30 noviembre 2009

La alternativa de Netstumbler: inSSIDer

Después del abandono de la popular herramienta Netstumbler para búsqueda de señales Wireless en entornos Windows, era necesaria la creación de una nueva que además soportase Vista y 7, así como XP en su versión de 64bits.

Con este propósito el año pasado se creo inSSIDer, una aplicación algo desconocida con funcionalidades similares y que continúa su desarrollo open source bajo licencia Apache 2.0.

Entre sus características más destacables se encuentra:
  • Soporte para Vista/7/XP en sus versiones 32 y 64bits.
  • Uso de la API nativa de Wifi.
  • Agrupar en base a Mac/SSID/Canal/RSSI o "última vez visto".
  • Compatible con GPSs que usen NMEA v2.3.
  • Exportación de la información GPS/Wifi a archivos KML de Google Earth (muy vistoso!)
  • Exportación a ficheros de Netstumbler.
  • Filtrado de puntos de acceso.
  • Seguimiento de la potencia en dBm.


Actualmente la última versión es la 1.2.3.1014 y se puede descargar desde: http://www.metageek.net/products/inssider/download
Leer más...

29 noviembre 2009

Poster de Seguridad PHP

SektionEins ha traducido su poster/chuleta-gigante de seguridad de PHP a inglés. De tamaño DIN A0, lo están regalando a todos aquellos que completen un formulario de solicitud.

Seguramente no sea tan bonito como esos que suelen colgarse en talleres mecánicos, pero oye, tal vez pueda server como referencia en algún momento.

Su contenido contempla los siguientes temas:
  • Vulnerabilidades y conceptos
  • Funciones de PHP relacionadas con la seguridad
  • Programación segura
  • Fortificación de la configuración de PHP
  • Protección del servidor mediante Suhosin

El formulario de solicitud lo tenéis aquí: https://www.sektioneins.de/en/kontakt/php-security-poster/index.html
Leer más...

28 noviembre 2009

¿Fail-open o fail-close?

Estando en una reunión con un importante y potencial cliente, ha salido a la palestra una de las principales preguntas que gente avezada en el mundo de la seguridad te hace. "Oye perdona, y vuestro producto al tener que estar en medio del tráfico de red para analizarlo, en el caso de un posible fallo (eléctrico o funcional), ¿cómo se comporta? ¿Tiene un comportamiento fail-open o fail-close?"

Primeramente quiero diferenciar a qué se refieren estos términos. Dada una infraestructura de red, en la que se encuentran una serie de componentes de filtrado por los que van pasando los paquetes de red hacia sus destinos, los clientes suelen ser reacios a añadir otra caja más en medio que pueda ser otro punto de fallo. Sin embargo, muchos de ellos pueden dar por buena la solución si, en caso de fallo del equipo, el tráfico de red, fluye de forma transparente a su paso por el componente defectuoso. En pocas palabras, que si el cacharro falla, el tráfico de red (sea bueno o malo) no se procesa por ese componente, pudiendo llegar al servidor destino peticiones que, en condiciones normales, serían bloqueadas. Esto es lo que se denomina modo de funcionamiento fail-open.

La filosofía fail-close es justo la contraria. Es decir, si un componente falla, el flujo de red se detiene hasta la recuperación (o sustitución) de este servicio. De esta manera aseguramos que el tráfico recibido en los servidores destino mantiene la integridad en todo momento ante tráfico malicioso.

Imaginad que un sistema antispam o antivirus utilizado para el análisis del correo electrónico, deja de funcionar por el motivo que sea... ¿qué preferimos: quedarnos sin correo hasta solventar el problema, causando un gran impacto en una de las principales herramientas de productividad y negocio de la compañía, o continuar haciendo uso del correo electrónico sin ser conscientes de qué tipo de tráfico (en este caso de correo) se intercambian entre nuestros clientes y empleados?

Ante esta disyuntiva hay defensores de ambas filosofías, y los argumentos en general son los siguientes:
  • Los defensores de ser fail-open (que ante un crash de un sistema, siga funcionando sin la funcionalidad de seguridad) dicen: "Prefiero mantener el servicio, la disponibilidad y las herramientas de productividad de mi empresa activas y asumir luego las tareas de análisis del impacto causado por la falta de funcionalidad, antes que perder dinero por causa de un fallo de TI".
  • Los defensores del fail-close (ante el crash, se detiene el proceso hasta que se solventen los problemas técnicos) dicen: "Para mí, la seguridad de mis procesos críticos es lo primero, y no puedo/quiero asumir que por tener que abrir las puertas de par en par a tráfico malicioso de Internet, el impacto posterior sea mayor, ya sea por efecto de un virus, troyano o el robo de información sensible (que en condiciones normales de filtrado no habría estado expuesta)".

Desde mi punto de vista profesional, creo que la mejor solución radica en dotar de una buena alta (o altísima) disponibilidad de los componentes de los sistemas que forman parte de los procesos críticos de la compañía (entre otros los de TI), y por supuesto contar con un más que probado plan de contingencia ante desastres (me refiero en el flujo de la información de red en este caso). Es decir, que si de los dos antispams, uno se cae, que haya otro disponible que haga el failover, y si los que se caen son los dos, exista solución alternativa, como por ejemplo disponer de una máquina comodín a la que se le instale una imagen de la solución antispam, o de otro tipo de solución TI que pueda caerse en un momento dado. Desconozco si existen servicios de seguros que se puedan contratar para cubrir la improductividad causada por este tipo de paradas no deseadas, o algún otro tipo de medida que proporcione una compensación con un SLA para volver cuanto antes a funcionar.

Leer más...

27 noviembre 2009

SHODAN, un buscador diferente


Todos somos conscientes de que Google está en nuestras vidas (y lo sabe todo de ellas incluso...), y que su buscador recibe unas cuantas peticiones al día. Han surgido alternativas: tenemos Bing de Microsoft, muy bien acogida por los usuarios aunque obviamente, al final se acaba siempre buscando en la misma página blanca con imagen, textbox y dos botones. Seguidamente salió otro buscador, este un poco más especial y alejado del concepto corriente, Wolfram Alpha (ideal para hacer conversiones, para otra cosa a mi personalmente no me hace mucha gracia...). Y llegamos al protagonista del post de hoy: Shodan.



Es curioso: la presentación de Bing y Wolfram llegaba en formas de notas de prensa, post en blogs, leíamos que si era una buena "posible alternativa", "nuevo concepto", "nueva forma de pensar y buscar"...Shodan se hace protagonista directamente con querys de búsqueda que dan resultados bastante sorprendentes.




Se trata de un motor de búsqueda creado por John Matherly, pero no de información indexada de páginas web, si no que busca servidores, routers, y cualquier sistema que esté conectado a internet. De momento, tal y cómo dice su presentación, contiene mucha información indexada referente a servidores web, pero ya empiezan a encontrarse datos sobre servidores Telnet, FTP, SSH y otros tipos de puertos de administración. Como en cualquier buscador, SHODAN también contiene parámetros especiales.

