetro GET por ejemplo (se almacenará en $_GET['fichero'] al realizarse la petición):

-- dramatización --
$fichero = $_GET['fichero'];
include($fichero); // A cascoporro!!!
?>
-- end of dramatización --

y la dirección es parecida a

http://www.miservidor.com/recuperar.php?fichero=pagina1.php

Aprovecha que es verano y hay más tiempo y revísala, porque sin las medidas necesarias, podrías ser víctima de este tipo de ataques.

- La consecuencia

Cambiando pagina1.php por por ejemplo:

http://www.miservidor.com/recuperar.php?fichero=../../../../(unos cuantos ../)../etc/passwd

Provocaríamos que el script llamara a dicho fichero para que su contenido fuese pintado en la página. Los "../" son los que provocan a la función saltar hacia atrás en los directorios, saliéndonos del Document Root de la aplicación web (directory traversal). Obviamente, como el passwd no es código php interpretable, veríamos el contenido íntegro incluído en la web.

- La solución
  • Filtrar, filtrar y filtrar todos los parámetros que un usuario de la página pueda manejar. No hay que fiarse de nadie.
  • Asegurarse de que no se pueden servir ficheros más allá del Document Root de la página.
  • Procesamiento correcto del parámetro y de la función que se dedique a recuperar el contenido del fichero que necesitemos. Existen funciones del propio lenguaje encargadas de limpiar una cadena para evitar que contengan puntos, barras laterales y cualquier carácter que no sea adecuado.
- Otros que han desarrollado sin tener en cuenta estas medidas:
  • Software vulnerable a Local File Inclusion y Directory/Path Traversal en milw0rm: [1], [2] y [3]
Pocos no hay...

[+] Reddit
Leer más...

28 julio 2009

Los orígenes

Aquellos a los que conocemos como destacados hackers, surgieron de las actividades del phreaking de la década de los 60.

Mark Bernay, conocido como "The Midnight Skulker", se enteró del funcionamiento de los números de prueba que se usaban para chequear las conexiones telefónicas, e hizo uso de estos loops (líneas entrelazadas) para realizar llamadas gratuitas. También escribió un programa que le permitía leer los IDs y passwords de la empresa en donde trabajaba, aunque fue finalmente despedido, no le adjudicaron cargos ya que estos delitos eran muy nuevos y no había leyes contra ellos.

John Draper alias "Captain Crunch" fue el primero en construir la primera caja azul. Su amigo ciego Joe Engressia, le contó que si modificaban un silbato que venía como regalo en las cajas de cereales de Cap'n Crunch, éste producía una frecuencia de 2600 Hz, que usaba At&T para dejar de tarificar la llamada. Este tono fue útil para realizar llamadas a larga distancia.


Mark Abene, conocido como Phiber Optik, ayudó a formar en 1990 "Masters of Deception". Colapsó los ordenadores de una de las principales cadenas de televisión de Nueva York dejando un mensaje que decía: "Happy Thanksgiving you turkeys, from all of us at MOD". Fue arrestado en 1992, con cargos por acceso no autorizado a ordenadores de una compañía telefónica y conspiración. Después ha trabajado como profesional de la seguridad informática para grandes compañías.

Kevin Poulsen, conocido como Dark Dante, consiguió ganar un Porche 994 en un concurso radiofónico, ocupando todas las líneas telefónicas. Fue detenido y dirigió Security Focus. Actualmente es editor en Wired News.



Robert Morris, hijo de un científico de la NSA. Accidentalmente creó el "Morris Worm" en 1988 en un laboratorio de la universidad de Cornell. Se le conoce como el primero en meter un gusano en Internet.




Kevin Mitnick, conocido como "Condor", fue el primer hacker en encabezar la lista de los más buscados del FBI. Entró en organizaciones como Digital Equipment Corp., Motorola, Nokia, Fujitsu... Fue detenido por última vez en 1995. Salió en 2002 y actualmente es consultor de seguridad en su empresa Mitnick Security. Se han escrito libros sobre sus arrestos, como Takedown y The Fugitive Game. Ya mencionamos en SbD que Kevin fue víctima en FaceBook de su propio juego.


También nombramos a Vladimir Levin, hacker ruso que lideró un equipo de hackers que extrajo 10 millones de dólares de Citibank y transfirió el dinero a cuentas bancarias de todo el mundo. Y Adrian Lamo, conocido como "Homeless Hacker" por su austero estilo de vida. Pasaba sus días ocupando edificios abandonados y viajando a cibercafés, bibliotecas y universidades para explotar vulnerabilidades de seguridad en redes de compañías como Microsoft, NBC y The New York Times.

Aunque esta lista no incluye a todos los hackers, crackers, da una idea de las personas que por mérito propio se han echo un hueco en la industria.
Leer más...

27 julio 2009

En uno de los portales wiki del iPhone Dev-Team podremos encontrar un post muy curioso con 10 trucos para usuarios del teléfono móvil de Apple, el iPhone, en caso de que vayan a la Defcon 17 que tendrá lugar dentro de unos días en Las Vegas.

Entre estos trucos, nos recopilan consejos dedicados a mantener la seguridad de este dispositivo al meternos en un nido de hackers como es dicho congreso de seguridad.

