31 marzo 2010

How to bypass la ley Sinde

Internet, miles de redes conectadas entre sí, millones de ordenadores compartiendo información.

Algunos gobiernos piensan que el acceso ilimitado a la información es peligroso y perjudica sus intereses económicos. Es bien conocido el cortafuegos de China, o las políticas en Arabia Saudí, Vietnam, Siria, Emiratos Árabes, etc.

El pasado 19 de Marzo se aprobó el anteproyecto de la Ley de Economía Sostenible que probablemente entre en vigor a finales de junio.

Esta ley contempla la creación de una Comisión de Propiedad Intelectual dependiente del Ministerio de Cultura para salvaguardar la propiedad intelectual en la Sociedad de Información, que podrá actuar para que se interrumpa la prestación de un servicio de la sociedad de la información o para retirar los contenidos que vulneren la propiedad intelectual por parte de un prestador con ánimo de lucro, directo o indirecto, o de quien pretenda causar un daño patrimonial.

Inicialmente se habla del cierre de sitios web con enlaces, pero quién sabe si revisarán todas las denuncias que les lleguen, o si de 100 denuncias recibidas leerán las 20 primeras y decidan bloquearlas todas.

El bloqueo a determinadas páginas web probablemente se lleve a cabo mediante bloqueo de IP y bloqueo de DNS.

Una posible solución para saltarse estos bloqueos sería cambiando nuestros DNS por alguno de fuera de nuestro país. Disponemos de servidores de DNS públicos ofrecidos por:
Podría ocurrir que los jueces solicitasen a los ISP el bloqueo de las peticiones contra servidores de DNS fuera del país y todo nuestro tráfico fuera monitorizado. Por lo que las soluciones para cifrar el tráfico también nos serán de utilidad. Disponemos de algunas soluciones como:
  • Tor: proyecto libre que protege del análisis de tráfico transmitiendo las comunicaciones a través de una red distribuida de repetidores llevados por voluntarios de todo el mundo, evitando que alguien pueda observar que sitios visita y que se conozca su posición física.
  • OpenVPN: solución de código abierto de VPN SSL que se adapta a una amplia gama de configuraciones, incluyendo acceso remoto, VPNs site-to-site, seguridad Wi-Fi, y soluciones de acceso remoto a escala empresarial con balanceo de carga, failover, y control de acceso de grano fino.
  • Megaproxy: servicio web de pago VPN SSL que permite navegar de forma segura y privada a cualquier lugar sin necesidad de instalar software adicional.
  • BlackLogic: servicio VPN que permite la navegación anónima, con cifrado VPN basado en IPSec con clave de 128 - 2048 bits, proporcionando seguridad y privacidad.
  • AliveProxy: servicio VPN que proporciona al usuario una IP dinámica, cifrando el tráfico mediante SSL de 128 bits, protección antivirus de McAfee y opciones de filtrado de contenidos (ActiveX, applet de Java, scripts, pop-ups, cross-domain referer)
  • Ipredator: servido de pago de navegación que ofrece seguridad y anonimato, además no guarda logs.
El cierre de sitios web o el bloqueo de DNS no serán suficientes para evitar que las personas accedan a la información. Porque la tecnología siempre irá un paso por delante de quienes intentan acotar los límites.
Leer más...

30 marzo 2010

Cifrado mas robusto en Windows con Harden SSL

Según avanza la criptografía, los algoritmos diseñados van envejeciendo y como es lógico, algoritmos que hace unos años se les consideraba robustos, poco a poco dejan de serlo. Lamentablemente el usuario de productos 'finales' suele estar condenado a padecer un 'efecto-legacy' y forzado a convivir con productos que siguen empleando algoritmos desfasados en el tiempo.

Hace tiempo lanzamos FFHardener como herramienta para securizar instalaciones de Firefox y en el, hicimos especial hincapié en deshabilitar ciertos protocolos y algoritmos que distan mucho de ser recomendables para el uso de comunicaciones cifradas.

Tiempo atrás hablamos de un producto de G Sec que permite auditar un servidor HTTPs y localizar los algoritmos soportados (y hace mas tiempo hablamos de eso mismo y la administración pública).

Ahora es tiempo de presentar a 'Harden SSL' herramienta que permite re-configurar windows de forma que podamos seleccionar el uso / no uso de ciertos algoritmos criptográficos. Dado que Internet Explorer hace uso de las funciones nativas de Windows a la hora de emplear criptografía, los cambios hechos desde esta herramienta afectan a IE (google Chrome idem).


El uso de la herramienta es bastante intuitivo y simplemente hay que hacer doble click sobre el algoritmo sobre el que se quiera habilitar / deshabilitar.

Consejos:

Fuera SSL 1.0 / 2.0 (lo ideal es usar solo TLS, si algunas webs realmente obsoletas fallan, habilitar SSL 2.0)

Fuera RC4 y MD5

Como nota favorable sobre el producto, hay que señalar que permite realizar los cambios de la configuración en sistemas remotos (siempre y cuando tengas privilegios sobre ellos -obvio-)
Leer más...

29 marzo 2010

Las bacterias de tu piel te delatan

Como dirían Horatio o Grissom en CSI al analizar la escena de un crimen, todo lo que tocamos deja trazas que posteriormente nos pueden obligar a sentarnos ante un juez para decidir nuestro domicilio durante los siguientes años.

Resulta sorprendente poder distinguirnos unos de otros según lo que hayamos tocado previamente por el tipo y proporción de bacterias que habita en nuestra piel. Según un estudio de investigadores de la Universidad de Colorado, las comunidades de bacterias que viven en la piel humana puede delatarnos al quedar impregnadas en los objetos que tocamos. Asimismo, muestras de ese "ADN" compuesto por nuestras bacterias se pueden obtener de superficies pequeñas (en el caso explicado se hizo de las teclas de un teclado y de un ratón de PC) y se puede identificar entre diferentes individuos de una comunidad (entiendo que no muy grande) quién fue el que lo tocó.

