28 febrero 2009

Navegadores: Safari 4

Apple vuelve a la carga. Ha presentado su antiguo navegador pero en nueva generación: Safari 4. Entre otras novedades estéticas, se incluyen mejoras de rendimiento y por supuesto de seguridad.

Para mejorar el performance de la interpretación de algunas páginas web visitadas, han incorporado un nuevo motor Javascript (habrá que ver las nuevas vulnerabilidades que incorpora también :-D ).

Respecto a las nuevas características de seguridad, cabe destacar la inclusión de mecanismos de protección anti-phising y anti-malware mediante un servicio de blacklisting dinámico; la "navegación privada" (que protege los datos de usuario al navegar desde ordenadores públicos no guardando ni cacheando información personal); integración con un antivirus (imagino que únicamente para su versión Windows, puesto que en Mac hay poquitos virus y antivirus),así como otras características típicas de otros navegadores (protección de pop-ups, borrado de caché, de cookies,...)

Quien quiera ver todas las mejoras (sobre todo de look & feel e integración con Windows) puede hacerlo en la propia página web de Apple. Si se quiere ver todas las características de Safari 4 se puede ver aquí
Leer más...

27 febrero 2009

XSS Bug en un router HSDPA ... ¡ explotable vía SMS !

Si ya la semana pasada me asombraba con el bug en ProFTPD, esta semana alguien supera el nivel de talento y encuentra una creativa forma de sacar partido a un bug en un router HSDPA (con interface de telefonía móvil).

Por lo visto, el router tiene una funcionalidad que permite enviar y recibir SMS desde una interface web, y ahí precisamente es donde reside el bug del tipo XSS.

Según se puede leer en el advisory de Securityfocus, si enviamos al numero GSM del router dos mensajes formateados de la siguiente forma:

<script>alert('hello '/*

*/+'world');</script>

El usuario del router, al leer el SMS desde la interface web, ejecutara el código JavaScript. El código de ejemplo es bastante inofensivo, pero usando 'skills ninja' se puede llegar a acceder a la contraseña de acceso a la red GSM o WIFI o provocar un DoS desconectando el equipo.

Como curiosidad, este router lo comercializa en España Vodafone
Leer más...

26 febrero 2009

En el blog de este evento del que ya os hablamos en su momento, se han ido publicando los videos-resumen con las declaraciones más importantes. En ellos podréis ver a profesionales de la talla de Bruce Schneider, Andy Willingham, Ero Carrera, Steve Ragan, Antonio Ortíz, entre otros, ofreciendo su visión sobre cibercrimen y seguridad.
Pues bien, os ofrecemos el video sobre las declaraciones más importantes, con una duración aproximada de 10 minutos, en el que hemos integrado subtitulos en castellano en aquellas partes cuyas declaraciones se encuentran en inglés.


Esperamos ansiosos la próxima edición de este evento organizado por Panda, y sólo nos queda dar las gracias por haber publicado estos videos.
Leer más...

25 febrero 2009

Satori, Huella dactilar pasiva

La detección de sistemas operativos en una red puede llevarse a cabo de forma activa o pasiva. En la primera de ellas se enviarán paquetes esperando una respuesta y comparándola con una base de datos, este método es implantado en queso o nmap. La segunda se basa en escuchar tráfico de la red y determinar los sistemas y sus versiones mediante la localización de patrones, ejemplos clásicos de este tipo de aplicaciones son p0f o SinFP.

Eric Kollmann ha liberado una nueva versión (0.6.2) de su aplicación Satori, destacable por tener un interfaz amigable e implantar métodos clásicos de detección, así como novedades investigadas por el propio autor: ARP reply, CDP, DHCP, DNS, EIGRP, HPSP, HSRP, ICMP, IP, MDNS, OSPF, SSCP, SMB, SNMP, STP, TCP, UPNP y HTTP.

La siguiente captura muestra la pantalla principal de Satori.



Los plugins para los distintos protocolos son configurables





Satori utiliza WinPcap y por lo tanto soporta cualquier interfaz que este soportada por esta librería.





Leer más...

24 febrero 2009

Hackeos Memorables: Jfs en el concurso de PcWeek.

PCWEEK mantenía un wargame allá en los 90 donde el ganador se llevaba un premio de 1.000$, hoy vamos a contar como el español "Jfs" consiguió ganar este concurso de importancia Internacional y que obstáculos tuvo que saltar. Es posiblemente uno de los hackeos memorables más bonitos y didácticos que recuerdo.