En Bing podíamos por ejemplo obtener todos los dominios asociados a una dirección IP gracias a la búsqueda con "IP: XXX.XXX.XXX.XXX" (tarea que realiza VHoster). También conocemos todos los poderes del buscador de Google y sus parámetros para encontrar listing de directorios, ficheros de contraseñas, etc etc. Con SHODAN no hace falta nada. ¿Quieres buscar servidores IIS? Buscas IIS y listo, ¿quieres buscar servidores telnet? Alguno que otro hay. ¿Y si mañana se reporta o encuentras una vulnerabilidad, por ejemplo, capaz de explotar un fallo en las versiones del servidor web nginx 0.6.35? También es fácil, sólo hay que buscarlo. De momento este buscador nos permite filtrar resultados de servidores por el país dónde se encuentra (parámetro country), por nombre de host (parámetro hostname), por puerto (port) e incluso por rango de ips (net). ACTUALIZACIÓN: El creador ha desactivado el parámetro net temporalmente, debido al uso que se le estaba dando.

No me digáis que no es un juguete curioso, buscando banners concretos o prompts por defecto que sepamos que corresponden con algún servicio que tiene "truco". Cuenta además ya hasta con complementos para Firefox que facilitan su utilización (no era muy necesario, pero bueno...)

El fin de semana está aquí, pasadlo bien, salid por ahí, disfrutad con la familia, id al cine....pero si dáis con querys de búsqueda interesantes, ¡dejadlos escritos y nos reímos un rato todos!

[+] Shodan
Leer más...

26 noviembre 2009

Control Parental: ¿Espiamos o Educamos?

Con el paso del tiempo, los medios de comunicación han cambiado. Nos encontramos en la era de los dispositivos móviles e Internet, donde las posibilidades de aprendizaje y exploración para nuestros menores son ilimitadas. Esta forma de comunicación tiene muchas ventajas pero también unos riesgos asociados que debemos tener en cuenta.

Entre ellos podemos destacar: los depredadores, personas que pueden no ser quienes afirman, que intentan engañarlos para que se citen con ellos. Material inadecuado, pornografía, racismo, publicidad de tabaco y alcohol, fórmulas para explosivos. Malware que pueden encontrar al intentar descargarse juegos o programas. Acoso cibernético. Las redes sociales, donde no deben publicar información privada ni fotografías inapropiadas.

Los padres deben inculcar seguridad, informarles sobre estos riesgos y como han de enfrentarse a ellos.

Muchos padres optan por controlar la actividad online de sus hijos instalando un software determinado que monitoriza el tráfico de la mensajería instantánea, los chat, las páginas por las que navegan y que archivos descargan o intercambian.

Esta puerta trasera en las comunicaciones de los menores muchas veces alerta a los padres de una actividad insegura o ilegal. Pero ¿supone una invasión de la privacidad de la vida virtual de nuestros menores?

¿Les estamos espiando?


Muchos psicólogos dirán que no, pero siempre y cuando se definan de forma clara las reglas que esperas que cumplan mientras están conectados y se les ha de informar que su actividad va a ser monitorizada. Aquí unas opciones gratuitas de la mano de INTECO.

También es recomendable darles unas prácticas seguras sobre como moverse por la red:
  • Desconfiar de aquellas personas que quieran saber demasiadas cosas sobre ellos. No dar ninguna información sobre ellos o su familia (por ejemplo: su nombre, contraseñas, número de teléfono, dirección, su colegio, etc.) sin hablar antes con los padres.
  • Si reciben o ven alguna cosa desagradable o que les parece rara "no tratar de seguir investigando" por su cuenta, deben decírselo a sus padres y/o profesores.
  • Si tienen interés o intención de encontrarse físicamente con alguna persona que han conocido a través de Internet, informar siempre antes a sus padres. No ir nunca solo a una cita.
  • No entrar nunca en sitios de pago, que soliciten su número de tarjeta de crédito o su nombre y dirección.
  • Si encuentran un sitio que indica "acceso prohibido a menores", respetar esta indicación.
  • Evita usar contraseñas fáciles de adivinar, como su nombre, fecha de nacimiento. Intentar usar combinaciones de números, caracteres especiales, y una longitud de contraseña lo más larga posible.
  • Mantener su perfil privado en las redes sociales para evitar que desconocidos consulten su información personal.
  • Enseñarles como han de mantener su antivirus y sistema operativo siempre actualizado.
Así los padres podrán dormir algo más tranquilos.
Leer más...

25 noviembre 2009

El bug del SSL: Como tirar la piedra y esconder la mano

En estos últimos días se ha escuchado y mucho hablar del término 'renegociación' y no, no tiene que ver con bugs similares que le puede suponer a una familia verdaderos problemas, sino del bug del SSL que tantos ríos de cibertinta ha hecho correr

Hemos tardado un poco en hacer la valoración porque no nos gusta caer en el sensacionalismo o hablar sin tener toda la información.

Para empezar, primer mensaje : calma, el famoso bug no es, salvo alineación planetaria, un bug que debería tener consecuencias importantes, de hecho, lo mas destacable hasta ahora publicado, es un ataque a Twitter

Creo que el documento original cubría los detalles técnicos a muy bajo nivel lo suficientemente como para no emborronar el post haciendo una traducción, creo que interesa mucho mas la interpretación práctica.

¿Se ha roto el protocolo SSL? NO, rotundamente NO, este ataque no permite acceder al contenido de las sesiones cifradas ni interceptar una sesión en tránsito

¿Que significa en el ámbito SSL 'renegociar una sesión'? A grosso modo se puede decir que durante una conversación SSL, por motivos diversos (porque interese cambiar el juego de algoritmos de cifrado o porque intervenga una autenticación con certificados) uno de los extremos puede pedir que se empiece desde cero y re-iniciar la negociación SSL.

¿Como se puede explotar el bug? Para empezar, se requiere una situación MiM, y que el atacante tenga el control de las comunicaciones entre la víctima cliente y el servidor final. Una vez en esa situación, lo que el bug de la renegociación permite es que un atacante inicie una sesión SSL contra un servidor (a nivel SSL), comience a hablar HTTP (que está en otra capa) y, en un momento dado, 'le pase la sesión HTTP' al cliente que nada sabe de lo previamente hablado entre el atacante y el servidor.

¿Por pasos? Ok
  1. La victima intenta conectarse vía HTTPs a www.elbanco.net
  2. El atacante que 've' ese intento y lo deja en espera
  3. El atacante se conecta a www.elbanco.net vía SSL
  4. Hace una petición HTTP (GET /ordenatransferencia.aspx?dinero=2000&cuenta=00012124455)
  5. En ese momento, pide una renegociación a nivel SSL (que actúa en otra capa diferente a HTTP)
  6. Cuando comienza a renegociarse la petición SSL, el atacante da vía libre a la primera conexión de la victima y el servidor http, al creer que ambas vienen del mismo sitio, las concatena, con lo que a la víctima le llega la sesión HTTP iniciada por el atacante
Viendo este escenario, y según se ha ido constatando conforme pasaban los días, parece que la única forma de sacar partido a este escenario es tratando de iniciar una petición al servidor HTTP, y que cuando se 'le pasa' a la víctima, esta tenga cookies de sesión que autentiquen la petición HTTP anterior (eso y emplear algunos 'trucos' http para que la petición de la víctima, típicamente un GET, no sea interpretada por el servidor).