El Proyecto del Microbioma Humano del Instituto de las Ciencias del Genoma pretende determinar la relación las bacterias de nuestro organismo y nosotros mismos.

Desde el punto de vista de la autenticación biométrica ¿Hasta dónde puede ser fiable utilizar las bacterias de nuestra piel para identificarnos?

De momento, la ciencia del microbioma está aún en una etapa muy joven de su vida y le queda mucho por avanzar. Quién sabe si lo que ahora nos parece ciencia ficción en un futuro próximo sí que resulta posible y ya podemos dejar de aprender contraseñas para acceder a nuestros PCs, teniendo todos los PCs, claro está, un lector de bacterias de las yemas de los dedos para identificarnos unívocamente!!!

Sinceramente, a mí me parece muy complicado, puesto que hay que tener en cuenta cómo varían en el tiempo las bacterias de la piel impregnadas en los objetos, así como la mutación de los mismos al cambiar el individuo de clima, al darle la mano a otros individuos, al aplicarse cremas o aceites, etc... Vamos, que un fin de semana cambias tus hábitos y el lunes no puedes iniciar sesión en tu PC!


Leer más...

28 marzo 2010

Cumplimiento normativo vs seguridad

Por las experiencias de la vida diaria sabemos que si no nos ponen una serie de normas escritas y de obligatorio cumplimiento, los seres humanos actuamos de la forma que el sentido común nos dicta (algunos no sé si llegaron a encontrar ese sentido común en algún sitio pero bueno). Si no nos dicen que la velocidad máxima en una autopista es 120 km/h el sentido común nos diría que en algunos casos podemos exceder el límite con total garantía. Sin embargo, esa ley, aunque obsoleta y basada en las capacidades de seguridad de los vehículos de los años 80, no se ha actualizado ni a las infraestructuras actuales ni a las mejoras de seguridad de los vehículos.

Hace tiempo leí en una discusión de un grupo LinkedIn al que estoy suscrito algo que suscribe una conclusión a la que llegué hace tiempo: en el caso de las empresas ¿se ponen los medios y recursos únicamente para cumplir con las normativas de seguridad que les exige el sector o realmente les preocupa el valor de la información que manejan?

Las empresas, amenazadas por las leyes sobre el tratamiento de la información, desarrollan metodologías de protección de datos a fin de evitar las brutales multas que, desgraciadamente en menos ocasiones de las que deberían suceder, las autoridades imponen cuando se detectan irregularidades con la información de los usuarios/clientes.

La comparación entre las empresas y el ejemplo del límite máximo de velocidad de las autopistas tiene bastante que ver. Es decir, que los conductores respetemos el límite de 120 km/h (cuando el sentido común lo indica) para evitar las multas que la DGT impone "por nuestra seguridad" (aunque todos tenemos claro el porcentaje recaudatorio de estas medidas); de la misma manera, las empresas no se preocupan (en una gran cantidad de ellas) de la seguridad de los datos que gestionan, así como del establecimiento de buenas prácticas basadas en la seguridad como principio fundamental para el tratamiento de los mismos. El objetivo que les mueve es el cumplimiento de las normativas vigentes en cada sector/país para evitar sanciones: nada más.

Afortunadamente, aun quedan empresas compuestas por personas con vocación y motivación suficiente, que puestos a implantar una herramienta de seguridad (cortafuegos, IPS, WAF, correlador de eventos, etc,...) no sólo se guardan en un cajón (físico o digital) los informes y/o logs que proveen como resultado para cuando alguien los pida, sino que además se analizan y se impulsan acciones de mejora. Sin embargo, hay otras que se limitan a rellenar la checklist de cada normativa con ¿contáis con un dispositivo para mitigar el riesgo X? Sí, aunque el equipo esté apagado, mal configurado o funcione en modo router sin filtrar ningún ataque.

En el caso de los conductores, el disponer de carreteras con rectas interminables y que sus vehículos no pasen de las 3000 rpms para ir a 120km/h, provoca cuanto menos aburrimiento, monotonía e incluso sueño. Esto, lejos de mejorar la seguridad vial, desde mi punto de vista, genera nuevos riesgos. Quizá el límite debería venir marcado por más parámetros que el tipo de vía, sino, condiciones climáticas, edad del coche, años de carnet del conductor, etc,...

OFFTOPIC: Hay iniciativas como Movimiento140.com que piden un aumento bastante sensato en los límites de velocidad.

Leer más...

27 marzo 2010

¿Entienden los adolescentes el concepto de privacidad?

¿Respetan la privacidad de las cuentas personales en redes sociales, cuentas de correo electrónico de su pareja, amigos y familiares?

Un estudio realizado por la empresa de seguridad Tufin Technologies a adolescentes británicos muestra que:

Un cuarto de los adolescentes han intentado acceder a cuentas ajenas.

El 78% de estos admitió que sabía que estaba mal pero esto no les detuvo.

El 46% admitieron que lo habían hecho por diversión, mientras que el 20% lo hizo para ganar dinero. Y el 5% dijo que lo considera una futura profesión.

El estudio también revela que el 25% de los adolescentes curioseo las cuentas de Facebook, el 18% intentó acceder al correo electrónico de sus amigos y el 5% admitió haber intentado acceder al sitio web de su escuela.

El 27% admitieron haber utilizado su propio PC, mientras que el 22% usaron los ordenadores de cibercafés y un 21% utilizó los ordenadores de su escuela.


Si este estudio se hubiera hecho hace 10 años las cifras habrían sido menores, pero debemos tener en cuenta que la proporción de adolescentes con conocimientos en informática y la cantidad de información que hay en Internet es mayor que años atrás.

Durante la década pasada, los jóvenes veían como reto saltarse el acceso de máquinas en las universidades, el instituto, ahora son las redes 2.0. Es natural que los jóvenes sean rebeldes y necesiten superar ciertos retos, pero deben saber las consecuencias que tiene sobrepasar la línea.
Leer más...