El reto consistía en localizar un fichero secreto en un servidor en Internet.

Siguiendo una metodología aplicable hoy en día, lo primero que hizo fue obtener información, asegurarse que únicamente era el puerto web el abierto a Internet, que otros servicios corrían y que aplicaciones estaban instaladas.

Mediante un telnet, en las propia cabecera "Server" revelaba ser un Apache instalado en una RedHat. Tras probar los cgis típicos con vulnerabilidades de la época, no encontró ninguno de ellos, pero si aparecieron rastros de otros directorios interesantes. En concreto uno llamado "photoads".
HTTP/1.1 400 Bad Request
Date: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
Tras investigar un poco, obtuvo una copia prestada de este software comercial, escrito en perl y distribuido con código fuente. Lo que permitía buscar archivos de configuración y vulnerabilidades no conocidas.

La aplicación tenía algunos cgis instalados que revelaban información importante, como "env.cgi", mostrando el valor del "DocumentRoot" y el usuario con el que se ejecutaba el servidor web.

Después de tratar de explotar SSI, descarto la opción y comenzó la auditoría sobre el código fuente de la aplicación. Lo primero, buscar donde se abrían ficheros:

emming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more
advisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
edit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
photo.cgi: open ( FILE, $filename );
Ya estaba más cerca, la variable "write_file" se formaba en base a otras dos:

$write_file = $Upload_Dir.$filename;


"Upload_Dir" no puede ser sobrescrita por encontrarse en el fichero de configuración, en cambio. "filename" proviene del nombre del fichero que es filtrado mediante una expresión regular ninja.

$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

Nuestro héroe consigue saltar esta expresión añadiendo un carácter null () al nombre tal y como cuenta "rfp" en Phrack, además de escapar el primer punto:

/jfs/\../../../../../../../export/www/htdocs/index.html.gif

Para su desgracia y nuestro entretenimiento, existían algunas trabas más. El fichero subido era analizado comprobando sus dimensiones. Lo que obligaba a que los bytes 6, 7, 8 y 9 del fichero subido fueran 0, (nul), evitando ser cazado en esta verificación.
if ( substr ( $filename, -4, 4 ) eq ".gif" ) {
open ( FILE, $filename );
my $head;
my $gHeadFmt = "A6vvb8CC";
my $pictDescFmt = "vvvvb8";
read FILE, $head, 13;
(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
close FILE;
$PhotoWidth = $width;
$PhotoHeight = $height;
$PhotoSize = $size;
return;
}

Para rematar, una vez subido el fichero, este es movido a un directorio no controlable y que para colmo, su nombre se compone solo de números.

chmod 0755, $Upload_Dir.$filename;
$newname = $AdNum;
rename("$write_file", "$Upload_Dir/$newname");

Show_Upload_Success($write_file);


Queda descartado el viejo truco "../../..", habrá que jugar con la función "rename()", que tal y como se muestra, no está controlando excepciones. Por lo tanto, si existiese un error al renombrar, la aplicación continuaría sin que nada ocurra...

...Llegados a este punto, me gustaría terminar aquí y dejar la solución que se le ocurrió para otro día, generando la misma intriga que una novela de Agatha Christie, pero me siento generoso...

Para generar el error y evitar que su fichero fuera renombrado y movido, utilizó las propiedades del kernel de Linux, el cual tiene una restricción de 1024 para el tamaño del PATH (nombre más directorio), y que una vez superados, generará la excepción.

Con todo lo visto hasta ahora ya se conocen los requisitos para crear un fichero con permisos de "nobody" y con cualquier contenido (exceptuando la cabecera de la imagen para saltar la verificación).

Una shell script no funcionaría ya que no se pueden asignar los bytes del 6 al 9 en NUL (comprobación de tamaño), así que la opción pasa por generar un binario ELF de linux, "encodearlo" para pasarlo mediante un GET (la aplicación no leía mediante el método POST) y ajustar su tamaño para poder ser enviado dentro del URI máximo que acepta Apache (8190 bytes).

Recordamos que el objetivo del concurso era encontrar un fichero secreto, por lo que generó un pequeño programa que hiciera un "find /" en el sistema, que mostrase todos los archivos.

lemming:~/pcweek/hack/POST# cat fin.c
#include <stdio.h>
main()
{
printf("Content-type: text/html\n\n\r");
fflush(stdout);
execlp("/usr/bin/find","find","/",0);
}

El primer intento no funcionó, ya que el tamaño de este ejecutable era demasiado grande.