Según la gente de IBM-ISS el ataque ha sido catalogado como un CSRF del que se presupone cualquier banco / organismo serio, obligado a cumplir la directriz PCI, estará mas que precavido.

Añadir que, en otros protocolos que usen SSL como capa de cifrado (lease VPNs o servidores de correo) parece que el impacto es aun menor.

Aun así, por mera curiosidad insana vamos a comprobar si algunos servidores https nacionales ya se han parcheado contra este tipo de ataque:

Primero un servidor NO vulnerable:

$ openssl s_client -connect www.packetstormsecurity.org:443

(después de la negociación inicial SSL que no pego porque es inmensa ...)

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID: 1A00CCF15199B45D635CDC16D16409BE2773D6DED40C9D0
Session-ID-ctx:
Master-Key: 0D3D9F8122EE66B171EACC1C2826FD58AE323D10A5C4953
Key-Arg : None
Krb5 Principal: None
Start Time: 1259108074
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)

Le pedimos que haga la renegociación pulsando R

---

R
RENEGOTIATING
2655:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:530:

Como se puede apreciar, el servidor da un error y no permite la acción

Probemos ahora con, por ejemplo, la FNMT

$ openssl s_client -connect www.cert.fnmt.es:443

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID:
Session-ID-ctx:
Master-Key: D25849BCD4A0FCC76F5864DD90B47931E7289B19F5487FD11B8
Key-Arg : None
Krb5 Principal: None
Start Time: 1259108343
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
R
RENEGOTIATING
depth=0 /C=ES/O=FNMT/OU=FNMT Clase 2 CA/OU=Publicos/OU=500070015/CN=WWW.CERT.FNMT.ES
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=ES/O=FNMT/OU=FNMT Clase 2 CA/OU=Publicos/OU=500070015/CN=WWW.CERT.FNMT.ES
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=ES/O=FNMT/OU=FNMT Clase 2 CA/OU=Publicos/OU=500070015/CN=WWW.CERT.FNMT.ES
verify error:num=21:unable to verify the first certificate
verify return:1

---

Como podemos ver parece que la renegociación ha sido exitosa.

Probemos ahora con una entidad financiera (elegida totalmente al azar)

$ openssl s_client -connect www.cajaespana.net:443

New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 445C49E1F35D5A3A8FDDC3402852210CFAA72F5040
Session-ID-ctx:
Master-Key: EC92D166291DE3EBEAB16792DB5B2912A8B8A89234E
Start Time: 1259109105
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
R
RENEGOTIATING
depth=3 /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
verify return:1
depth=2 /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
verify return:1
depth=1 /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA
verify return:1
depth=0 /1.3.6.1.4.1.311.60.2.1.3=ES/2.5.4.15=V1.0, Clause 5.(b)/serialNumber=Tomo 340, Folio 1, Hoja/C=ES/ST=leon/L=leon/O=Caja Espa\xC3\xB1a de Inversiones, Caja de Ahorros y Monte de Piedad/OU=Terms of use at www.verisign.com/rpa (c)05/CN=www.cajaespana.net
verify return:1

También parece que admite renegociación
Leer más...

24 noviembre 2009

Sesiones seguras: es gratis


Ya saben lo que dicen, siempre podrás servir de algo, aunque sea de mal ejemplo. Así que sintiéndolo mucho, vuelvo con las redes sociales, esta vez para hablar sobre las sesiones.

Las sesiones que genera una aplicación web se han de cuidar tanto como se cuida un formulario de autenticación, ya que de una forma u otra una implantación débil de sus medidas de seguridad puede acabar en el robo de una identidad.

Por este motivo una sesión que almacena el registro necesario para autenticarnos en cada una de las peticiones solo ha de ser transmitida por un canal seguro. Evitando que sea escuchada en nuestra red y reproducida por un tercero.

Facebook, el gigante internacional deja a elección del usuario si desea utilizar una conexión segura mediante https o por el contrario accede usando el protocolo en claro. Algo así como Google con Gmail, solo que NO hay una opción para que recuerde nuestra selección anterior.

Esto se puede solucionar (o más bien parchear), ya lo hemos comentado hace tiempo.

Más triste es el caso de Tuenti, nuestro amigo nacional, que desgraciadamente solo funciona bajo http. En el fondo tampoco importa demasiado, los datos que contiene esta red no son de carácter personal (je!).

Retomando Facebook y su canal seguro, es curioso observar que pese han tenido en cuenta el uso de cifrado para la transmisión de datos, se les "ha olvidado" activarle el atributo seguro.

Este valor que se establece en el momento que se crea la cookie de forma bastante sencilla, puede protegernos ante ataques tipo Surf Jacking, con los mediante la inyección de tráfico http se puede obtener la sesión.

Para comprobar esta vulnerabilidad, existe una extensión de Firefox llamada Surf Jacking Security Inspector que facilita la tarea y que mostrara un circulito en caso de que se detecte su inseguridad.


Otra opción es utilizar el propio gestor de cookies de Firefox, donde se muestra si se tiene o no este parámetro activado.


Para el caso de Gmail...

Leer más...

23 noviembre 2009

Ideas para acudir a eventos de seguridad Americanos

epic fail pictures
see more Epic Fails

Divertidísima foto vista en el blog de Schneier que, según dicen en los comentarios, al final no era para tanto (aun así tiene su gracia)

El 'Homeland Security' es un departamento de seguridad Americano que podría traducirse como 'Seguridad nacional'
Leer más...

22 noviembre 2009

Evitando el espionaje telefónico

Últimamente está muy de moda esto de los pinchazos telefónicos en las altas esferas políticas de nuestro país. No hacemos más que oir hablar de algo llamado Sitel (Sistema Integral de Interceptación de las Comunicaciones Electrónicas), de tramas de presunta corrupción escandalosamente millonarias destapadas gracias a pruebas proporcionadas por el Echelon o Carnivore español. Sin embargo, el proyecto Sitel (curiosamente iniciado por el PP allá por el 2001) que ha contado con un presupuesto de 36 millones de euros para poder analizar todas las comunicaciones españolas que se desease, posibilita la intercepción del tráfico de datos a la vez que el de voz.

Ya es algo bastante antiguo el que las comunicaciones móviles transmitidas por GSM son vulnerables y crackeables mediante equipos bastante más baratos que Sitel aunque es necesario estar relativamente cerca (a más de 32 kilómetros de distancia) del terminal a interceptar, como se demostró en la Blackhat del 2008. En resumen, que de forma casera es posible que se descifren nuestras conversaciones móviles por parte de cualquiera (con los conocimientos y con el equipo adecuado). Y si además la policía solicita mediante una orden judicial que se haga de una forma más oficial, directamente los operadores telefónicos serán quienes provean los datos de forma directa desde la central mediante Sitel.