26 marzo 2010

Ataques de contraseñas, password cracking - 2 de 2

Tras la primera parte de la entrada sobre ataques en contraseñas y Password Guessing continuamos con el siguiente: password cracking.

PASSWORD CRACKING

El cracking de contraseñas consiste en intentar obtener el valor en claro de algún elemento cifrado.

Lo más común en un test de intrusión es ejecutar el ataque contra los ficheros de contraseñas de los sistemas operativos y aplicaciones en los que se obtenga acceso mediante exploits, errores de configuración o accesos físicos .

Las ventajas de este sistema es que ninguna cuenta será bloqueada y pueden utilizarse uno o varios sistemas para paralelizar las tareas y ganar velocidad. En general una vez extraídas de la fuente, el proceso se llevará acabo localmente.

Los archivos de contraseñas más comunes en sistemas Unix son:
  • Linux, Solaris: /etc/passwd y /etc/shadow
  • AIX: /etc/security/passwd
  • HPUX: /tcb/files/auth/*
Aunque siempre se puede consultar en guías del estilo Unixguide.net otras rutas. Para todos los casos es necesario disponer de un usuario con privilegios de root.

Los cifrados más típicos para estos ficheros son 3Des, MD5 (que comenzarán por $1$), BSDi, SHA256 ($5$) y SHA512 ($6$). Para lo que lo normal es utilizar la aplicación John The Ripper, aunque aún no tiene soporte  nativo para SHA512 o SHA256 usados en los últimos Linux. En este caso será necesario aplicar un parche.


Si disponemos de un hash del que desconocemos el algoritmo de origen, se puede consultar la web de John para tratar de averiguarlo por su formato.

En el caso de los sistemas Windows se definen dos algoritmos:
  • LANMAN (LM): en sistemas hasta XP
  • NT Hash (NTLM): en 2008, Vista y windows 7.
LANMAN tiene varias debilidades importantes, no diferencia entre mayusculas y minúsculas, lo que reduce el número posible de combinaciones y añade datos a contraseñas inferiores de 8 carácteres, por lo que observando la terminación del hash (AAD3B435B51404EE) es posible saber si es mayor o menor de este tamaño.

Además de ser Administrador o SYSTEM, para volcar las contraseñas en sistemas Windows es necesario utilizar aplicaciones del estilo Pwdump en alguna de sus múltiples versiones.

Las opciones más comunes y comodas para el cracking de contraseñas son el uso de técnicas "time-memory-trade-off" o rainbow tables. Con las que previamente se almacenan  en ficheros todas las combinaciones posibles para posteriormente ser consultadas.

Las herramientas para la generación de Rainbow tables:
Aunque estas tablas también pueden descargarse de sitios como:
Cualquier archivo con contraseña puede ser objeto de password cracking, como documentos ofímaticos PDF, DOC, XLS, PST, en los que se usará aplicaciones tipo Wondershare o ElcomSoft
Leer más...

25 marzo 2010

Recopilación de videos de congresos de seguridad

Siguiendo a la espera de los vídeos de las ponencias de la pasada Rooted CON 2010, podremos de momento saciar nuestras ansias de conferencias, diapositivas y demos con esta recopilación de repositorios de vídeo de congresos de seguridad informática.

Prepara tu programa favorito para descargas masivas, libera tu ancho de banda de descargar series, reserva un buen espacio en tu disco duro, limpia la pantalla, compra patatas fritas y redbull, y que empiece el maratón:

¿Alguna recomendación más? ¡Este post está en constante actualización!
Leer más...

23 marzo 2010

am I Spammer? Tercera versión disponible

Como ya hemos hecho en otras ocasiones, queremos compartir con vosotros una nueva versión de amISpammer, una herramienta pensada para poder saber si una dirección IP (o todos los registros DNS MX de un dominio) aparecen en alguna lista negra de entre unas 90 diferentes. Usándola a diario podemos comprobar por ejemplo si la IP de nuestro servidor de correo se encuentra en alguna de estas listas negras dando lugar a un servicio degradado de correo saliente.

¿Diferencias con las versiones anteriores?
Se puede decir que la versión 2 ya había cubierto lo que se le puede pedir a una herramienta de estas características (de hecho, sólo se me ocurren trivialidades para añadir a la funcionalidad de amISpammer), por lo que en esta última publicación no hay cambios importantes en cuanto a funcionalidad, pero sí a nivel de funcionamiento interno.

Anteriormente se hacía uso de un servicio ofrecido vía web por whatsmyipaddress.com, solicitando un icono por cada RBL, y según el color de cada uno, concluir si la IP aparece o no listada en dicha RBL. Cuando se hace esta pregunta vía web, se hace exactamente lo mismo pero de una forma gráfica.

En la versión actual, la forma de identificar si una IP aparece listada en una RBL, se efectúan peticiones DNS a registros TXT invirtiendo la IP a buscar y añadiendo al final el FQDN de la RBL a preguntar. Si existe, contendrá la razón por la que aparece listada. Esto se utilizaba anteriormente en aquellas consultas que se extraían de whatsmyipaddress.com reportadas como listadas únicamente. Actualmente se hace para todas.

Debido a esto, ya no hay 3 niveles de detalle posibles en la ejecución, sino sólamente 2, es decir 0 ó 1 dependiendo de si queremos que nos muestre solo aquellas RBLs en las que la IP aparece listada o que nos muestre una a una las RBLS diciendo que está o no está. Además se ha añadido un timeout para la solicitud de resolución DNS de 5 segundos.

¿Por qué esta nueva versión?
Si la anterior versión de amispammer funcionaba correctamente, ¿por qué crear una nueva que no añade gran funcionalidad ni mejora de rendimiento? Pues la respuesta viene motivada debido a los comentarios hechos en Barrapunto en la publicación anterior.

En ellos se achacaba por parte de unos pobrecitos habladores y de un único individuo identificado como "raposo", que la herramienta hacía uso del trabajo de otra web (que pedía que no se scripteara, etc, etc,...) sin reconocer su valía, lo cuál no es del todo cierto puesto que se indicaba de donde se sacaba la información de las RBLs para cada IP, así como proveer del código fuente para que el que quiera lo adapte.