Tras reducirlo mediante la eliminación de partes del binario "a mano", su tamaño se redujo lo suficiente como para que funcionase y poder ser ejecutado.

El resultado fue negativo y el fichero no apareció, estos comandos se ejecutaban como usuario nobody y el fichero tenía otros permisos. Estaba muy cerca, ya que conocía el método para poder subir y ejecutar comandos.

No había otra solución, necesitaba root. En aquel entonces existía un fallo en crontab que permitía escalada de privilegios, así que utilizando esta vulnerabilidad se creó una suitroot con la que dispondría de estos permisos para tener control total sobre el sistema.

Una vez encontrado el fichero y modificada la página principal. Finalizó el juego. Jfs se coronaba ganador.

Podéis consultar la historia completa con más detalles contados por el propio Jfs en la vieja página de Hispahack: http://hispahack.ccc.de/oldweb/introes.htm

Leer más...

23 febrero 2009

Comparativa Anti-Virus

AV-Test es una organización, a priori independiente, que se dedica a medir la calidad de los productos antivirus del mercado.

Sus test abarcan desde tiempos de respuesta, calidad en las detecciones, capacidad de desinfección o el volumen de falsos positivos.

La gente de PC World les ha encargado un estudio comparativo entre las suites antivirus con mas presencia en el mercado. En el estudio, que se puede ver al completo aquí, sale como campeón Norton Internet Security, quedando en un muy meritorio tercer puesto la solución de Panda antivirus.

El 'hall of fame' queda de la siguiente forma:

http://images.pcworld.com/reviews/graphics/products/imported/44052_92.jpg
Puntuación: 89
http://images.pcworld.com/reviews/graphics/products/imported/44053_92.jpg
Puntuación: 87
http://images.pcworld.com/reviews/graphics/products/imported/44054_92.jpg
Puntuación: 84
http://images.pcworld.com/reviews/graphics/products/imported/44055_92.jpg
Puntuación: 82

Evidentemente este tipo de test, por muy independientes que quieran ser, siempre esconden una parte de sesgo difícil de cuantificar: la metodología, aspectos que puntúan mas, que se considera un falso positivo y los demás parámetros del estudio, no dejan de ser siempre algo subjetivo.
Leer más...

22 febrero 2009

Concienciación en seguridad.

Si hay algo que no se le puede negar al INTECO, es el gran labor que están llevando a cabo en matería de concienciación en seguridad. Si esta tarea es de por si complicada en grandes organizaciones acostumbradas a trabajar con tecnología, infinitamente más compleja se vuelve cuando hablamos de usuario finales y PYMEs.

Dentro de los proyectos de concienciación de seguridad encontramos múltiples y en ocasiones divertidas formas de hacer llegar términos, conceptos, consejos, peligros y todo aquello relevante a la hora de "educar" a todo aquel que tiene otras preocupaciones, o no le presta demasiada atención.

Desde SecurityByDefault nos hemos tomado la libertad de lanzar este crucigrama utilizando el glosario de seguridad de INTECO. Con el que esperamos acercar algunos de los conceptos básicos a todos los usuarios. Podéis hacérselo llegar a vuestros cercanos y averiguar que conocimientos tienen.

Leer más...

21 febrero 2009

Eventos de seguridad: SITI/ASLAN

Una vez más desde SecurityByDefault queremos informaros sobre la organización de un nuevo del mundo de la seguridad en las Tecnologías de la Información. En este caso hablamos de una de las ferias más concurridas de este sector: la decimosexta edición de SITI/ASLAN.

Precisamente en tiempos de crisis, el mensaje de la organización es fomentar la mejora de la productividad y competitividad en todos los sectores de la economía. Para ello se ha seleccionado una serie de fabricantes de productos TI que, en siguiendo esta línea, aporten cada uno su granito de arena en 5 áreas de las TI: Banda Ancha, Tecnologías IP, Seguridad, Servicios Gestionados y Movilidad.