Pensando en cómo poder asegurar las comunicaciones móviles con aquellos a los que les vamos a dar la combinación ganadora de la Lotería Primitiva de la semana que viene, o como hacía Yago cuando sincronizaba un comando terrorista mediante Twitter cifrado, pero mediante comunicaciones de voz lo primero que se me ocurre, es utilizar Skype o Google Voice.

Estos servicios, al estar basados en Voz sobre IP, ya evitan una buena parte de los análisis de voz basados en GSM o por el operador telefónico. Para poder hacer uso de estas soluciones, con disponer de acceso wireless o 3G ya es suficiente como para encapsular la voz... por IP. He leido varias referencias respecto a la seguridad de Skype, dejando claro que se utiliza AES 256 bits para la transmisión de tráfico de voz. Incluso la propia policía alemana aseguraba no haber podido con el cifrado de Skype.

Ojalá los políticos de ambos bandos de nuestro país leyeran nuestro blog más a menudo!!!
Leer más...

21 noviembre 2009

La PS3 como herramienta para la lucha contra el e-crime

Hace pocos días salió a la luz una noticia en la que agentes del FBI, en su lucha contra el cibercrimen y de forma particular contra las redes de pornografía infantil, habían usado consolas PS3 conectadas en red y ataques por fuerza bruta para romper las contraseñas de cifrado de la información confiscada.

La PS3 o "Crackstation", salió al mercado en 2006. IBM, Toshiba y Sony colaboraron para crear el CBE (Cell Broadband Engine), formado por un procesador escalar y ocho procesadores vectoriales.

La PS3, es muy apta para la criptografía. Mientras que los procesadores Intel permiten realizar operaciones complejas, los Cell están pensados para realizar múltiples operaciones simples al mismo tiempo. Además posee seis núcleos de procesador SPU (Synergistic Processing Unit) y puede realizar más de 80 millones de hash MD5 por segundo para textos de 8bytes usando la computación vectorial para realizar cálculos criptográficos en paralelo.

Comparándola con la tecnología Intel, el Cell crackea passwords 100 veces más rápido que el hardware de Intel.

Si le sumamos que se puede instalar Linux y el software necesario (Sony bloqueó esta funcionalidad para la PS3 Slim), todo esto ha influido para que los agentes del FBI hayan decidido usar la PS3 en sus investigaciones.

Además reducen los costes, de 8000$ que cuestan las máquinas de Dell que usaban a 300$ por los que pueden adquirir la consola.

¿Sabían los de Sony que habían creado una máquina potente y poco costosa para romper contraseñas? ¿Podemos imaginar el alcance de una red de PS3?
Leer más...

20 noviembre 2009

Resumen - Jornada de seguridad UCA

Como era de esperar el día en Cádiz ha sido increíle, la gente nos ha tratado genial, la ciudad es espectacular y la charla parece que ha gustado. ¿Qué más se puede pedir? ¡¡Sí!! ¡¡cazón!! ¡¡también hubo!! Dejamos para el año que viene la tortilla de camarones...

También me traigo algunos bonitos recuerdos de la asociación ADWYS organizadora del evento. Incluso uno de ellos artesanal.

Como en otras ocasiones, colgamos la presentación que se ha utilizado durante el evento, una mezcla rarita en la que he tratado de encajar algunas extensiones de seguridad en el OWASP Top10, "un poco de aquella manera", pero en el fondo ha quedado gracioso.




Y para rematar, una foto en acción



Leer más...

19 noviembre 2009

Construyendo un sistema multi capa de defensa personal

Llevo bastante tiempo queriendo hablar de un artículo realmente interesante y muy completo con directrices para construir un sistema defensivo a varios niveles orientado a un PC de usuario, empleando herramientas gratuitas.
  • Punto uno (sorpresa!) emplea un buen antivirus / firewall que actúe a modo de primera defensa perimetral, en el artículo original recomiendan Avast y ZoneAlarm, yo añado el Cloud Antivirus de Panda.
  • En el segundo y tercer punto recomiendan emplear herramientas de 'análisis de comportamiento', estas herramientas se diferencian en los tradicionales anti-virus en que no emplean firmas para reconocer amenazas, lo que hacen es analizar el comportamiento del sistema e identificar patrones maliciosos. Ellos recomiendan PC Tools' Threatfire y SurfRight Hitman Pro yo añado mi Patriot (que algún día retomaré, lo prometo)
  • AntiSpyware: Lo quieras o no, es seguro que tras cierto tiempo usando un equipo Windows seguro que se ha colado algún programa de reputación dudosa, para enfrentarnos a el, Ad-Aware
  • Interesante, en el artículo recomiendan emplear herramientas de 'sandboxing' y recomiendan Sandboxie del que ya hablamos por aquí
  • Importante mantener el equipo con versiones actualizadas y parcheadas, para ello Secunia PSI, también comentado en este blog
  • Criptografía como elemento defensivo, en el artículo original mencionan una herramienta capaz de cifrar un fichero, nosotros somos mas ambiciosos, cifrado de alto nivel con True Crypt, con su correspondiente tutorial
  • Gestión de contraseñas, todos sabemos lo importante que es tener una política de contraseñas apta y también lo difícil que es recordar un montón de passwords, para ello Password Hash y nosotros añadimos KeePass
  • Por último y totalmente de nuestra cosecha ¿Que tal algo de 'hardening'? FFHardener es tu amigo, disponible en nuestro repo de herramientas en Google Code
Leer más...

18 noviembre 2009

Publicado el Metasploit Framework 3.3


En Noviembre del año pasado, que casualidad, anunciábamos por aquí el lanzamiento de Metasploit 3.2, plataforma de exploiting por excelencia. Curioso lo que ha supuesto este año para el proyecto de HD Moore, y no sólo por la herramienta en si, si no por todo lo que la rodea. De momento, la noticia más reciente es que se acaba de hacer pública la versión de Metasploit 3.3.

Pero una de las noticias más ¿sorprendentes? de estas últimas semanas fue la compra de Metasploit por parte de la empresa Rapid7, que no supuso cambio alguno en el proyecto (seguirá Open Source...), si no simplemente que HD cumpliría con el puesto de Chief Security Officer pudiendo así trabajar a tiempo completo en el desarrollo de la herramienta. De momento seguimos respirando tranquilos si siguen definiendo a Metasploit dentro de la compañía como "A Rapid7 Open Source Project" y sigan a rajatabla el listado de preguntas y respuestas sobre la adquisición:




Volviendo a la actualidad, la nueva versión 3.3 aporta varios cambios, además de los típicos de optimización en el entorno, con mejoras en los procesos de instalación para cada sistema, ampliación de información y ayuda sobre los exploits, inclusión de nuevas técnicas de explotación y un amplio etc, todo ello detallado ampliamente tanto en el propio post del anuncio en el blog del proyecto como en el Changelog (más de 180 bugs corregidos...).




¡Haced caso a HD Moore y a actualizar!