Otro "pobrecito hablador" (qué fácil es lo de rajar y/o trollear bajo el escudo del anonimato) indicaba que el programa podía ser un DDOS por hacer muchas llamadas a un CGI de un servidor y firmaba con un "Vaya expertos que están hechos xD". En realidad, tanto vía web como con el script en Perl, se hace lo mismo y al mismo tiempo, es decir, pedir un grupo de recursos pertenecientes a un servidor (en forma de iconos); la única diferencia estriba en que no se ve la publicidad de Googleads o de Doubleclick que el servidor original ofrece. A efectos de "sobrecarga al servidor" posiblemente incluso sea menor vía script que pidiéndolos a una web que contiene aún más elementos (la publicidad viene de otras fuentes, claro está).

No obstante, y para calmar a las mentes más puras y éticas de la Comunidad, en esta versión, la comprobación se hace a través de medios públicos como son los registros DNS TXT, de manera que no se hace ahora uso del servidor whatsmyipaddress (sin sobrecargas y sin aprovecharse del trabajo de los demás "sin decirlo" xD).

Como ventaja al script elaborado por Jordi Prats del blog Systemadmin.es, es el rendimiento debido a que se lanzan las queries todas a la vez mediante la utilización de threads, así como la notificación directa por correo electrónico en caso deseado si aparece la IP listada en alguna RBL. El script de Jordi tiene la ventaja de poderse integrar como plugin de Nagios.

Descargas
Como es habitual, la última versión (22/03/2010) de la herramienta se puede descargar desde aquí

Leer más...

21 marzo 2010

Rooted CON 2010: Día 3 (EOF)


Última jornada del congreso, que se presentaba de nuevo con un montón de ponentes y ponencias interesantes, aún sólo disponiendo de ellas un pequeño resumen y biografía. ¡Para que más!

Sábado, día complicado debido a que como no, el día anterior muchos aprovecharon para festejar el viernes por todo lo alto, otros para intentar descansar y pasar menos tiempo en la sala esperando al comienzo.

La jornada iniciaba mostrando dos hechos: en primer lugar, se mostró el reportaje realizado por Cuatro sobre el Congreso. Justamente lo referenciamos ayer en la línea final de enlaces del post del resumen del día 2. En segundo lugar, se mostró la noticia de la aprobación de la llamada "Ley Sinde" por parte del Gobierno. Las medidas contra la piratería en Internet fueron finalmente aceptadas sin modificaciones sustanciales. Una noticia que dará mucho que hablar estos días en distintos lugares.

Y ahora, comencemos con el repaso breve de cada una de las charlas:

Seguridad y explotación nativa en Android por Javier Moreno y Eloi Sanfélix
Javi y Eloi abrieron la jornada con un repaso sobre exploiting en dispositivos Android (ARM) que provocaron muchos aplausos del público aún siendo esta la primera ponencia del día. Gran trabajo, en el que pudimos ver demos lanzando exploits específicos de Android para cada técnica dentro del framework de metasploit (pronto se liberará todo el material) contra un emulador del dispositivo que tenía una aplicación de prueba vulnerable escuchando como root.


New w32 hooking skills por David Reguera
David explicó en la ponencia un método capaz de suplantar DLLs del sistema, en tiempo de ejecución, y con ello poder interceptar cualquier llamada en dichas DLLs y realizar la función que se desee. Se mostraron varias técnicas que finalmente, dieron lugar a demos esclarecedoras. Podréis leer más información sobre sus técnicas en el número 65 de la revista Phrack, tanto en inglés como en español.

Hackers, encerrados en la viñeta por David López López
David López, dibujante de la "chica" de RootedCON y que justamente estuvo firmando posters durante el día 2 del congreso, estuvo repasando la figura del hacking en el mundo del cómic, tanto en las editoriales de Marvel como D.C. Comics. El mensaje transmitido fue que era complicado intentar llegar este mundillo del hacking y la seguridad informática a los cómics, dónde los japoneses llevaban una ventaja abismal y no les importaba en absoluto tratar el tema tal y cómo es, sin importar el nivel tanto del lector como del dibujante. Quedó claro que Ghost In The Shell es seguramente la mejor obra con esta temática que existe hasta la fecha.

iPhone + Botnets = FUN por David Barroso
A modo de historia, David Barroso ha conseguido ponernos al día de lo que está suponiendo la red Zeus en Internet, y nos planteaba el mismo escenario para sistemas iPhone los cuales no tengan una de sus medidas de seguridad establecidas: cambiar la password de root del dispositivo (alpine) para que no siga por defecto y conocida por todo el mundo. Además, David dió un estupendo repaso a aquellos ficheros, tanto .plist como bases de datos sqlite de los que se puede obtener cualquier tipo de información de este terminal de Apple.


Presentación de la FOCA 2.0 por Chema Alonso
La FOCA 2.0 pronto se publicará, y Chema presentó en RootedCON más información sobre las nuevas funcionalidades de esta herramienta. Aún teniendo en cuenta metadatos para la obtención de información, se ha potenciado la posibilidad de descubrir más sobre las redes que componen al objetivo. Se aprovechan además funcionalidades como la que ofrece el buscador shodan para obtener información sobre los servidores, ya sea el tipo del producto, versión, entorno, etc. Una herramienta que poco a poco, se come el terreno del proceso de obtención de información en cualquier auditoria de sistemas.

Generating Spanish Stegotext for fun and profit por Alfonso Muñoz
Alfonso Muñoz nos presentó Stelin, una herramienta para poder ocultar información en texto digital. Lo más curioso es la capacidad de dicha herramienta de que ese texto generado tenga un sentido sintáctico y semántico que roce la perfección. Me gustó especialmente su interés por la investigación en esconder mensajes en otro tipo de entornos, aunque obviamente, es un tema que asuste en los tiempos que corren. Más información sobre la herramienta en este enlace.