Este miedo pudimos vivirlo cuando asistimos a la BlackHat EU de este año en Amsterdam, con tanto portátil enchufado, tantos intentos registrados en los firewalls...seguramente había más nmaps corriendo contra los asistentes que croissants para desayunar.
  • Deshabilitar todas las cookies de autenticación en Safari. Todos utilizan la wifi gratuita que ofrece el hotel, y debido al perfil de la gente que asistirá a tal evento, y que seguramente durante muchas de las charlas que tendrán lugar, habrá algún individuo que se dedique a sniffar en vez de permanecer atento, es recomendable no visitar sitios web mediante HTTP cuando requieran autenticación. Se debe forzar la autenticación, y la navegación en algunos casos, en twitter, gmail, google reader, facebook o dónde sea, siempre mediante HTTPS.
  • En caso de poder utilizar una conexión 3G, evitar en la medida de lo posible conectarse mediante las conexiones WIFI de las instalaciones o del propio aeropuerto antes o después de llegar a Las Vegas.
  • Configurar el iPhone para que no se conecte automáticamente a redes wifi conocidas.
  • Utilizar tethering para evitar conectarse mediante wifi también con los portátiles. En caso de poder evitar utilizar la wifi, considerar la opción de utilizar la aplicación Unrestrictor 3G. Esta aplicación evita que multitud de herramientas, como iTunes o Skype, fuercen la conexión mediante wifi en caso de encontrar una red disponible. Cuesta 2$ y se puede comprar a través del respositorio de BigBoss tanto en Icy como en Cydia.
  • Cambiar la contraseña de root y de mobile del iPhone, o desactivar directamente el servidor SSH. Por defecto en los firmwares, la contraseña ha sido "alpine", y siempre se ha utilizado para las conexiones SSH contra los dispositivos. al tener que editar algún fichero de configuración manualmente al tenerlo jailbreakeado y demás. En caso de no querer cambiarla, por lo menos, dejar desactivado el servidor SSH mediante el SBSettings.
Así que ya sabeis: Si pronto vais a asistir a un congreso de seguridad, lo importante es que sólo os preocupeis de a qué charlas asistir y disfrutar de su contenido cuando llegue el momento. Pero antes de marchar al aeropuerto armados con vuestros productos hacker preferidos, tened en cuenta estos pequeños consejos.

Leer más...

26 julio 2009

Spim: Spam over Instant Messaging

¿Quién a día de hoy no utiliza la amplia oferta de redes de mensajería instanánea para comunicarse con su red de contactos, familia, amigos, compañeros de trabajo, ligues, etcs,...? Quien más quien menos ha evolucionado del vetusto ICQ al archiconocido y universal MSN, pasando por Yahoo! Messenger o AIM, u otros con menos tiempo de rodaje, pero igualmente bueno como Google Talk o Gtalk. De hecho, incluso Security by Default provee servicios a través de mensajería instantánea. En nuestro caso hemos elegido MSN y Gtalk como redes para los cuales funcionan nuestros robots.

Hoy queremos hablar de un tipo de amenaza para la que no existen contramedidas tecnológicas: El spam en redes de mensajería instantánea (en inglés SPIM). Cuántas veces nos ha pasado que un contacto que no conoces de nada te ha añadido al messenger. Si aceptamos esta conexión, estamos permitiendo a un desconocid@ ofrecernos caramelos que pueden tener o no tener sorpresas. En general, este tipo de contactos, cuentan con un avatar en el que una atractiva señorita insinúa sus encantos. Digas lo que digas, generalmente te contesta lo mismo. Cosas como: "Hi, I found you", "You are lucky cause I am horny today" y otros alegres mensajes de esa índole. A partir de ahí, generalmente se te induce a hacer click en un enlace en la cuál se ofrece algún tipo de "servicio". Lo más normal es no hacer mucho caso a ese nuevo contacto, bloquearlo y borrarlo.

Más allá del compromiso por parte de Microsoft para que sus clientes de MSN mitiguen este tipo de riesgos, lo que está claro es que los atacantes son cada vez más ingeniosos para hacer que los usuarios "piquen" y adquieran algún tipo de malware en sus PCs.

Sin embargo, hay más formas de comprometer las credenciales de mensajería instantanea. Aún hay quien piensa que determinados servicios que prometen decirnos, de forma altruista, "quién te ha borrado de su MSN", funcionan sin nada a cambio. Este tipo de servicio, a los que hay que proporcionar usuario y contraseña, después de haber comprobado que "tacones21" no nos ha borrado de su lista (simplemente es que se conecta poco), al final suele dejar el mensaje que nuestros contactos leen con publicidad sobre el mismo. Simplemente es cambiarlo otra vez y ya está. Bueno pues cuidado con esto. Muchas veces este tipo de servicios online aprovechan que tienen tus credenciales para hacer, de forma automática, un maravilloso Spam de sí mismo (comportamiento vírico) ante toda tu red de contactos. ¿Curioso verdad? Sobre la peligrosidad de este tipo de "servicios" ya se habló en su momento en Genbeta.

Para saber si Luisita definitivamente te borró mediante estos servicios online, por mi parte recomiendo cambiar la contraseña antes de hacerlo, y justo después, volverla a cambiar por la anterior o por una más compleja. Otra solución es utilizar un programa que lo haga de forma local como MSNCHeck, en el cual el usuario/contraseña nunca se queda en ningún servidor, sino que la comprobación se hace en tu propio PC.
Leer más...

25 julio 2009

Saltando KillBits - Preview Blackhat 2009 Vegas

En otra ocasión hablamos de seguridad en ActiveX y la importancia de los conocidos KillBits a la hora de identificar que controles no pueden ser cargados en el navegador en las zonas de Internet.

Una pequeña demostración de HustleLabs de lo que será su charla en la BlackHat Vegas que se celebra la próxima semana está recorriendo Internet como la pólvora.

En este adelanto, puede observarse como son capaces de saltar la protección puesta mediante KillBit explotando un fallo conocido en un control vulnerable y configurado para no ser ejecutado.

Esto significa que software vulnerable instalado de terceras compañías ajenas a Microsoft vuelve a ser potencialmente peligroso, con la consecuencia de poder caer en nuevas amenazas de todo tipo, como son gusanos, intrusiones, malware, etcétera.

El video es autoexplicativo y aunque no detallan nada técnico, dejan a todo el que lo ha visto con los dientes muy largos...