Y no podéis utilizar la excusa de que no sabéis como usar este framework, porque ya os hablamos en SecurityByDefault del curso gratuíto Metasploit-Unleashed publicado por la gente de Offensive-Security.

Leer más...

17 noviembre 2009

Jornada de Seguridad - Universidad de Cádiz

El próximo día 19 de Noviembre en la Escuela Superior de Ingeniería de la Universidad de Cádiz, se celebrará una actividad de Seguridad dentro de la Semana de la Ciencia que comenzó el 9 y durará hasta el día 20 de noviembre.

A las 10:00 comenzará en el Aula de Informática 9, una charla sobre seguridad web, enfocada al uso de Firefox en los test de intrusión y el nuevo OWASP Top10 del que os hablábamos ayer.

Con una hora y media de duración, el objetivo es presentar el potencial de Firefox y sus extensiones, exprimiendo al máximo sus características mediante el uso de estas herramientas en demos.

Todas ellas (menos SWF Catcher) bajo el nuestro recopilatorio en la web de Mozilla.
  1. LiveHTTPHeaders
  2. SQL-Me
  3. XSS-Me
  4. iMacros
  5. Add'n'Edit Cookies
  6. Unlinker
  7. RefControl
  8. User-Agent Switcher
  9. HackBar
  10. Exif Viewer
  11. CookieSwap
  12. Cookie Security Inspector
  13. Foxy Proxy
  14. Tamper Data
  15. SWF Catcher
  16. Cert Viewer Plus
  17. Fireshot
  18. CaptureFox
Por último, agradecer a la Universidad de Cádiz y en concreto a Adrian la invitación al evento al que vamos con mucha ilusión, esperando que os guste a todos y os sea de provecho.

Leer más...

16 noviembre 2009

Liberado OWASP Top10 2010 RC1

Durante la conferencia OWASP AppSec DC celebrada el 13 de noviembre se ha hecho público el primer borrador del famoso proyecto OWASP Top10 2010, que enumera los riesgos de seguridad más críticos en aplicaciones web. Espera ser finalizado el primer cuatrimestre del nuevo año.


La versión anterior es del año 2007 y sufrirá las siguientes modificaciones:


  • Añadido punto A6: "Security Misconfiguration", que aparecía en el 2004 en décimo puesto (como Insecurity Configuration), recupera sitio el próximo año.
  • Añadido punto A8: "Unvalidated Redirects and Forwards", es nuevo este año y hace referencia a las aplicaciones web que se valen de un parámetro web para redirigir el sitio a otra zona de la página web.
  • Eliminado punto A3: "Malicious File Execution" es eliminado de la lista ya que era algo que se da mucho en aplicaciones PHP, pero con las nuevas opciones de ejecución de este lenguaje su número ha disminuido.
  • Eliminado punto A6: "Information Leakage and Improper Error Handling" es eliminado pese a que su existencia es muy alta por su bajo impacto.
Referencias:

1.- Presentación OWASP AppSec DC - Top10 2010: http://www.owasp.org/images/a/a1/AppSec_DC_2009_-_OWASP_Top_10_-_2010_rc1.pptx
2.- Documento OWASP Top 10 - 2010 (RC1): http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf
Leer más...

15 noviembre 2009

Como hacer fácil el uso de sesiones múltiples en Facebook

En este blog nos encanta hablar (mal) de Facebook, en ocasiones hemos sido muy críticos con temas de privacidad y hablábamos sobre los riesgos de las aplicaciones de terceros y la forma en la que 'devoran' la información privada de los perfiles.

Hoy leía un relativamente interesante artículo sobre medidas preventivas en facebook. En el, se aconsejaba el uso de múltiples cuentas en Facebook en función del uso al que se le vaya a dar, una para compadrear con amigos, otra para jugar, otra mas privada.

La idea, es bastante interesante, el problema es que casi todos los servicios web emplean como formula para hacer seguimiento de las sesiones de los usuarios las famosas cookies y, dado que Firefox no permite nativamente especificar a cada pestaña que cookies debe ver (todas tienen una zona común), no se pueden tener múltiples sesiones abiertas. Por tanto, resulta un poco engorroso estar haciendo login / logout de las cuentas, supongo que al tercer día el hastío hará que desechemos la idea.

Buscando fórmulas de hacer eso mas llevadero, he encontrado una extensión para firefox llamada CookieSwap que permite tener múltiples 'zonas de cookies' en forma de perfiles y que facilita mucho el cambio de sesión ya que podemos cargar dinámicamente unas cookies u otras
Leer más...

Vídeos de seguridad Wireless

Miguel Ángel Bernabé Cruz es un joven investigador en seguridad informática que ha creado un par de vídeos donde trata temas de seguridad desde un punto de vista práctico, mostrando el lado mas entretenido y curioso del hacking.

El primer vídeo es un escenario en el que alguien se conecta a la red Wifi de su vecino, algo muy de moda, y su vecino se entera y decide darle un pequeño susto.



El segundo vídeo, más serio, es un ejemplo práctico de por qué hay que proteger bien la red Wifi por si tenemos vecinos cotillas, y lleva a cabo un sniffing pasivo bastante completo, siendo un ejemplo bastante bueno y demostrativo de algo que bien se podía llevar a cabo en la gran mayoría de comunidades de vecinos. No olvidemos que, gracias a ciertas compañías telefónicas, descifrar las claves 'by default' de muchos routers es tarea realmente fácil (solo hay que ojear el foro de seguridadwireless).

Leer más...

13 noviembre 2009

Seguridad por oscuridad ¿verdadera seguridad?

En el día a día de mi profesión veo, entre otras otros hábitos y políticas, diferentes formas de afrontar la seguridad por parte de las empresas.

La primera y más reconocida por parte de clientes, organizaciones e incluso entre departamentos dentro de las mismas compañías, es la seguridad por oscuridad. Raro se me hace a veces el encontrar titulares en prensa especializada en el mundillo de los fabricantes, mayoristas, integradores y clientes españoles, como SIC, TCN, o Red Seguridad, en los que se publica que tal o cual organización ha confiado su seguridad en la solución de "nosequé" fabricante de UTMs o de antivirus. Cuando hago una presentación a clientes de los productos de mi empresa, suelo mantener la confidencialidad de los clientes con los que trabajo, mencionando los sectores a los que se adecúa mejor nuestra tecnología, pero sin identificar a nuestros actuales clientes.

En general, corporaciones cuya información requiere de especiales cuidados (véase bancos y cajas o como dice mi compañero Javier.... los que ponen la pasta colgando en Internet) suelen ser más comedidos ante determinadas publicaciones o "disclosures" de información. ¿Por qué? ¿Por qué ese tipo de corporaciones sí que tienen fuertes restricciones con lo que se publica en los medios de prensa y las demás no? ¿Es que los que sí que publican a los 4 vientos no les importa tanto lo que protegen? Organizaciones que pertenecen a la administración pública, están obligados porque han de publicar en el BOE cómo invierten los impuestos de los españoles. Otras, en general, relacionadas con el mundo de la industria, energéticas, salud, viajes,... lo que tienen para proteger no es dinero como beneficio directo, sino a través de producto transformado: sus datos. Sin embargo, éstas últimas, suelen tener menos tapujos a la hora de indicar qué mecanismos utilizan como primera o segunda línea de defensa, qué tipo de tecnología de autenticación, de cifrado, etc,...