La feria tendrá lugar en Madrid, en el pabellón 6 del IFEMA desde el 31 de Marzo al 2 de Abril de 2009. Para daros de alta de forma gratuita, podéis hacerlo aquí

Entre otros, uno de los carteles que más me llaman la atención en cuanto a conferencias se refiere, es el de tendencias. Con actuaciones estelares como la de Jorge Fernández de HP, gran técnico y orador, anteriormente director técnico de Enterasys para España, a la que al menos una conferencia, seguro que asistiré. Asimismo, la ponencia de Laurent Daudré-Vignier, director general de Exclusive Networks, respecto a los firewalls 2.0 puede ser también más que interesante. La charla de virtualización de puestos de trabajo también puede resultar ciertamente amena, para poder darnos cuenta sobre hasta qué punto esta tendencia está siendo explotada, y cómo los fabricantes proveen este tipo de soluciones.

Pues eso, que nos vemos allí.
Leer más...

20 febrero 2009

Ranking de caza-bugs

X-Force es una compañía la cual detrás tiene a la mismísima IBM, y anualmente, como otras muchas, redacta un informe en el que se ofrece una visión general de la seguridad en el año anterior. El del 2008 lo podéis encontrar en este enlace. Amenazas, tops de vulnerabilidades, reflexiones, conclusiones, etc. Un informe de casi 100 páginas que repasa de todo, pero que al fin y al cabo, no dejan de ser números y porcentajes. Y todo este estudio es posible gracias a que la compañía mantiene una de las bases de datos de vulnerabilidades más importantes.

Pero hay un estudio que no sale nunca en este tipo de "fotos" anuales de la seguridad, quizás debido a que puede dar lugar a equívocos o conclusiones no del todo válidas. Lejos de la pregunta de qué sistema operativo es al que más vulnerabilidades se le encuentra, que vulnerabilidad web es la más común, etc, en el blog Frecuency X, perteneciente al X-Force, se hacen la pregunta de "¿Quiénes son los que más vulnerabilidades descubren?"

Debido a tener la base de datos "en casa", no es que sea una tarea muy dificil sacar un TOP 10, en el que en vez de mirar el campo de sistema operativo afectado o tipo de vulnerabilidad, se mire el campo dedicado al autor, en caso de que se sepa, y no haya sido una aportación anónima.

Si en primer plano ponemos las vulnerabilidades, la siguiente gráfica nos demuestra como en realidad en el conjunto total, el top10 que luego se detallará más adelante (Top 10 Discoverers) no es que se lleve un gran trozo del pastel al fin y al cabo:



Entrando ya en nombres, los tres finalistas a mayor número de vulnerabilidades encontradas son, de mayor a menor:

* Luigi Auriemma: Con 612, encabeza la lista. Un italiano que lo mismo te saca una vulnerabilidad en Apache como para videojuegos varios (en esto último está hecho todo un experto...). Su página es toda una biblioteca de investigación, pruebas de concepto, reflexiones y herramientas.

* r0t, con 554. Ya empezamos con los nicks. Un finlandés desaparecido en combate últimamente, pero que deja trás de sí una gran cantidad de advisories sin llegar a haber sobrepasado todavía los 20 años. Debido al tipo de vulnerabilidades que publica, no es que se le haya tomado muy en serio...

* rgod, con 357. Si os digo la verdad, nada más leer la pregunta de quién es el que más publica vulnerabilidades, a mi este nick es el primero que me vino a la cabeza. El maestro del PHP, del que hace un año salió a la luz que había fallecido en un hospital, y cuya página actualmente es mantenida por amigos suyos. Momento tomate off.


El resto de ganadores junto con su número de vulnerabilidades, en esta tabla.

Lo que está claro, es que ya el perfil entre estas tres personas es muy diferente, uno cercano a los 30 años, otro que pronto llegará a los 20, uno que es capaz de reventarte el juego lider en cibercafés, y otro que se dedica a sacar cross-site scriptings en aplicaciones php que se han descargado seguramente 10 personas de su proyecto en sourceforge...

Por eso estos números no son más que eso...números.

[+] Top-10 Vulnerability Discoverers of All Time (as well as 2008)
Leer más...

18 febrero 2009

Fraude internacional mediante llamadas

Hace escasos días, varios de mis compañeros / conocidos han recibido extrañas llamadas del numero +88213229022

El patrón de conducta de la llamada era la típica llamada-perdida, a priori el asunto parecía ser alguna centralita mal programada de esas que envían un Caller ID distorsionado.