Exploits y mitigaciones: EMET por Fermín J. Serna
Fermín, que venía directamente desde Estados Unidos (había sido explotado mediante técnicas de jetlag...), nos explicó los diferentes tipos de mitigaciones de seguridad para entornos Windows, resultando un resumen indispensable para todos aquellos que estén interesados en la explotación de estos entornos. El fin era presentarnos a su churumbel EMET (Enhanced Mitigation Evaluation Toolkit), herramienta que se liberó gratuítamente en Octubre del año pasado y que consistía en un conjunto de herramientas que es capaz de añadir este tipo de mitigaciones de seguridad a cualquier herramienta que se especifique. Podréis encontrar más información en este enlace con la versión 1, pero pronto seguro que podremos descargarnos la versión 2.

Entrega de premios del concurso CTF y clausura de Rooted CON 2010
Antes de la clausura del congreso, se celebró la entrega de premios del concurso CTF que se llevaba celebrando desde el día 2. Los ganadores de esta primera edición fueron whats (Albert Sellarès) que ganó el primer premio llevándose 3.000€, Daniel Kachakil quedando segundo (2.000€), y el tercer puesto para halt (1.000€). Unos auténticos cracks, tanto los ganadores, como participantes, como organizadores de excepción de este concurso que hizo que los participantes se pudiesen llevar deberes para la noche del 19 al 20.

RootedCON 2010 se acabó, han sido 3 días que difícilmente podrán ser olvidados. Unas charlas impresionantes, unos ponentes de excepción y más de 400 asistentes con muchísima ilusión por poder asistir a un congreso de calidad sin tener que actualizar el pasaporte o estar en un avión más de 1 hora como mínimo. Ahora sólo queda esperar a la distribución de todo el material posible que ha salido de este congreso.


[+] RootedCON
[+] #rooted2010, #rootedcon, #rootedcon2010
[+] Reportaje sobre el congreso en Antena3 y Cuatro.
[+] RootedCON 2010: Crónica del día 1
[+] RootedCON 2010: Crónica del día 2
Leer más...

20 marzo 2010

Rooted CON 2010: Día 2

Después del primer día de Rooted CON 2010, tocaba el turno de una segunda jornada, la cual según el horario de ponencias tendría un enfoque diferente al del primer día, como es el técnico. Además, el inicio del concurso de CTF estaba programado a primera hora, paralelamente a la primera charla del día, tras una pequeña introducción. Los asistentes fueron llegando poco a poco, hasta ir completando la sala, a pesar de ser un día festivo y, según se podía leer en varios twitters, la noche anterior.




A continuación, pasaremos a comentar muy brevemente cada una de las ponencias (por lo que hemos averiguado, se publicarán las ponencias, pero no únicamente la presentación como tal).

FuckWALL - Bypassing firewalls, por Antonio López y Javier Medina

Lo que puede dar de sí un aparente e inofensivo comando "net use" en entornos Windows, y si no que se lo digan a un buen puñado de firewalls. Antonio y Javier, en la primera ponencia del día 2 de Rooted CON nos mostraban una herramienta cliente-servidor diseñada para permitir la comunicación tanto unidireccional como bidireccional desde un host cliente que esté siendo monitorizado por un firewall a un cliente sin que sea filtrada y sin haberla establecido como permitida.



Para ello, se aprovecharán tanto debilidades del diseño de un buen conjunto de firewalls personales como del driver de WebDAV de Microsoft. En las demos se pudo ver la herramienta FuckWALL en funcionamiento, y su potencial.

Paralelamente se iniciaba el concurso CTF de Rooted CON 2010 en otra sala del centro de convenciones, tras una pequeña introducción del sistema por parte de los organizadores. Los premios consisten en 3.000 euros para el ganador, 2.000 para el segundo y 1.000 para el tercer clasificado.


Todos los asistentes podrían visitar la sala del concurso, pudiendo conocer el estado en tiempo real tanto de las pruebas como de las puntuaciones, que han estado muy reñidas durante el día.

CCN-CERT, respuesta a incidentes para la administración pública

Marcos Monge nos presentó las últimas novedades con respecto al portal web del CCN-CERT, mostrando cursos de formación en formato e-learning, guías de seguridad de diferentes sistemas operativos y tecnologías. Otro servicio interesante es el de antivirus online y feed RSS para mantenerse al día en cuestión de vulnerabilidades o noticias.

La seguridad como sistema: Factores limitantes y evolución en el tiempo, por Antonio Ramos

Antonio nos deleitó con una charla amena y divertida en la que se expuso el concepto de factor limitante, su importancia de poder identificarlo dentro de una organización y así invertir en lo que realmente es necesario.

WifiSlax 4.0, por Sergio González

En esta ocasión, Sergio nos presentó lo que se cuece dentro de los servidores de desarrollo de la nueva versión de la distribución WiFiSlax. Por desgracia, su intención en un primer momento era poder liberar esta última versión en la propia Rooted CON, pero finalmente a causa del retraso del lanzamiento de la tercera versión de la herramienta Maltego (que se realizará en la BlackHat Europa 2010 en Barcelona). De entre todas las nuevas incorporaciones al conjunto de herramientas (Unhide tiene su hueco dentro de esta recopilación) de esta live, también pudimos conocer que la WifiSlax se distribuirá con una versión de airodump-ng no vulnerable a un 0day. Únicamente pudimos ver un "Thanks to Iñaki L. :)" en esa slide, por lo que veremos si podemos obtener más información en un futuro cercano.

Liberando un 0day en la Rooted CON, por Rubén Santamarta

Era una de las ponencias más esperadas y que más expectación estaba generando, y finalmente, aún no teniendo ninguna duda previa sobre este tema, Rubén no defraudó en absoluto. Pudimos ver mediante ejemplos concretos como, explotando una vulnerabilidad de tipo Cross-Site Scripting podemos llegar a la ejecución remota de código arbitrario. La ingeniería inversa fue clara protagonista de esta ponencia, que arrancó multitud de aplausos por parte de los asistentes.