Mi pregunta ante estos hechos son: ¿cuál de las dos políticas es la correcta? Parece de sentido común el pensar que el no divulgar información al exterior sobre los datos concretos de en qué producto/fabricante confiamos nuestros huevos (los de la cesta, claro) puede ser una medida de los más acertada.

Sin embargo, el otro día leyendo una de estas revistas que mencionaba anteriormente, en una entrevista realizada a un directivo de una aseguradora, una afirmación que me resultó muy interesante: "La seguridad no tiene que ser secreta: secretos son los procedimientos". Y en buena parte tiene razón.

Estaréis hartos de oirnos (o leernos) repetir en nuestros posts que las buenas prácticas en materia de seguridad han de incluir unos procedimientos sólidos y una metodología basada en la estrategia del diseño, la fortificación (1, 2, 3 y 4) (esta vez no me pilláis con el bastionado, aunque sea válido) de las infraestructuras, de política de parches y actualizaciones, de selección de la tecnología de calidad y adecuada a los tiempos y a los ataques actuales,... Al fin y al cabo "Quien nada hace, nada teme" por lo que, aunque te decantes por la elección de un fabricante u otro para proteger parte de la seguridad de tu organización, si partes de unos buenos principios como los mencionados, y mientras no se desvele la estrategia o detalles internos de la red.

Yo sin embargo, sigo pensando que, mientras no sea obligatorio, mejor dar un trabajo de más a los atacantes para averiguar qué me protege y qué versión, en vez de evitarles un montón de pruebas de auditoría.
Leer más...

11 noviembre 2009

Una de Espías

A todos nos fascinan las historias de espionaje, y si encima son muy sofisticadas aun mas. Si a esa historia se añade un componente informático la suma es perfecta.

Supongo que todo el mundo conoce al Mossad, la agencia de espionaje de Israel que seguramente sea una de las mas avanzadas y, también sea dicho de paso, menos escrupulosa. Igualmente es conocido el interminable conflicto en oriente medio que tiene como contendientes a Israel + EEUU VS el mundo Árabe, son años y años de luchas, atentados y masacres de uno y otro bando. A la ya explosiva situación últimamente se ha unido un tema de máxima prioridad: los programas nucleares de los países árabes.

Sin duda es lógico comprender la preocupación que supone para Israel que sus vecinos (mayormente Irán) estén cada vez mas cerca de tener a su alcance material nuclear que se pueda emplear para construir una bomba.

Y aquí comienza la historia: Por lo visto, tras un cambio de poder en Siria (padre-deja-el-poder-a-hijo) el nuevo presidente comienza a tener inquietudes nucleares apoyadas y financiadas por Irán, con idea de desarrollar la temida bomba atómica. Para ello iniciaron contactos con Corea del norte que, según parece, ya dispone de toda la tecnología necesaria. Todo esto, obvio, bajo la atenta mirada de los servicios secretos de Israel. El caso es que, según se puede leer en la muy interesante narración de spiegel, uno de los factores clave a la hora de recabar pruebas contra Siria, fue el hecho de que durante un viaje de un alto oficial Sirio a Inglaterra, agentes del servicio secreto Israelí troyanizaron el portatil y de ahí sacaron fotos, documentos y planes secretos de la planta nuclear que se estaba construyendo.

Finalmente, y en parte gracias a esta acción, Israel pudo detectar la ubicación de la planta nuclear llamada 'Al Kibar' y destruirla por completo.

Sin duda, una fascinante historia sobre espías, troyanos y amenazas nucleares
Leer más...

09 noviembre 2009

Se buscan mujeres

Todos sabemos que en el sector de la Seguridad Informática el número de mujeres en los proyectos es muy reducido, y si pensamos cuántas de ellas los lideran, podríamos contarlas con los dedos de la mano.

¿No resulta atractiva la Seguridad Informática para una mujer?

La seguridad de TI es una profesión compleja, multidisciplinaria y desafiante. Existe una creciente demanda en estos proyectos, en busca de personal con talento y dedicación, que aporten soluciones innovadoras que ayuden a proteger a las organizaciones del cibercrimen.

En un paper de SANS.org nos comentan lo exitosos que podrían llegar a ser estos proyectos si fueran liderados por mujeres.

¿Podría llegar una mujer a ser un buen líder de un proyecto de seguridad?

Según un estudio reciente publicado en Harvard (Ibarra & Obodaru, 2009), las mujeres superaban a los hombres en siete de las diez competencias claves de liderazgo, entre ellas formación de un equipo, tenacidad, inteligencia emocional, diseño y alineación.

Un buen líder, y hablo de líderes y no de jefes, debe tener las habilidades necesarias para guiar un equipo formado por diversos perfiles. Debe ser capaz de saber comunicar, encontrar problemas y proveer soluciones. Debe tener una actitud positiva, capacidad de análisis y saber formar un equipo que aporte buenos resultados.

¿Como acercar el sector femenino a la Seguridad de TI?

Lo primero que habría que hacer es acercarlas a las TI. Desde que somos niños existen muchos casos donde los padres creen que las niñas deben jugar con muñecas y los niños con coches y ordenadores. Esto comienza a cambiar, y cada vez mas el número de chicas que juegan con su ordenador, programan, les gustan los gadgets, está aumentando.

También el número de mujeres en las charlas de seguridad y en carreras de ciencias ha aumentado, aunque sigue siendo un número muy reducido. Si queremos que este número aumente, debemos hacer que se sientan cómodas, también tienen mucho que aportar. Si se sienten cohibidas, nunca lograremos que vengan a estos proyectos, y no pararemos de oír las mismas quejas de siempre... ¿por qué no hay chicas en las charlas de seguridad?
Leer más...

08 noviembre 2009

Se venden Macs a 43 céntimos

Hace ya un tiempo que queria hablar sobre una presentación magistral de Dmitry Samosseiko (investigador de Sophos )en la que desmenuza los pormenores de las tramas organizadas que se dedican a la 'captación' de equipos troyanizados.

En ella, tal vez el titular mas sensacionalista es el hecho de que un equipo Mac troyanizado se cotiza en el mercado negro a 43 céntimos de dolar.

En la presentación se explica como funcionan las tramas organizadas creando incluso programas de 'afiliados' muy al estilo de los negocios tradicionales. También se comentan casos como la introducción de supuestos video-codecs maliciosos en sites al estilo de 'Porntube' para infectar equipos, el uso de 'Black-Seo' para generar visitas o lo que el autor llama Spam 2.0.

Sin duda una lectura muy entretenida sobre el sub-mundo de la seguridad.

El artículo se puede consultar aquí
Leer más...

07 noviembre 2009

LHC DoSed otra vez... por una miga de pan!