Una investigación mas a conciencia (Gracias Ruben!) ha destapado que el asunto era algo bastante mas serio de lo que a simple vista parece.

Si se busca ese prefijo, podemos ver que pertenece a la numeración conocida como 'International Networks', una oscura numeración de carácter internacional que se emplea en telefonía vía satélite.

El caso es que según la pagina web whocallsme (ojo, a veces pide registrarse para acceder), este tipo de llamadas se están produciendo activamente por toda Europa y parece formar parte de un fraude de grandes proporciones ya que si devuelves la llamada, supone un sobre-coste que, suponemos, ira a parar al bolsillo de alguien.

Según parece todos los números que se están usando para este ataque comienzan por 88213 22 ****

Personalmente creo que ante estas cosas, y hasta que no tengamos mas datos, hay que mantener la calma, lo que si confirmo de primerisima mano es que esas llamadas están sucediendo con esos números.
Leer más...

userdel -r facebook

Hace unas semanas se publicaron los términos del servicio Facebook. Muy polémicos ya que, una vez aceptados, permitíamos mantener nuestros datos en la famosa red social para lo que quieran.

Esto era peligroso, ya que por ejemplo, la belleza estampada en fotos tanto de lectores como autores de este blog, podría ser utilizada sin nuestro consentimiento para publicidad, tarjetas postales o cualquier otro uso que se os ocurra.

Fué tan sonado que incluso han hecho nuevas modificaciones, volviendo a la versión anterior de los famosos términos: donde dije digo, digo Diego. Puedes consultar un artículo de Mark Zuckerberg en el siguiente enlace: http://blog.facebook.com/blog.php?post=54746167130

Si desactivamos la cuenta (Configuración->Desactivar Cuenta), los datos quedarán almacenados y serán accesibles. En cambio, para todo aquel que no este convencido existe un método oficial para la eliminación completa del perfil. Únicamente hay que acceder al siguiente enlace: http://www.facebook.com/help/contact.php?show_form=delete_account y pulsar sobre "Enviar/Submit". La cuenta será eliminada en los siguientes días.

Particularmente permaneceré en la red pese a las idas y venidas de términos, eso sí, con determinadas precauciones.

Leer más...

17 febrero 2009

Hackeos memorables: Microsoft Passport

Ahora, (en 2009) se ha vuelto a poner de moda el asunto de la autenticación centralizada, candidatos no faltan: OpenID (el hippy), Facebook Connect (el cool), Google Friend Connect (el corporativo).

Incluso nuestro gurú favorito ha definido como tendencia 2009 la centralización de la identidad online.

Lo que tal vez muy poca gente recuerde es lo sucedido hace exactamente 8 años; era el 2001, yo acababa de llegar a Madrid y estaba pagando la novatada de alquilar un piso en el barrio de chueca sin conocer sus 'pormenores' (tal vez el color rosa del edificio debió haberme hecho sospechar), las maquinas de generar humo .COM estaban en pleno auge y en esos momentos los 40 principales nos envenenaban con la 'música' de Enrique iglesias

La seguridad informática y mas concretamente, la seguridad de las aplicaciones web, no estaba tan documentada como lo está ahora. Por aquella época estaba dando sus primeros pasos un revolucionario servicio de Single-Sign-On llamado 'Microsoft Passport' que pretendía convertirse en el eje de la identidad online. El servicio permitía centralizar con un único par usuario/contraseña el acceso a diversos servicios. Entre otros, acceso a pagos con dinero real (servicio de pagos online) así como diversas tiendas online del estilo al StarBucks o la mismísima eBay, además de los propios servicios de microsoft como Hotmail.

Y fue precisamente ese servicio, Hotmail el causante de un enorme dolor de cabeza para los técnicos de Microsoft. Un experto en seguridad que, para mas señas, pertenecía a la Apache Software Foundation, descubrió un fallo del tipo XSS que permitia robar las credenciales a cualquier usuario de Hotmail (y por ende, de passport) con tan solo enviarle un correo electrónico debidamente formateado.

Es especialmente curioso como los medios que recogieron la noticia se refieren al XSS como un ataque 'muy sofisticado' con muchísima enjundia técnica (nada que ver con los tiempos actuales, donde hasta a los defensores de Internet se les encuentran bugs de esa ralea).

Podéis imaginar la perplejidad de los técnicos de microsoft que para mitigar el incidente decidieron ... ¡ cerrar el servicio de pagos online ! impresionante. ¿Alguien se imagina, en pleno 2009, que de un día para otro cierren un servicio web como PayPal al detectar un bug?