Radare2 Preview, por Sergi Álvarez y Roi

radare2 es una herramienta cuyo desarrollo comenzó paralelamente al de radare (editor de hexadecimal avanzado por consola) del que se tiene intención de dejar de mantener. En esta presentación (compilada on-demand por cierto...), tras la introducción de radare2 por parte de Sergi en su mayor parte, Roi nos mostró varias demostraciones quedando patente el potencial de la herramienta. Proyecto a seguir muy de cerca.



Hackproofing Oracle Financials 11i & R12, por Joxean Koret

Envidiable el análisis de vulnerabilidades realizado por Joxean sobre este producto, quedando demostrado que todos cometen errores, siendo grandes o pequeños, y que lo que empieza mal, mal acaba. Cabe destacar el tiempo de respuesta o reacción por parte de la compañía con el reporte de estas vulnerabilidades. Una pena que no pudiésemos disfrutar de una demo en directo con la explotación de estos fallos, pero a pesar de todo, excelente.

{RootedPanel} - "Hackers Históricos" - Grupo Apòstols, con Jordi Murgó (savage) y Ramón Martínez (rampa), modera SecurityByDefault.com

Broche de oro para esta jornada, que mejor que poder recordar tiempos pasados en la scene underground con dos de los miembros del grupo de hacking histórico español Apòstols, rampa y savage.



Moderado por nuestros compañeros Laura y Alejandro, este RootedPanel nos sirvió para poder conocer un poco más lo que supuso este grupo para la historia del hacking en españa, las diferentes etapas por las que pasaron: la primera marcada por la necesidad de conseguir una conexión a internet y recursos con los que poder aprender más y más, y la segunda por la fusión de algunos de los miembros de Apóstols con un grupo hacker ToXyN. Sobre esta última podréis encontrar más información gracias al post de Yago Hackeos Memorables: Indonesia.

Una mesa llena de anécdotas divertidas, opiniones sobre el pasado, presente y futuro, todo ello gracias a unos visitantes de excepción.

Concluyendo, una jornada con mucho contenido técnico, muy interesante y todavía nos queda la tercera jornada del congreso Rooted CON 2010.



[+] Hashtag de Rooted CON 2010 : #rooted2010
Leer más...

19 marzo 2010

Rooted CON 2010: Round One, Fight!

Ayer, como ya os habíamos anticipado, dio comienzo la primera sesión de actividades y ponencias de la primera edición del congreso de seguridad Rooted CON en Madrid.

SecurityByDefault ha podido, gracias al apoyo de la organización, cubrir ampliamente el evento y contar con acceso privilegiado para todos sus editores. Desde la cena del miércoles noche con los ponentes (un plantel de lo más conocido en el sector en España) ya podíamos aventurar que la experiencia iba a ser sonada.

Así pues, y como todo parecía prometer, las charlas han sido un éxito total (como así demostraban los aplausos y las preguntas a los ponentes al final de las mismas). En líneas generales, todas han sido muy interesantes, aunque las que más espectación nos han generado han sido las siguientes:

  • Fighting Advanced Persistent Threat (APT) with Open Source Tools, impartida por Jaime Blasco, en la que deja bastante claro lo difícil que es luchar o evitar los ataques llamados APT, por su complejidad, novedad e integración de diferentes piezas. Ejemplos de este tipo de ataques han sido Ghostnet (China contra Tibet), Aurora (ataques a Google, Adobe, Juniper...), etc. Asimismo, nos propone una larga lista de herramientas y contramedidas libres a tener en cuenta para mitigar este tipo de ataques: OpenVAS, OSSEC, herramientas SIEM, Snort, Suricata, OpenDPI, NfDump, Nfsen (como plugins para AS), Memoryze, Snare, etc,....

  • ¿Están preparadas las grandes empresas a los desafíos de la Sociedad de la Información? por Gianluca D'Antonio en la que con un saber hacer extramadamente ameno nos ha deleitado con un montón de consejos para lograr un mayor rendimiento en la eficiencia laboral, orientando a los individuos de la Generación Y sobre el mundo empresarial, la importancia de los roles, el entendimiento de las tendencias, la comprensión de los riesgos de la sociedad de la información, etc,... analizando incluso la situación actual en diversas compañías y sectores.
  • Autopsia de una intrusión: A la sombra del chacal, por Pedro Sánchez, una muy interesante ponencia sobre el cibercrimen aplicado a las entidades bancarias y Cajas de Ahorros. Nos ha sorprendido con historias reales de fallos de programación, la mala educación y concienciación de los usuarios finales a la hora de hacer transferencias y dar lugar a fraude online. Asimismo nos ha presentado la herramienta libre KRAV (desarrollada por ATCA) consistente en un motor de detección del fraude basado en scoring a los movimientos hechos por transferencias y alerta inmediata a clientes en caso de sospechar de alguna irregularidad.

  • Operación Triunfo Profesional por Alejandro Ramos. Qué decir de nuestro compañero Alex, que con su peculiar y ameno estilo de contarnos las cosas no sólo evitó el sueño característico de las horas posteriores a la comida, sino que nos hizo pasar un rato divertido e interesante. Dada su experiencia en estas lides, nos dio un montón de pautas a seguir sobre lo que las empresas buscan, cómo preparar correctamente un Curriculum Vitae para no ser rechazados de primeras, triunfar en las entrevistas, y todo lo necesario para defendernos como titanes en el mundo profesional.



Por si os perdisteis algo en la Rooted, podéis ver de nuevo las slides de la presentación de Alex aquí abajo:




Leer más...

18 marzo 2010

Comienza la Rooted CON 2010

Ha llegado el momento que tanto se ha anunciado durante estos últimos meses, del que al principio nos llegaba información con cuentagotas, pero que poco a poco a medida que se acercaba la fecha, íbamos conociendo más detalles: Llega la primera edición de Rooted CON.