En la página oficial podeis consultarlo más ampliado: http://www.hustlelabs.com/bh2009preview


Leer más...

24 julio 2009

SE BUSCAN: Ciber Guerreros

¿Te sientes poco motivado en tu trabajo?. ¿No encuentras opciones de futuro como técnico o experto de seguridad?

La División de Inteligencia y Sistemas de la Información de los Estados Unidos oferta 250 puestos para contratar a cyber warriors que ayuden a combatir, de forma ofensiva como defensiva, en la ciberguerra digital que se avecina.

Se buscan perfiles con habilidades en ingeniería inversa, desarrollores de kernel, expertos en detección de intrusos, vulnerabilidades, sistemas de la información, seguridad en redes, web, análisis forense...

Si tienes aptitudes de cyber ninja o cyber warrior, nacionalidad americana y estás dispuesto a pasar una prueba de polígrafo exhaustiva, ésto es lo que buscas.

Las guerras que se aproximan, nada tendrán que ver con las de los últimos 100 años, donde el más fuerte era el que mejor estrategia y más armas tenía. Los soldados y capitanes quedarán atrás y se abrirá una nueva era de figuras como Neo, Morfeo o Trinity.

¿Te vas a quedar ahí sentado viviendo la realidad que Matrix te ha asignado? Escojas el bando que escojas ... elige la pastilla roja.

[+] http://www.wired.com/threatlevel/2009/07/raytheon/
Leer más...

23 julio 2009

Las botnets mas buscadas

En muchas ocasiones hablamos sobre botnets, su potencial riesgo y sus diferentes tipos de 'negocios', pero rara vez se tienen en la mano datos medianamente fiables sobre la magnitud del problema.

Recientemente se ha publicado una lista con el Top 10 de botnets con mas incidencia en EEUU que merece la pena reseñar por lo valioso de los datos.

Sin duda sería sumamente valioso si pudiéramos tener una estadística similar para España, seguramente el top sería muy parecido, pero quien sabe si también tenemos una versión malware de 'Tuenti' que arrasara en nuestro Top.
La lista:
  • Botnet Zeus: Emplea el troyano del mismo nombre y se está empleando por sus funciones de keylogger para sustraer información valiosa. PCs infectados: 3.6 millones
  • Botnet Koobface: Emplea las redes sociales como Facebook o MySpace para distribuirse y su finalidad es convertir en zombies los equipos. PCs infectados: 2.9 millones
  • Botnet TidServ: Emplea técnicas clasicas para distribuirse (SPAM) y tiene capacidades de rootkit para ocultarse en el sistema, su objetivo hacer zombies. PCs infectados: 1.5 millones
  • Botnet Trojan.Fakeavalert: Empleada para distribuir antivirus de tipo 'rogue', PCs infectados: 1.4 millones
  • Botnet TR/Dldr.Agent.JKH: Empleada para hacer fraudes de tipo click. PCs infectados: 1.2 millones
  • Botnet Monkif: Empleada para secuestrar navegadores mediante BHO. PCs infectados: 520.000
  • Botnet Hamweq: Empleada para convertir equipos en zombies, se distribuye mediante dispositivos USB. PCs infectados: 480.000
  • Botnet Swizzor: Sirve como vehículo para introducir otra clase de malware. PCs infectados: 370.000
  • Botnet Gammima: Se está empleando para robar cuentas en juegos online. PCs infectados: 230.000
  • Botnet Conficker: ¡¡ sorpresa !! el tan cacareado Conficker a día de hoy apenas si entra en el top 10. PCs infectados: 210.000
Leer más...

22 julio 2009

Publicadas las nominaciones de los premio Pwnie

Como si de una ceremonia de premios Oscar se tratase, desde el año 2007 lleva celebrándose la "Pwnie Awards" en seguridad. Por supuesto, todo enfocado con muchísimo humor e ironía. Haciendo coincidir la entrega de premios con la conferencia BlackHat Vegas que tendrá lugar la semana que viene.

Lo primero que llama la atención de esta "academia" son sus jueces, todos ellos security porn stars internacionales, como son, HD Moore, Dave Aitel, Halvar Flake, Alexander Sotirov o Dino Dai Zovi

Sin olvidar las categorías de los premios, en las que entre otras se encuentran "Most Epic Fail" (Fallo épico más importante), "Best Song" (Mejor canción), "Lamest Vendor Response" (Respuesta más lamer de un vendedor ) o "Most Overhyped Bug" (Fallo más mediático) y algunas más serias como "Best Server-Side bug" (Mejor fallo en el lado servidor), "Best Client-Side Bug" (Mejor fallo en el lado cliente), "Best Privilege Escalation Bug" (Mejor fallo de escala de privilegios). o "Most innovative Research" (Investigación más innovadora). Por último mencionar las categorías que cuadran con hackeos memorables: "Mass 0wnage" (Hackeo masivo?) y "Lifetime Achievement Award" (Premio por grandes logros, vamos, los honoríficos)

Junto a cada una de las propuestas se puede leer una pequeña descripción del motivo de la nominación.

¡¡Ya solo nos queda hacer nuestras apuestas!!
Leer más...

21 julio 2009

Uno para todos y todos para uno !

En alguna ocasión se ha hablado por aquí de problemas de seguridad que, al tener un componente común multiplataforma, permiten comprometer globalmente muchos tipos de sistemas.

En el caso de esta vulnerabilidad, se le da una vuelta de rosca al concepto consiguiendo que, cualquier navegador en, virtualmente, cualquier plataforma (y si, hablamos desde Linux hasta la consola PS3) sea víctima de la vulnerabilidad.