Esperemos que ahora que la idea del Single-Sign-On resurge de entre las cenizas, los actores implicados hayan aprendido de las lecciones del pasado, y sobre todo, que a nadie se le ocurra pensar que un par usuario / contraseña, que además tiene carácter global, es apto para aplicaciones de comercio electrónico.

Los interesantísimos detalles técnicos del bug se pueden consultar aquí
Leer más...

16 febrero 2009

SQL Injection bug ... ¡ En ProFTPd !

Estamos acostumbrados a escuchar el termino 'SQL Injection' asociado siempre a alguna aplicación web, y lo cierto es que eso es así en el 99% de los casos, no obstante, emplear un backend SQL para autenticar usuarios es algo que se puede emplear en muchas otras aplicaciones, como por ejemplo ProFTPd.

ProFTPd, para el que no lo sepa, es un servidor FTP ampliamente difundido como re-emplazo del tradicional Wu-FTP en sistemas Unix (Yo siempre fui mas de Pure-FTP). Supuestamente es mucho mas seguro y tiene opciones interesantes para entornos con muchos usuarios, como por ejemplo, emplear un motor LDAP o SQL para validar usuarios.

Y ha sido precisamente en la parte SQL en la que se ha descubierto un interesante y digno de estudio bug, que permite saltarse el sistema de autenticación y entrar al sistema empleando usuarios validos sin conocer su login o password.

Si en vez de poner el consabido par usuario/contraseña, suministramos a ProFTPd lo siguiente:

(como login) USER %') and 1=2 union select 1,1,uid,gid,homedir,shell from users; --
(como password) 1
Nos permitirá acceder al sistema sin tener conocimiento previo de ninguna cuenta. Según se puede leer en el hilo de la publicación en BugTraq, añadiendo a la sentencia SQL clausulas del tipo LIMIT, incluso se puede ir accediendo al sistema empleando diferentes usuarios identificados por el orden en el que aparecen en la tabla SQL:

LIMIT 1,1 (el primer usuario registrado en el sistema)
LIMIT 2,1 (el segundo usuario)
LIMIT 3,1 (el tercero ...)

En definitiva, este bug ha de servir para no relajarse en el uso de motores SQL desde aplicaciones que interactuan con los usuarios, sean aplicaciones Web, o sean de cualquier tipo
Leer más...

14 febrero 2009

El informe del CIS

Desde el fabuloso blog de WonkaPistas se revela el estudio del CIS con la estimación de voto antes de que este sea emitido oficialmente.

Para realizar este hallazgo el autor predijo una URL en base a un patrón común. En la web del CIS la información se localiza mediante un identificador numérico consecutivo. De esta forma la primera noticia sería del tipo "Documentacion_1.htm", la segunda "Documentacion_2.htm" y así sucesivamente. Estos archivos una vez comprendida la lógica de la aplicación son sencillamente deducibles

De esta forma, los encargados de gestionar el contenido en el CIS, decidieron almacenar la información para publicarla posteriormente. Lo que significa que pese a que existía un archivo "Documentacion_2782.htm", no había ningún enlace a esta página que hiciera posible su acceso si no es por la propia deducción comentada anteriormente.

Bien, y ahora empieza la polémica ya que la directora del CIS, Belén Barreiro, atribuye esta acción a "un asalto informático" tal y como se puede leer en Libertad Digital. Donde se burlan por la descripción de este hallazgo, al igual que ocurre en otros blogs de gran relevancia.

El Web Application Security Consortium define en su clasificación de riesgos el "Predictable Resource Location" como la técnica de ataque que consiste en descubrir contenido o funcionalidades ocultas. ¿Os encaja en lo ocurrido?

Parece que para todo aquel que no se dedica a la seguridad, una vulnerabilidad por ser fácilmente explotable elimina su existencia e incluso su criticidad en vez de aumentarla. De esta forma ocurre que "como es sencillo deducir que el número siguiente a 1 es 2 y lo puede hacer cualquiera", esto no constituye un fallo de seguridad. Error y muy grave. El riesgo es mayor cuanto más alta sea su facilidad de explotación y mayor su impacto. Otro tema completamente distinto, y que no vamos a valorar, es si este acceso forma parte de un acto delictivo o no.