Después de una ardua semana de trabajo y viajes (sobre todo muchos viajes), me encontraba descansando merecidamente en un puff que compré en Portugal (amigo Omar, gracias por la compenetración del regateo), y al leer elmundo.es he llegado a una noticia que me ha llamado la atención. El LHC (Gran Colisionador de Hadrones) ha sufrido una nueva parada. Ya tiempo atrás Yago nos avisaba de un defacement de la propia página web del proyecto en sí.

Lo normal es que a lo largo del tiempo sufran averías debido al día a día del trabajo, así como algún que otro problema técnico. Sin embargo la que me refiero hoy es increible. Se ha producido un cortocircuito en el LHC por una miga de pan transportada por un pájaro que cayó en el aparato. Eso degeneró en un "calentamiento de dos de sus sectores y la interrupción del sistema criogénico del acelerador de partículas, que ya han sido enfriados hasta su temperatura operacional" (según indica el portavoz).

Uno de los objetivos más importantes de la seguridad de una organización es la de garantizar que ninguna alteración provocará una denegación de servicio en los sistemas, es decir, que genere una indisponibilidad en el servicio. En el caso del LHC, considerado como el proyecto científico más caro y ambicioso de la Historia, que una simple miga de pan haya podido generar una parada en el servicio resulta cuanto menos irónico. No ha sido necesaria una conspiración por parte del doctor Maligno para boicotear el proyecto. Nunca se consideró a un inocente pájaro con una miga de pan en el pico, como un riesgo de seguridad tan grande como a partir de ahora
Leer más...

06 noviembre 2009

How To deshabilitar McAfee, NOD32, Norton y otros

Evidentemente, a la hora de evaluar una solución antivirus, aspectos como la fiabilidad en la detección o velocidad de respuesta a la hora de actualizar las firmas son parámetros a tener muy en cuenta, pero además, un buen antivirus debe tener en cuenta que, muy probablemente todo malware que se precie, va a intentar deshacerse de el a la hora atacar el sistema.

Sin duda, es importante que el antivirus esté preparado para el hipotético caso de que algo se cuele en el sistema sin ser detectado e intente inutilizarle.

Recientemente se ha hecho un pequeño estudio sobre como de fácil / difícil es inhabilitar algunos de los principales antivirus que hay en el mercado. ¿Resultado? Si esto fuera como el cuento de las casitas de los cerditos y el lobo: muchas casas de paja y pocas de madera.

Los antivirus analizados han sido:

McAfee

NOD32

GDATA


Norton


AVG


Kaspersky


DrWeb


El estudio, se puede consultar aquí, y además lo he subido a issuu para poder visualizarlo mejor (aunque parece que el flash da problemas con Explorer ):

Leer más...

05 noviembre 2009

El lunes 30 de Noviembre se celebra la 4ª edición del Día Internacional de la Seguridad de la Información (DISI) en el Salón de Actos del Campus Sur de la Universidad Politécnica de Madrid, como es habitual. La Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información es la encargada de organizar este evento que reúne a un gran número de profesionales relacionados con la seguridad informática.

La agenda de este año es muy atractiva por varios motivos, componiéndose esta de una conferencia y de dos coloquios.



La conferencia (de 9:30h a 10:30h), Randomized Hashing: Secure Digital Signatures without Collision Resistance, será dada por Hugo Krawczyk, investigador de la compañía IBM cuya, y que consistirá en la presentación de métodos para obtener firmas digitales seguras aún utilizando estas funciones que sean vulnerables. Esto viene a raíz del estudio que publicó un grupo de estudiantes de la Universidad de Eindhoven (y a los que más tarde se unieron entre otros Alex Sotirov y Jake Appelbaum) en el que demostraban como falsificar un certificado de clave pública utilizando los ataques contra la función hash de MD5 (seguro que recordáis algo de unas PlayStation 3...). Tenéis más información en nuestro post titulado MD5: Tocado, hundido y encima, muere matando. La charla será en castellano.

Seguidamente, le toca el turno al primero de los dos coloquios, titulado Tendencias de Malware (de 10:30h a 12:00h), en el que participarán Ero Carrera (Virus Total), José Bidot (Segurmática) y Emilio Castellote (Panda). El segundo coloquio "Mitos y realidades del Hacking" (de 12:45h a 14:45h) contará con la participación de Luis Guillermo Castañeda (Rusoft), Fermín Serna (Microsoft), Chema Alonso (informatica64) y nuestro compañero Alejandro Ramos (SIA).

El evento es gratuito, y tenéis hasta el 27 de Noviembre para realizar la pre-inscripción al evento. Es una cita que no os podéis perder si estáis por la zona o tenéis intención de pasaros por Madrid. Pero tranquilos, antes de que nos preguntéis si se van a grabar los coloquios y la conferencia...como sucedió en años anteriores, el evento se retransmitirá via streaming, cuyo enlace os anunciaremos cuando se haga público. Para los que tampoco puedan asistir a la retransmisión, todo el contenido se publicará más adelante en el canal de la UPM en Youtube.

Leer más...

04 noviembre 2009

SANS Forensics: Análisis de SpyKing

SpyKing es un software que permite vigilar tu ordenador, registrando de forma secreta las pulsaciones de teclado, conversaciones de chat y mensajería instantánea, páginas visitadas, correos leídos, contraseñas tecleadas, documentos abiertos y programas ejecutados. También puede tomar capturas de pantalla como si de una cámara de vigilancia se tratase.

Se puede ejecutar en modo oculto sin ser visible para los usuarios de la máquina. Además, dispone de un panel de control desde el que se puede monitorizar la actividad de la máquina y recibir toda esta información en nuestro correo personal o vía ftp. Puede ser usado por padres que quieran controlar las actividades de sus hijos en la red, monitorizar empleados, e incluso investigar crímenes.

En SANS Computers Forensics han publicado un análisis bastante completo sobre esta herramienta.


En él, comentan que a pesar de todo el bombo que se le ha dado, el programa deja una gran huella en el sistema para ser un programa de spyware. El tráfico no está cifrado por lo que es fácil configurar filtros para monitorizarlo.

Lo peor de todo (o mejor, según ser mire), es que el software es fácil de encontrar en el registro y también es posible tracear su existencia analizando el disco duro.

Leer más...

03 noviembre 2009

SPAM, SPAM! y el registro de usuarios...

Todos conocemos ya el origen de la palabra Spam (spam with eggs!), y es para evitar estos correos molestos que acaban llegando a nuestro buzón cuando nos registramos en cientos de páginas web, que se han creado servicios que proveen cuentas de correo temporales y de un solo uso.

Su funcionamiento es muy sencillo; únicamente nos solicita un nombre de usuario y a los pocos instantes tendremos una cuenta de correo que no requiere registro ni credenciales, algo similar a un apartado de correos anónimo (o todos los que queramos), donde enviar a todos aquellos que sabemos que no necesitan conocer nuestra dirección de correo real.