La lista de dispositivos afectados (aun incompleta) es la siguiente:

  • Internet Explorer 5, 6, 7, 8 (all versions)
  • Chrome (limited)
  • Opera
  • Seamonkey
  • Midbrowser
  • Netscape 6 & 8 (9 years ago)
  • Konqueror (all versions)
  • Apple iPhone + iPod
  • Apple Safari
  • Thunderbird
  • Nokia Phones : Nokia N95 (Symbian OS v.9.2),Nokia N82, Nokia N810 Internet Tablet
  • Aigo P8860
  • Siemens phones
  • Google T-Mobile G1 TC4-RC30
  • Ubuntu
¿ Y que partes tienen en común esa enorme lista de navegadores y plataformas ? aparte de la capacidad para renderizar HTML,: JavaScript y ahí es donde se ha localizado la vulnerabilidad, en concreto en el método select() que, al suministrarle un parámetro de tipo 'large integer', provoca que el navegador se cuelgue y en algunos casos se lleve por delante al sistema operativo (afortunadamente esta vulnerabilidad no es explotable para comprometer un sistema)

Existe una prueba de concepto aquí (abstenerse navegadores no parcheados)

Está claro que si hubiera un poker de vulnerabilidades, esta en concreto valdría una escalera real de color
Leer más...

20 julio 2009

Actualización de Blackberry portadora de spyware

Una vez más Emiratos Árabes, en sus ansias de controlarlo todo, es noticia por introducir a través del operador Etisalat, una actualización para usuarios de Blackberry que contiene spyware.
Por lo visto, y gracias a esta nueva actualización, se interceptaban los mensajes de correo y SMS, así como la duración de la batería restante y se enviaban a un servidor del operador.

Se autopromocionaba como una actualización necesaria para poder seguir manteniendo el correcto servicio y en realidad contenía un fichero .JAR (en Java) que un usuario de un foro de Blackberry analizó con mayor detenimiento. "Interceptor" se llamaba la aplicación que el operador introducía en los dispositivos quedando en el la ruta: /com/ss8/interceptor/app. La forma en la que la actualización llegó a los clientes fue mediante un mensaje WAP Push, por lo que hizo al curioso usuario, sospechar. Después de desmenuzar el .JAR, este usuario llamó al operador para preguntar por la naturaleza de la actualización y allí le indicaron que efectivamente se trata de un parche oficial.

Ya hemos hablado sobre las peculiaridades de Emiratos Árabes en otros posts. Así como las llamadas y los SMS se pueden esniffar más fácilmente desde el operador, la propia arquitectura Blackberry no permite la "intercepción legal" de los mensajes que en otros países deben haber dado varios problemas.

Por lo mismo, la gente de Etisalat para satisfacer a su gobierno, ha llegado a la conclusión de que para disponer de toda la información intercambiada por sus usuarios, lo mejor era hacer un despliegue masivo en forma de actualización de operador. Increible!!! Me pregunto yo que si cuando ITunes me avisa de que tiene nuevos ajustes de operador para mi Iphone, también hace que mi agenda viaje al distrito C.

Si queréis leer la noticia original podéis hacerlo aquí
Leer más...

19 julio 2009

Nmap libera la versión 5.00, pequeño análisis

Una de nuestras herramientas favoritas, nmap, ha publicado su versión 5.00, paso importante ya que supone la liberación de una versión estable desde que lo hiciese en septiembre del año pasado la 4.76 y un cambio de versión mayor desde la 4.50 que vio la luz en el 2007.

La noticia ha dado ya la vuelta por todas partes, Slashdot, ITWire o SecurityFocus entre cientos han anunciando sus cinco principales novedades, que nos gustaría comentar:
  1. Inclusión de la herramienta Ncat, similar al famoso netcat, pero con la inclusión de bastantes mejoras. Además de la guía de usuario con algunos ejemplos muy interesantes. Ya hablamos de ella en otra entrada.

  2. Ndiff es otra herramienta que han agregado a la suite y que tiene como misión comparar dos resultados de un scan y mostrar las diferencias. Es de gran utilidad si queremos hacer análisis continuados e inventarios actualizados. Esta aplicación no es nueva, solo que la han incluido dentro del paquete al igual Zenmap

  3. Mejora en el rendimiento, algo que también hemos comentado y que realmente sufrió la versión 4.76 cuando fue liberada en la conferencia que su autor expuso en la Defcon 16. Nada nuevo.

  4. Liberación de la guía Nmap Network Scanning, de la que hablamos en diciembre más detalladamente. La guía explica cada una de las opciones de la herramienta y posteriormente aplica los distintos parámetros en entornos y tareas reales que podrían ser útiles para analizar la seguridad de sistemas y redes. Se puede consultar la mitad del libro online.

  5. Lenguaje de scripts NSE, que permite automatizar tareas en los puertos detectados, como la detección de proxys, del Conficker, ataques de fuerza bruta sobre SNMP o POP3 y otros muchos que han sido optimizados. Realmente estos scripts también estaban disponibles hace tiempo y no es una característica nueva en esta versión 5.00
Parece que Nmap 5.00 no aporta demasiados cambios frente a su última versión estable 4.76, exceptuando la inclusión de algunos paquetes dentro del propio Nmap. Algo que seguramente no merezca toda la atención que se ha dado a la noticia.

Leer más...

18 julio 2009

No, no uses captchas ni ningún otro sistema de protección.


Me llama la atención como los webmails y algunos otros servicios protegen a los usuarios de ataques de fuerza bruta mediante distintas medidas como son el bloqueo de cuentas, de direcciones IP o mediante el uso de CAPTCHAs. En cambio, otras aplicaciones de gran difusión como son las redes sociales, parecen no preocuparles este problema, pese a que el contenido puede ser muy sensible y los usuarios tienen zonas privadas de mensajes.

Aprovechando la reflexión, he comprobado como Tuenti no limita estas peticiones con la estupenda herramienta de Edge-Security: wfuzz.