Para finalizar y para todo aquel que tenga una duda, un ejemplo de este mismo problema en otra parte de una web.

Los archivos de estadísticas almacenados en un directorio deducible como sería www.sitio.com/estadisticas/, estas no están disponibles mediante ningún enlace, pero es fácil probar su existencia. Lo mismo ocurriría para una sección de los administradores del sitio bajo la ruta /admin, donde se almacena contenido temporal.

Es tan común este tipo de vulnerabilidades que incluso existen herramientas para detectarlas de forma automática, entre ellas Wikto, Webroot o Webslayer o los geniales productos nacionales DirB y Pipper.
Leer más...

13 febrero 2009

Hackeos memorables: La pifia de la FIA

Este hackeo memorable se refiere a un problema de privacidad que se produjo en la trama McLaren-Ferrari por un error de la FIA.

En Septiembre del año 2007, debido a los supuestos casos de espionaje entre Ferrari y McLaren llamaron a declarar a Pedro Martínez de la Rosa, Fernando Alonso y Lewis Hamilton.

La FIA, como resultado de las declaraciones de dichos pilotos, publicaron un documento PDF con fragmentos de las mismas, en las que aparecían tachadas o emborronadas en negro determinadas partes que se consideraban privadas entre ambas escuderías.

¿Dónde vino el hackeo/compromiso/fallo? Pues que si se seleccionaba todo el texto del fichero PDF y luego se pegaba en el block de notas por ejemplo, se podía leer los detalles tecnológicos que la FIA se "esmeró" en ocultar.



Se podrían haber tomado ciertas medidas de seguridad en el PDF, restringiendo el copy/paste del documento por ejemplo, aunque lo que realmente asegura la no-difusión de la información sensible es de sentido común: no ponerla en un medio digital.

Lo curioso del tema es que el motivo de la sanción contra los imputados en la trama McLaren-Ferrari, era precisamente el disclosure de la información técnica y confidencial y finalmente la entidad sancionadora (la FIA) es la que comete la pifia.

Información original obtenida de Laboratorio de Hispasec
Leer más...

12 febrero 2009

Avances en distribución de Malware

Atrás quedaron los tiempos en los que para distribuir código malicioso hacia falta infectar disquetes y pasarlos de PC en PC.

Con el advenimiento de Internet, las reglas del juego cambiaron, la distribución se hacia obviamente mas fácil.

Tal vez el primer 'avance' fue aprovecharse de la candidez inherente al ser humano enviando malware camuflado vía correo electrónico, estoy hablando del virus I Love You.

Mas tarde, Sony en un acto de creatividad fuera de toda duda, lanzó un CD de música que contenía un rootkit, suponiendo un nuevo hito en cuanto a formas de distribuir malware

Hemos tenido que esperar hasta el 2009 para que se produzca otro 'avance'; ha sido en Dakota del Norte (EEUU) donde alguien ha sembrado coches con falsas multas del parking-hora indicando al supuesto infractor que para obtener mas datos de la multa debía ir a una web.

En la web, con un aspecto totalmente 'retro', se invitaba al amable ciudadano a descargarse una herramienta para visualizar las evidencias de la infracción. En realidad lo que se descargaba era un troyano.

El post del SANS con mas detalles, aquí
Leer más...

11 febrero 2009

TrueCrypt, cifrado del disco de sistema en 20 pasos

TrueCrypt es una conocida herramienta que nos permite crear particiones, discos y volúmenes cifrados. Una de las características menos conocidas es su aplicación a la partición o disco duro donde reside el sistema operativo. Esto es posible gracias a un agente que es instalado antes de arrancar el equipo y que solicita la contraseña para continuar.

Cifrar el disco de sistema debería ser obligatorio para cualquier profesional, sobre todo en equipos portátiles que trabajan con datos de carácter personal o confidencial, ya que no se penaliza prácticamente el rendimiento y evita fugas de información.

Existe una sensación de falsa seguridad al pensar que esta medida no es necesaria ya que el ordenador dispone de contraseña en la BIOS o antes de autenticarse en el sistema operativo. Pero esto, una vez sustraída la unidad de disco duro permite acceder a toda la información en el almacenada, entre la que figuran los nombres de los últimos ficheros accedidos, certificados digitales, credenciales y un largo etcétera.