Entre los más populares se encuentran los siguientes:
Incluso se ha liberado el código de alguno por si queremos montarlo sobre nuestros sistemas: PookMail.com

En ocasiones, algunos de estos dominios están prohibidos y no son permitidos a la hora de hacer un registro. En general, siempre se dejan varios de ellos sin cubrir y uno acaba montándose el suyo propio para evitar la salvaguarda.

En el caso de Bitacoras.com, tras el concurso de votos, acabaron añadiendo @spam.la como dominio no permitido, pero todos los demás podían seguir utilizándose. De esta forma trataban de evitar el registro masivo de usuarios de forma automática tal y como ocurrió con el concurso de Eurovisión. Además, recientemente (ayer) han incluido su magnífico captcha en el registro y la comprobación de la cabecera User-Agent (que define la versión del navegador) para calcular si la petición está realizada automáticamente o de forma manual.


Una buena opción para solucionar el problema es usar recaptcha.net u otra librería de captchas "de verdad", además de controlar las direcciones IP desde las que se hace el registro, tal y como se hace en Meneame.net.

Un ejemplo de la prueba de concepto en el siguiente video




Leer más...

02 noviembre 2009

Una implantación de C(r)aptchas. Bitacoras.com

Los captchas es un tema que hemos tratado en este blog repetidas veces, como la ocasión de Tuenti, de Digg, el caso de MegaUpload o la charla del Curso de Verano de Salamanca. Hoy, aprovechando que se han dado a conocer los nominados finales en los premios Bitacoras.com repetimos con su curioso y divertido caso, que a más de uno le hará sonreír de medio lado.

Bitacoras.com para muchas de sus tareas implanta esta contramedida con el objetivo de evitar procesos automáticos, como por ejemplo en la inserción de noticias o durante el concurso de blogs, sumar votos.



Si nos fijamos en la dirección de origen del captcha (la etiqueta IMG), se puede observar que está formada por un hash md5. En este caso: 7d1f58aeb175fd9c9425467c480cfc7f que corresponde con el texto de la imagen: 859061CD y que en todos los casos en las imágenes generadas su texto corresponde a un tamaño de 8 caracteres de un mapa hexadecimal, es decir, siempre se compondrá con los caracteres: 0123456789ABCDEF.

[f00f@sbd bitacoras]$ echo -n '859061CD' |md5sum -
7d1f58aeb175fd9c9425467c480cfc7f -


Con esta información es suficiente para encontrar un sistema rápido que permita saltarse el control sin necesidad de procesar la imagen del captcha, que por otro lado, y sea dicho de paso, es fija en tamaño, colores y rotación, así como en la imagen de fondo. Lo que la convierte también en muy débil ante otros ataques de tipo OCR.

Volviendo al nombre de archivo y su contenido, con las tablas rainbow podemos generar una combinación con todas las posibilidades en un tamaño de 640Mbs y consultarla cada vez que se solicite un captcha.

Para generar las tablas, primero es necesario modificar el archivo 'charset.txt' y añadir la línea siguiente línea:
alpha-hex = [ABCDEF0123456789]
Posteriormente se genera y ordenando la tabla con el comando "rtgen"

[f00f@sbd bitacoras]$ ./rtgen md5 alpha-hex 8 8 0 1000 40000000 0
hash routine: md5
hash length: 16
plain charset: ABCDEF0123456789
plain charset in hex: 41 42 43 44 45 46 30 31 32 33 34 35 36 37 38 39
plain length range: 8 - 8
plain charset name: alpha-hex
plain space total: 4294967296
rainbow table index: 0
reduce offset: 0

generating...
100000 of 40000000 rainbow chains generated (0 m 49 s)
[...]

[f00f@sbd bitacoras]$ ./rtsort md5_alpha-hex#8-8_0_1000x40000000_0.rt

Tras finalizar, ya se puede consultar sobre las tablas los nombres de archivo y por lo tanto, averiguar su valor:

[f00f@sbd bitacoras]$ ./rcrack *.rt -h 7d1f58aeb175fd9c9425467c480cfc7f
[...]
searching for 1 hash...
cryptanalysis time: 0.00 s
5984 bytes read, disk access time: 0.00 s
searching for 1 hash...
cryptanalysis time: 0.00 s
5984 bytes read, disk access time: 0.00 s
searching for 1 hash...
plaintext of 7d1f58aeb175fd9c9425467c480cfc7f is 859061CD
cryptanalysis time: 0.00 s

statistics
-------------------------------------------------------
plaintext found: 1 of 1 (100.00%)
total disk access time: 0.03 s
total cryptanalysis time: 0.76 s
total chain walk step: 498501
total false alarm: 309
total chain walk step due to false alarm: 119601

result
-------------------------------------------------------
7d1f58aeb175fd9c9425467c480cfc7f 859061CD hex:3835393036314344

En algunas pruebas el tiempo que ha tardado en obtener el resultado es menor al segundo y en otros ha llegado a superar los 10. En cualquier caso, es una espera más que aceptable para una resolución del 100%.

Agradeceros a todos los votos recibidos. Nos habéis situado en los seis primeros puestos, siendo realmente el primer blog íntegramente de seguridad de la categoría, que por otro lado, no entiendo muy bien la mezcla con los de Software.

Adelantaros que en nuestra próxima entrada contaremos, como se podría haber clasificado un blog con unos cuantos comandos que sumarían votos automáticos. Algo que desde luego no hemos hecho nosotros que finalmente hemos quedado sextos :-)


Leer más...

01 noviembre 2009

Gadgets de seguridad para geeks

La proporción de aparatos tecnológicos a personas en tu casa es de 4 a 1, tienes una caja enorme de cables que nunca usas, tu hábitat natural es la red, le hablas a tu ordenador, no sabes lo que es estar bronceado, hablas un lenguaje que tus compañeros no entienden... tienes madera de geek.

Si además tus amigos dicen que eres un paranoico de la seguridad, sólo porque piensas que al otro lado de la red hay alguien que conspira contra ti, y siempre andas buscando evidencias de algún ataque en alguna de tus máquinas.

No pueden faltar en tu colección de artilugios algunos de estos gadgets de seguridad:


Spy Keylogger: te permitirá grabar las pulsaciones de teclado de tu víctima. Disponible tanto para teclados USB como PS/2.

Puede ser usado por padres "preocupados" por la seguridad de sus hijos en la red, monitorizar actividad sospechosa en tu trabajo, o cazarle las contraseñas a tu pareja.



Falsa cámara de vigilancia: te ayudará a proteger tu cuartel general de mirones, esa habitación con tus ordenadores en donde no quieres que anden fisgoneando.

Incluye un LED para hacerlo más realista. Más de uno se lo pensará dos veces antes de intentar cotillear tu correo.


Detector de micrófonos ocultos: ¿tienes paranoias de que alguien pueda estar escuchándote? Con este aparato podrás detectar micrófonos wireless y transmisores que pueda haber escondidos en tu casa, oficina o habitación de hotel.



Kit de pruebas RFID: te será útil si deseas aprender más sobre esta tecnología sin necesidad de destrozar tu pasaporte.

Dispone de un software para descargar que te permitirá leer más de una docena de etiquetas.
Leer más...