El siguiente ejemplo muestra su ejecución para lanzar el comando (lo siento para los amantes de las ventanitas) contra este fabuloso portal

$ python wfuzz.py -c -z file -f wordlists/common.txt --hc 200 -d"email=securik@gmail.com&input_password=FUZZ&timezone=1" "https://www.tuenti.com/?m=Login&func=do_login"
Lo único que nos haría falta es una buena lista de palabras (o todas las posibles de 8 caracteres, total, es gratis) y la cuenta de correo del teenager a atacar.

Los argumentos son los siguientes:
  • -c colorea la salida para una fácil visualización
  • -z file indica que se pasará un fichero como diccionario
  • -f wordlist/common.txt es el archivo con las contraseñas a probar (aseguraros que tiene CristianoRonaldo como una de ellas)
  • --hc 200 solicita que todo lo que devuelva un error 200 no sea mostrado
  • -d especifica los parámetros que serán enviados como POST.
  • FUZZ indica donde se hará la rotación de palabras, en este caso en el campo "input_password"
Si tenemos suerte se debería mostrar una línea de este tipo, donde "ecurity" es la contraseña válida:
Target: https://www.tuenti.com/?m=Login&func=do_login
Payload type: file

Total requests: 948
=================================
ID Response Lines Word Request
==================================

00947: C=302 0 L 0 W "ecurity"
La siguiente captura muestra la ejecución completa:


En cambio Facebook bloquea la cuenta y exige se haga un reinicio de contraseña, enviando un aviso al correo electrónico.

Leer más...

17 julio 2009

Entrevista a Mateo Matachana (OpenRipple)

Hace un tiempo hablábamos de OpenRipple y su concurso a los Sourceforge Community Choice, pues bien, OpenRipple ha sido designado finalista ! Como pequeño homenaje al proyecto y para apoyar la candidatura, Mateo Matachana nos ha concedido una entrevista donde habla de OpenRipple 'in deep'

Podéis votar el proyecto aquí

Hola Mateo, primero de todo preséntate con tus propias palabras, quien eres, a que te dedicas y en que proyectos has colaborado además de OpenRipple

Soy Mateo Matachana López y me dedico a estudiar Ingeniería Técnica de Telecomunicaciones, especialidad Telemática. Llevo bastantes años dentro del mundo del software libre, de hecho, a este mundo le debo el haber aprendido a programar hace ya unos cuantos años. Gracias a él pude tener un ordenador con un conjunto de herramientas decentes (Hace unos 6 años que fue cuando empecé, las únicas herramientas que podía obtener, conocer y jugar con ellas eran software libre). En esa época leí mucho código disponible libremente en la red tanto de programas completos que eran software libre como de ejemplos de código disponibles en páginas personales, concepto tan web 1.0, alojadas en geocities o en La Web del Programador .com.

Gracias a ese proceso de aprendizaje autodidacta me empapé de los valores del software libre y al poco empecé a usar GNU/Linux. Descubrir GNU/Linux fue una de las mejores experiencias que he tenido. A partir de ahí se abrieron ante mi un mundo de PHP's, GCC's, Apaches y demás indios que hicieron que cambiase mi forma de ver esas tecnologías a pesar de venir usańdolas en Windows. Y es que de trabajar con gcc y vim directamente a trabajar con Dev-Cpp, por ejemplo, hay un mundo. No cambiaria el vim ahora mismo por nada del mundo.

OpenRipple es el primer proyecto en el que libero código de forma seria.
Antes de OpenRipple he diseñado páginas web y empecé un pequeño proyecto hace 3 años para tratar de crear un instalador universal, que te permitiese llevar paquetes y sus dependencias en un CD o que te permitiese generar solo un paquete y poder instarlo en cualquier sistema operativo. En aquellos días usaba OpenSuSE pero cuando probé Debian (Mi gran amor digital) vi que mi proyecto era innecesario existiendo apt y proyectos como Autopackage (Software libre) o BtiRock (Privativo). A pesar de que llegué a liberar en Sourceforge algo de código, no recuerdo muy bien que fue de ese proyecto. En la actualidad estoy escribiendo un sistema de P2P anónimo llamado G3C y del que estoy liberando código en github, aunque no le presto mucha atención. Por otra parte, estoy escribiendo también un CMS en PHP y un cliente de correo electrónico en C/GTK+. De estos dos no he liberado nada de código todavía. Mi proyecto prioritario y al que le dedico más horas es OpenRipple.

Podrías explicarnos de una forma mas concisa que es OpenRipple y como va a cambiar el mundo

OpenRipple va a ser un amigo. En la vida real, cada uno es especialista en un área determinada. Yo mismamente, se más de Asturias que es donde vivo que el resto de los lectores de SecurityByDefault (Salvo posiblemente los lectores asturianos o que hayan estudiado algo de Asturias, pero bueno ese es otro tema...). Los lectores extremeños son expertos en Extremadura, mientras que yo no se mucho más que un poco de Cáceres y Mérida. En la vida real, si yo quisiese ir a Extremadura le preguntaría a un amigo mío (experto por el simple hecho de conocer más que yo de un tema) todas mis dudas acerca de esa región y si ese ficticio amigo desease venir a Asturias me preguntaría a mi (experto por
la misma razón) todas las dudas acerca de esta región donde vivo.

Este es el fundamento de un buscador distribuido (y de muchas otras redes distribuidas), el hecho de haber varios nodos en la red especializados en algo en concreto que son interrogados por el resto de nodos. Un nodo se dice experto no porque sepa todo acerca de un mismo tema sino porque sabe más que la media. Los nodos pueden ser expertos en
una forma no relacionada con materias de conocimiento, por ejemplo puede ser experto en hashes, como sería el caso de determinados sistemas DHT o la red FreeNet. En una red como FreeNet, para facilitar el enrutamiento de las peticiones, los nodos son expertos en hashes criptográficos. Poco a poco se van especializando en un alojar ficheros que corresponden a un determinado rango de hashes, por ejemplo desde 0xAABBCCDDEEFF hasta 0xAABBDDDDDD. Evidentemente dentro de ese rango puede caber una sencillita página web para mostrar las fotos de las vacaciones y un tomo de la enciclopedia británica, por tanto, en FreeNet, especialización en un hash no significa especialización en un tema.