Desde SbD vamos a describir paso a paso como podemos asegurar la información que contiene el sistema. Pese a que es muy sencillo recomendamos probar en un equipo de prueba antes de realizarlo sobre uno en el que se puedan perder datos, además de leer cuidadosamente toda la información que la propia aplicación muestra.

Podeis seguir paso a paso el siguiente video:



O seguir las siguientes instrucciones imprimibles:

1.- Una vez instalada la última versión, abrimos la aplicación y pulsamos sobre "Create Volume"



2.- Seleccionamos "Encrypt the system partition or entire system drive" y pulsamos "Next".



3.- TrueCrypt permite tener un sistema operativo de "cartón-piedra", para en caso de utilizar otra contraseña arrancar como si fuese real. Este sistema no es detectable y puede ser útil si vamos a cruzar la frontera de Arabia Saudi con porno y quieren obtener la contraseña mediante "Fuerza Bruta". Para este caso, utilizaremos el método normal y nuevamente "Next".




4.- Otra opción es cifrar únicamente una partición o todo el disco. En este caso yo solo dispongo de Windows instalado y por lo tanto cifraré el disco completo. Click sobre Next!



5.- En la siguiente pantalla se nos plantea si cifrar el HPA (Host Protected Area), si no se dispone de RAID o alguna otra aplicación que pueda hacer uso de esta parte del disco duro, se marca la opción "Yes" y continuamos al marcar Next.






6.- La siguiente opción permite especificar si se utiliza el sistema para un único sistema operativo o si el equipo mantiene una configuración "Multi-Boot", en mi caso, únicamente con Windows selecciono "Single-Boot" y ... exacto: Next.




7.- Pese a que podemos elegir el tipo de algoritmo para cifrado y hash, AES y RIPEMD-160 presentan resultados rápidos y fiables. Si queréis ver las diferencias se puede realizar una prueba al pulsar sobre "Benchmark". Una vez seleccionados: Next.




8.- Hora de introducir una contraseña, el uso de ficheros con claves no está permitido para cifrados del sistema operativo. N-E-X-T.




9.- Durante el proceso de generación de claves, solicita mover el ratón dentro de la propia ventana de truecrypt. Después de darle unos meneos, se presiona el botón Next.



10.- La captura siguiente muestra el salt generado. Si estáis conformes pulsais Next (si no, ya me contaréis porque no)



11.- Una vez se han creado las claves se genera un disco de rescate, que hay que grabar con vuestro software favorito. OJO, no vale el mismo disco para un sistema que para otro, ya que este disco lleva embebidas las claves generadas. Antes de continuar se realiza una comprobación para asegurar que el disco se ha copiado correctamente. Si no detecta el disco en la unidad no se puede avanzar. En la siguiente pantalla se introduce la ruta donde se almacena la imagen que se ha de grabar.



12.- Se pulsa Next sobre la ventana que informa sobre la correcta creación de la imagen.



13.- En este punto grabamos el CD y se realiza la comprobación de su contenido en la siguiente imagen.



14.- Antes de cifrar el disco se permite ejecutar una limpieza (wipe) de los archivos eliminados de forma permanente. Realmente, una vez está cifrado el disco la información que pueda quedar residual estará también cifrada por lo que es no es necesario y ahorraremos tiempo si dejamos la opción "None (fastest)". Ah! -- Next.



15.- Antes de cifrar se lleva a cabo un test para comprobar que el "preboot" encargado de solicitar la contraseña antes de iniciar el equipo funciona correctamente. Presionamos Test



15.1.- Aceptamos el aviso que advierte que el sistema tal vez no arranque si el
preboot se instaló incorrectamente. (En este casó hay que reiniciar con
un disco de rescate tradicional y restaurar el inicio).



15.2.- Aceptamos el reinicio.



16.- Al arrancar el equipo debe aparecer la siguiente pantalla solicitando la contraseña introducida en el paso 8. La tecleamos y pulsamos Enter.




17.- Se notifica el correcto inicio del equipo. Ahora empieza la fiesta. Pulsamos sobre "Encrypt" y el sistema cifrará nuestro disco. Esto puede durar de 30 minutos a unas cuantas horas...




18.- Una vez leída la siguiente ventana con más advertencias, aceptamos si estamos conformes.








19.- Esperamos a que el disco se cifre por completo y aparezca el siguiente mensaje:



20.- Fin del proceso, pulsamos sobre "Finish" y ya dispondremos de nuestro sistema cifrado.


Leer más...