Hace menos de un mes os anunciábamos el horario con los 3 días que compondrán el congreso, con charlas que recorren temas como ingeniería inversa, hacking, diferentes técnicas de explotación y sistemas operativos, etc. Además, tal y cómo se anuncian en varios títulos de ponencias, se harán públicas varias vulnerabilidades de tipo 0-day (no publicadas con anterioridad y que únicamente los autores cuentan con sus detalles).


También se dispone de los horarios en los formatos XML, ICAL y HTML.

Nuestro compañero Alejandro dará una charla sobre orientación profesional, titulada Operación Triunfo Profesional el primer día, 18 de Marzo, a las 16:00. Además, al día siguiente como broche final del día 2, SecurityByDefault moderará el RootedPanel de un grupo de hackers históricos que nos contarán más sobre su historia y qué se movía en la scene en su época, sus aventuras...

Podréis seguir toda la información referente al congreso mediante el hashtag de twitter #rooted2010 especialmente creado para esta Rooted CON 2010 y nosotros cubriremos el evento en directo en nuestra cuenta lo mejor que podamos. Al no haber streaming online de video o audio en un principio, esta plataforma se convierte en una manera útil y cómoda de poder acercaros todo lo que vaya ocurriendo por allí (aunque como os podréis imaginar, publicaremos crónicas de cada día, y esperemos que muchos posts más sobre esta experiencia). Las fotos que vayamos realizando se irán colgando en la siguiente dirección de TwitPic, servicio asociado a twitter. Ahí es donde podréis encontrar fotos de otros eventos a los que SecurityByDefault ha asistido.

Leer más...

17 marzo 2010

Revistas de seguridad (online)

Tranquilos que no nos hemos vuelto locos, solo me hacía más gracia insertar una foto de la portada de la revista Hola que de alguna otra revista de seguridad, que por alguna extraña razón no suelen incluir mozas en bikini.

Después de toda la serie de entradas con fuentes de información que hemos ido recopilando poco a poco:


Llega el turno a las revistas en formato digital de seguridad (que diferenciaremos de ezines underground y de los que hablaremos muy pronto). Muchas de ellas ya fueron nombradas en una entrada sobre revistas en papel.

Gratuitas:
Con coste de subscripción:
Leer más...

16 marzo 2010

Muy pronto Asegur@it 7 en Barcelona

Me pregunto qué pensarán los que tuvieron que moverse hasta las Vegas para asistir a eventos internacionales como la BlackHat y poder ver algunas de las charlas que gratuitamente se darán en el próximo Asegur@IT que se celebra en Barcelona el día 24 de Marzo.

Si estás por la zona desde luego que la cita es obligatoria y si no, seguro que merece la pena el desplazamiento.
La composición de las charlas es muy interesante. A primera hora, para despertarnos bien Leonardo y Christian contarán como divertirse jugando con satélites. ¿Enemigo público?

La siguiente charla es completamente instructiva y tratará la tecnología Forefront Unified Access Gateway 2010 de Microsoft y como utilizarla para montar servidores VPN.
Después del café Nico y Raúl, artistas que todos conocimos por el maravilloso Cálico Electrónico nos contarán sus aventuras con Nikodemo.com

En la recta final Dani Kachakil hablará sobre una forma de explotar inyecciones SQL denominada "serialized" y para la que desarrolló una aplicación. En esta sesión se hará una presentación de la nueva versión de la utilidad y una demo de como se usa.

Para finalizar el día, el hombre de la sudadera a rayas y el gorro de lana cerrará el evento con una presentación de la última versión de la herramienta FOCA, publicada pocos días antes y el producto que aplica las contramedidas: MetaShield Protector.

El resumen por horas de la agenda que hay cerrada es el siguiente:

09:00 – 09:15 Registro
09:15 – 10:00 Playing in a Satellite Environment 1.2
10:00 – 10:45 Secure HTTP-s VPN connections
10:45 – 11:15 Café
11:15 – 12:00 Nicodemo Animation
12:00 – 12:45 Serialized SQL Injection
12:45 – 13:30 MetaShield Protector 1.1 & FOCA 2.0
13:30 – 13:45 Preguntas

A estas alturas y con la calidad del evento no tienen que quedar muchas plazas disponibles así que si no queréis quedaros fuera registraros lo antes posible en su página web:
http://www.informatica64.com/asegurait7/
Leer más...

15 marzo 2010

Partidos políticos y nuevas tecnologías (Caso de estudio)

Parafraseando al Agente Smith de Matrix 'Era inevitable'. Según algo se va popularizando entre la sociedad, elementos mas tradicionales van entrando en ello.

En el caso de Internet y los partidos políticos, estos han ido poco a poco 'modernizándose', primero fueron las paginas web, luego se introdujeron en las redes sociales, mas tarde vino Twitter, y finalmente: los blogs

Hace relativamente poco, el Partido Popular ha estrenado su nueva 'red de blogs' donde presuntamente los miembros mas destacados del partido van a escribir reflexiones, leer comentarios, interactuar con la gente. Genial

Verdaderamente un acierto esto del 2.0-cerismo en los partidos políticos, yo puedo por ejemplo, compartir una gran idea que ayude a 'levantar el país' con tan solo poner un mensaje en Twitter a @cuenta-de-algun-partido. O también puedo ilustrarme leyendo las sesudas reflexiones de, por ejemplo, Luisa Fernanda Rudi, persona que me cae muy cerca ya que viví sus 'años dorados' cuando era alcaldesa de Zaragoza (Y no se porqué, me vuelve a venir a la cabeza otra escena de Matrix, en este caso el final de la III).

El problema de todo esto es que para que funcione, para que tenga valor, los políticos han de estar verdaderamente involucrados, prestar atención y comprender que esto es BI-direccional y no un mero juguete propagandístico.