En OpenRipple todavía no hemos empezado a implementar la parte distribuida: cómo determinar las especializaciones, cómo poner en contacto a los nodos, cómo comunicar a esos nodos, etc. así que no puedo decir que va a significar especialización en nuestro caso, pero como en todo sistema distribuido la va a haber.

El hecho de ser abierto y de que nos centremos en una política de APIs va a permitir a OpenRipple que las fuentes generadoras de conocimiento estén lo más cerca posible de los nodos que conforman la red. Así, en un futuro va a ser trivial especializar de manera casi automática un nodo, ya que todo el contenido generado estará especializado en ese tema. Por ejemplo, si somos editores de un periódico e integramos la tecnología Ripple con nuestra web según vamos modificando su contenido, estamos especializando rápidamente nuestro nodo en noticias generalistas.
Además, estamos ahorrando ancho de banda de nuestro servidor al evitar que sea continuamente indexado: somos nosotros los que realizamos ese trabajo, podemos prohibir en robots.txt a todas las arañas y aún así no desaparecer del buscador, ya que estaríamos ofertando un índice dispuesto a ser buscado a través de nuestro nodo Ripple. El desarrollo
actual de Ripple no permite hacer eso, pero poco a poco llegará a permitirlo.

Gracias a esta tecnología podremos crear de manera muy sencilla complejas redes de conocimiento, permitiéndonos compartir de una forma abierta, interoperable y neutral toda la información que estemos dispuestos a compartir: tomas de datos de instrumentos, pdfs, documentos web, documentos odt, etc. sin necesidad siquiera de que estos se hayan
subido a la web. Además, no importa el formato en el que esté la información, gracias a la potente arquitectura de plugins de Ripple se puede hacer que procese cualquier formato, bien usando determinados plugins ya desarrollados combinados con nuevos desarrollos, bien desarrollando desde 0 una nueva cadena de plugins para un determinado formato.


Últimamente se ha puesto de moda el 'Bad SEO' o dicho de otra forma, posicionar enlaces maliciosos en buscadores como Google, uno busca por 'Britney Spears' y entre los primeros enlaces resulta que han colado un link a una web con código malicioso. ¿Habéis pensado que, cuando se popularice OpenRipple, será target de este tipo de ataques?

Malos amigos, siguiendo con el ejemplo de antes, siempre ha habido. Una de las motivaciones para crear OpenRipple fue precisamente esa, no propiamente el Bad SEO sino el Money SEO, ahora mismo los resultados de los buscadores principales actuales quedan subordinados a intereses económicos y los primeros resultados se los llevan quienes más pagan.
Antes mencionaba que OpenRipple era como un amigo, en un futuro se van a poder establecer redes de conocimiento a las cuales pertenecerá un nodo. Será su administrador el que añada o no determinados nodos. Creo que ya esta simple técnica va a evitar en gran medida fenómenos como el Bad SEO.

Por otra parte, OpenRipple es una tecnología muy innovadora. A día de hoy, los buscadores principales intentan indexar un todo, mientras que Ripple busca una suma de partes. Google solo hay uno y Google para ofrecer resultados precisos debe conocer toda la web, si no siempre va a existir determinado conocimiento que pase por alto. Un nodo OpenRipple
no quiere conocer toda la web, tan solo quiere conocer cosas de su especialidad. A través de la suma de especialidades, llegamos a la totalidad de la web. Pero, y aquí viene lo diferenciador, para que un ataque de Bad SEO tuviese incidencia debería de entrar en un nodo en el que tu confíes. Y eso más difícil que un buscador tradicional, ya no basta con crear una página ad-hoc y usar determinadas técnicas (Pagar siempre es la más efectiva) para posicionarla, ahora tienes que aparecer dentro de un nodo especializado. Y se abren dos posibilidades:
1.- Que la web este especializada en un determinado tema, entonces no habría diferencia entre un ataque a una web normal especializada en ese tema para hacer que esta aloje código malicioso (Por ejemplo, un ataque por XSS que incluya Javascript que te instale un troyano a través de una vulnerabilidad en tu navegador) o crear una para lanzar un ataque de este tipo.
2.- Que el nodo en el que entre la web esté especializado en Bad SEO. ¿Quién va a confiar en un nodo especializado en Bad SEO?

Creemos, tanto Oriol como yo que debido a las características de Ripple este efecto va a tener menor incidencia que en los buscadores tradicionales.
Leer más...

16 julio 2009

Cada día que pasa aumentan los ataques que reciben las corporaciones por parte de grupos del crimen organizado para robar información bancaria, números de la seguridad social e información personal.

La mayoría de estos ataques se deben a errores y fallos de supervisión, y sólo un 17% se deben a ataques más sofisticados.

Estudios recientes revelan que durante el año pasado el número de archivos comprometidos fue mayor que la suma de los cuatro años anteriores.

Los grupos del crimen organizado se encuentran con redes poco protegidas en las que se mueven a sus anchas. ¿Qué pasa por la cabeza de los Administradores de Redes para permitir estas fisuras y no tomar ciertas medidas de seguridad?

  1. Dispositivos de red no críticos que no tienen cambiadas las passwords que vienen por defecto. "Los dispositivos no críticos no son objetivo de los hackers".
  2. Varios dispositivos que comparten las mismas passwords. "¿Para qué molestarnos en poner passwords diferentes a los servidores? Así tendremos que memorizar menos"."Y si las conoce el mayor número de empleados, siempre tendremos a alguien a quien preguntar si se nos olvida". O mejor aún, "si cambio de empresa, usaré las mismas passwords que en la antigua, hay que reutilizar".
  3. No testear las aplicaciones web en busca de inyecciones de SQL. "Bah, con evitar que se vean los errores poniendo una página default, es suficiente".
  4. No configurar correctamente las ACLs. "¿Segmentar correctamente la red?, implicaría el uso de los routers como firewalls".
  5. Permitir el acceso remoto no seguro. "Tener que añadir tokens y certificados lleva demasiado tiempo, y nos tocaría modificar la infraestructura, está bien como está".
  6. No testear las aplicaciones no críticas en busca de vulnerabilidades. "Mejor centrarse en las aplicaciones web críticas, a un hacker las otras aplicaciones no le interesan".
  7. Detectores de keyloggers y spyware sólo se instalarán en servidores críticos. "Las licencias están muy caras, y ya tenemos un antivirus que debería detectarlos"
  8. No configurar los routers de forma adecuada para que prohíban el tráfico de salida no deseado. "Si vemos un día que nuestro servidor de correo envía tráfico SSH, será que es multifuncional"
  9. No saber donde están almacenados los datos sensibles. "En cuantos más sitios estén (dispositivos de backup, equipos de desarrollo) más fácil será recuperarlos en caso de extravío".
Probablemente esto sólo les ocurra a las corporaciones de este estudio y los que nos leen realicen: escaneos de vulnerabilidades de todos los dispositivos de red, no sólo de los críticos. Se aseguren regularmente, ya sea de forma manual o automática que los servidores no comparten las mismas passwords. Usen por ejemplo, firewalls de aplicación para detectar ataques SQL Injection sobre las aplicaciones web. Escaneen la red para detectar tráfico no deseado. Inviertan en buenos detectores de malware. Revisen las cuentas y credenciales cuando los empleados abandonan la empresa, implanten un buen sistema de monitorización que recoja logs de los dispositivos que componen tu red.

No existe la seguridad al 100% pero intentemos aproximarnos lo más posible.

[+] http://www.networkworld.com/news/2009/070609-network-managers-mistakes.html
Leer más...

15 julio 2009

Se lo que hiciste el último verano

De gran utilidad en el ámbito de la seguridad son las herramientas que registran los cambios que ocurren en el sistema durante un determinado periodo de tiempo. Como por ejemplo el análisis de código malicioso en el campo del malware o la búsqueda de rootkits u otro tipo de alteraciones en auditoría o periciales.

Todas estas aplicaciones tienen un funcionamiento similar, primero realizan una inspección donde obtienen una foto, posteriormente se ejecuta o instala aquello que se quiera rastrear y finalmente se obtiene una nueva foto. La diferencia entre ambas son las modificaciones que el sistema ha sufrido.

En entornos Windows, estas modificaciones generalmente son de dos tipos: modificaciones en el registro, donde se habrán añadido, modificado o incluso borrado claves y alteraciones en el sistema de archivos, con la creación, eliminación o modificación de directorios y archivos. En sistemas Unix se monitorizan alteraciones en archivos de configuración y en el sistema de ficheros.

Por centrar el tiro, comentaremos algunas de las más importantes en plataformas windows en el análisis de malware.

  1. Las archiconocidas herramientas de SysInternals: regmon, filemon, Process Monitor ¿quién no las conoce?, imprescindibles en cualquier sistema. Se pueden ver decenas de ejemplos de uso en el formidable blog de su autor, Mark Russinovich.

  2. ThinApp es un producto de VMWare para la virtualización, empaquetado o distribución de aplicaciones, su funcionamiento es similar al que se pretende con el resto de las herramientas aquí mostradas, generando un registro amplio y detallado con los cambios que se llevan a cabo cuando una instalación o una aplicación es ejecutada.

  3. IDSecuritySuite dispone de la herramienta ID Install Watch (comercial, 49$), tiene por objetivo monitorizar una instalación, entre sus características más importantes destaca la exportación a ficheros XML y la posibilidad de comparar dos snapshots en cualquier momento.

  4. regshot, herramienta gratuita que permite comparar dos snapshots del registro, es sencilla pero parece abandona, su última versión 1.8.2 es del 2007.

  5. RegSnap (comercial, 29$) de Lastbit permite comparar y encontrar las claves nuevas, eliminadas y modificadas de dos snapshots del registro, generando un informe en formato HTML.

  6. TinyWatcher, muy similar a Patriot, notifica mediante una alerta cuando determinadas partes sensibles del sistema son modificadas, como las claves de arranque o el directorio de Windows.

  7. PcLogger de Soft Trek (comercial, 10,99$), registra cambios en el sistema habituales en el malware, servicios nuevos, BHO en Internet Explorer, cambios en LSA, en la configuración del Firewall, recursos compartidos, etcétera.

  8. DirMonitor aplicación comercial (17.99$), permite obtener monitorización en tiempo real de ficheros, carpetas, registro y procesos. Su principal ventaja es el soporte para el desarrollo de scripts.

  9. Microsoft Change Analysis Diagnostic Tool se describe en la KB 924732, como una herramienta que permite el diagnostico en las aplicaciones instaladas, ActiveX, HBOs de Internet Explorer, parches y actualizaciones, controladores y aplicaciones en el autoarranque.

  10. SpyMe Tools herramienta gratuita que permite obtener las diferencias entre dos momentos distintos del registro y el disco, además es monitor en tiempo real de estos dos almacenes. No soporta Windows Vista.

  11. InstallSpy (freeware) de 2brightsparks, su última versión es la 2.0, no continúa su desarrollo y permite monitorizar registro, ficheros y eventos determinados, como el que ocurre cuando se añade un servicio, se elimina hardware o se inserta un dispositivo de almacenamiento.
InCtrl5 de Pc Magazine, InstallWatch de Epsilonsquared, What Changed de Vista Software, o Microsoft Installation Monitor de Microsoft, hacen tareas similares pero se encuentran completamente obsoletas.
Leer más...

14 julio 2009

Liberada la guía de pruebas de OWASP v3 en español

Tras varias semanas de correcciones y últimos retoques, por fín se ha liberado la versión 3 y en español de la guía de pruebas OWASP, de la que os hablamos y presentamos aquí cuando salió su versión original en inglés en Diciembre del año pasado.

De nuevo he tenido el placer de colaborar en este proyecto libre de traducción cuya finalidad es única y exclusivamente presentar un conjunto de pruebas a realizar contra aplicaciones web para poder garantizar que cumplen con los principios básicos de seguridad. Lo ideal sería que esta lista de tareas se tomasen como "culturilla general" a la hora de proporcionar mecanismos de protección a nuestros desarrollos propios, o directamente, antes de ponerse a tirar líneas de código, con lo que se podrían evitar tantos problemas antes de que fuese demasiado tarde.

[+] Guía OWASP de pruebas v3.0 en español [pdf] [doc]
Leer más...

13 julio 2009

Acortando la seguridad

Al calor de Twitter se han popularizado sobremanera los acortadores de direcciones, el primero en saltar a la fama fue TinyUrl y posteriormente han surgido muchos mas servicios, cada uno intentando aportar 'algo mas' que el vecino.

Sin entrar a valorar lo útiles / poco útiles que son estos servicios, si que merece la pena dar un repaso sobre los potenciales riesgos de seguridad que pueden suponer.

El problema mas obvio es que supone un punto único de fallo, si el servicio se cae o deja de estar accesible, todos los enlaces quedan inaccesibles, este escenario ya ha sucedido cuando Telefónica bloqueó TinyURL.

Pero el escenario aun puede ser mas terrorífico, como es lógico un servicio de esta naturaleza es un verdadero lamín para alguien con intenciones maliciosas, si controlas el acortador, puedes hacer que las URLs acortadas sean redirigidas arbitrariamente. Este fue el caso de Cligs que fue hackeado y todas las URLs que servía apuntaron a la dirección web de un blog (aunque todo parece indicar que se trató de una broma), el caso es que Cligs a día de hoy es el cuarto acortador mas usado, y 2.2 millones de direcciones fueron manipuladas. Si en vez de 'para hacer una broma' se hubiera empleado para distribuir malware aprovechando algún bug, hubiera sido demoledor.

Otro punto negativo de los acortadores es que cada vez mas están siendo empleados por spammers para camuflar direcciones web que estén identificadas en listas negras, y de esa forma evitar filtros anti-spam.

Al hilo de esto, nos ha parecido interesante probar que tal se comportan algunos de los servicios para validar URLs y comprobar si son capaces de ver 'mas allá' del enmascaramiento

La URL que hemos escogido como 'maliciosa' es http://astalavista.box.sk que, si bien puede ser discutible lo perniciosa que sea o no, la mayoría de servicios anti-malware la marcan como potencialmente peligrosa.

Hemos escogido los siguientes servicios para detección de URLs maliciosas: WOT, TrustedSource y Finjan.

Hemos usado como acortador de direcciones spedr y la URL debidamente acortada de astalavista quedó de la siguiente forma http://spedr.com/5xi52

¿Resultados?

WOT es incapaz de seguir el acortamiento e informa que spedr es un sitio altamente confiable



TrustedSource también 'pica' y no es capaz de identificar la URL correctamente


Finalmente Finjan, que parece que se esta tomando bastante en serio su servicio de detección de malware, si es capaz de seguir la URL e identificar la URL correcta.

Leer más...

12 julio 2009

WASC V2 Threat Classification

El Web Application Security Consortium sigue trabajando en la clasificación de amenazas en su versión 2. Este proyecto es un intento de clarificar y organizar los distintos riesgos que afectan a la seguridad web. Tiene por objetivo el generar un estándar en la terminología que utilizan tanto desarrolladores de aplicaciones, profesionales de seguridad y vendedores de software, para describir todos los posibles riesgos a los que se somete una aplicación web, así como de proveer una descripción para cada uno de ellos.

Gracias a estándares de este tipo sería más sencillo abordar otros proyectos como el OWASP Top10, sin que acabe siendo un proyecto un tanto chapucero. Aunque la clasificación se somete a varios problemas ya que este documento publicó su primera versión en el año 2005 y no ha sido hasta el año 2009 que se está llevando a cabo su revisión. Además, no ha conseguido que el mercado lo acepte y recoja como ha ocurrido con otras iniciativas, actualmente cada uno sigue utilizando sus propias clasificaciones, como CWE de la National Cyber Security Division o la que pueda utilizar SecurityFocus en sus BID.

La lista de ataques final quedará de la siguiente forma:

  • Abuse of Functionality
  • Brute Force
  • Buffer Overflow
  • Content Spoofing
  • Credential/Session Prediction
  • Cross-Site Scripting
  • Cross-Site Request Forgery
  • Denial of Service
  • Fingerprinting
  • Format String
  • HTTP Request Splitting
  • HTTP Response Splitting
  • HTTP Request Smuggling
  • HTTP Response Smuggling
  • Integer Overflow
  • LDAP Injection
  • Mail Command Injection
  • Null Byte Injection
  • OS Commanding
  • Path Traversal
  • Predictable Resource Location
  • Remote File Inclusion (RFI)
  • Routing Detour
  • SOAP Array Abuse
  • SSI Injection
  • Session Fixation
  • SQL Injection
  • URL Redirector Abuse
  • XPath Injection
  • XML Attribute Blowup
  • XML External Entities
  • XML Entity Expansion
  • XML Injection
  • XQuery Injection
Leer más...