A modo de 'Caso de estudio' tomaremos un ejemplo vivido en primera persona con el PP y su red de Blogs. Me hallaba yo saltando de blog-en-blog, escudriñando puntos de vista, ideas, recreándome con la particular visión de los altos cargos del PP, cuando por algún tipo de torpeza mía debí escribir mal una URL y no se bien de que forma llegué a esto:



En esta situación me pareció una idea interesante poner a prueba todo el 'mundo 2.0' que tiene montado el Partido Popular, así que le envié un mensaje vía Twitter a @PPopular contándole que había algo que pretendía reportar. De inicio genial, @PPopular me respondió con una dirección de correo de contacto, acto seguido puse un mail con la información ¡¡Parece que esto marcha!! Pero no, el problema es que hace ya unos cuantos días de ese e-mail y ya no es que no lo hayan solucionado, es que ni siquiera he obtenido respuesta al correo. Si para el PP no es importante su novísima red de blogs, permítanme que ocupe mi tiempo en otros menesteres 
Leer más...

14 marzo 2010

Con esta imagen de la izquierda me dio la bienvenida el servidor de loterías y apuestas (juegos.loteriasyapuestas.es) cuando traté de autenticarme con Firefox para jugar la quiniela de todas las semanas.

Para evitar añadir una Excepción como índica el último botón del mensaje suelo abrir IE8 de mi Windows7 con el que este problema no se reproduce (ya contaremos el motivo). Pero hoy decidí arreglarlo.

El código de error que se muestra "sec_error_untrusted_issuer" indica que el emisor del certificado SSL que se encuentra en el servidor no es una de las entidades de confianza de Firefox, que han superado la política necesaria para que su certificado raíz sea incluido en la aplicación por defecto.
Firefox, a diferencia de Internet Explorer u Chorme y al igual que opera, mantiene un contenedor independiente al sistema operativo de certificados raíz que pueden validar si se ha firmado o no un certificado y si se puede identificar el servidor web de forma segura.

En la gran mayoría de casos este problema se produce cuando se ha generado un certificado raíz, un certificado público y la clave privada específicamente para un sistema con el único objetivo de que la comunicación entre servidor y cliente sea cifrada perdiendo la posibilidad de validar la identidad del sistema. Esto se hace así porque en general se cobra por la firma de certificados y poca gente utiliza alguna de las opciones gratuitas que hay en Internet. Si nos encontramos con eso no quedará más remedio que aceptar la excepción.

Para el caso de la web que cubre mis necesidades ludópatas tenía otra solución. Lo primero que observe y que siempre se ha de comprobar son las propiedades del certificado. Donde entre uno de los parámetros se especifica quién es el emisor.



Por lo tanto, si quisiera que Firefox pudiese comprobar correctamente la validez de este certificado (y evitar el error) sería necesario que tuviese instalado el certificado raíz de la FNMT en su repositorio que puede ser consultado mediante la navegación por los menús: Herramientas->Opciones->Avanzado->Cifrado->Ver Certificados->Autoridades, debería mostrar una pantalla similar a la siguiente, donde no hay referencia a la FNMT.


Para instalar el certificado raíz la FNMT ha publicado unas instrucciones muy sencillas de seguir que consisten en descargarlo de su pagina web e importarlo desde esta misma ventana. Finalmente debería indicarse que se confía en la autenticidad y finalmente seleccionarlo y pulsar sobre "Editar" para aceptar las casillas para las que se quiera utilizar.




Con la importación hecha correctamente no volveré a tener avisos de advertencia ni cuando haga mis apuestas ni cuando entre en muchos otros servicios web  que se ofrecen al ciudadano y que están firmados por la FNMT.

El procedimiento en Opera es similar y se deberá importar para evitar la alerta.Configuración->Opciones->Avanzado->Seguridad->Administrar certificados->De autoridades:


Para finalizar, comentar que en el caso de Chrome o de Internet Explorer antiguos al utilizar el contenedor de certificados del sistema operativo con descargar el archivo y hacer doble click sobre él se importará automáticamente siguiendo los pasos hasta finalizar. Aunque en Chrome son algo más paranóicos y comprueba que no accede a la lista de revocación (CRL),  ya que la FNMT no la publica, y por lo tanto avisa de que no se puede comprobar pese a tener el certificado raíz correctamente instalado.


Leer más...

13 marzo 2010

Actualizado el Top 25 errores de programación más peligrosos

Hace un año publicamos en SbD la primera versión del Top 25 con los errores de programación más comunes y con peores consecuencias, elaborado en la convención de seguridad liderada por SANS y MITRE, y que reunió a expertos de seguridad informática de todo el planeta.

La versión del 2010 ha sido actualizada e incluye mejoras sustanciales respecto a la lista del 2009. La estructura de la lista se ha modificado para distinguir las mitigaciones y los principios de programación segura de las debilidades más específicas.

La versión del 2010 introduce diferentes perfiles que permiten a los desarrolladores y otros usuarios seleccionar las partes de la lista que son más relevantes a sus intereses. También añade un pequeño conjunto con mitigaciones efectivas que ayudan a los desarrolladores a eliminar o reducir las diversas debilidades que les inquietan. Por último, diversos puntos débiles de alto nivel de la versión del 2009 han sido sustituidos por variantes de bajo nivel que son más accesibles al desarrollador.

Encabezando la lista de vulnerabilidades: XSS (Cross-site scripting), SQL Injection, y los errores de desbordamiento de buffer. Los 25 errores son la causa de casi todos los ataques cibernéticos importantes, incluyendo los que han afectado recientemente a Google y a otras 33 grandes empresas, así como las infracciones sufridas en los sistemas militares y millones de pequeñas empresas y usuarios domésticos.

Su estreno el martes coincidió con un impulso renovado por parte de los clientes al exigir a los desarrolladores de software la responsabilidad de la seguridad de sus productos. Los expertos en seguridad dicen que los clientes demandan que los productos sean más seguros exigiendo a los proveedores que cumplan con las medidas de seguridad más comunes, y que los miembros del equipo reciban formación en técnicas de programación segura.

Me pregunto a cuántos equipos de desarrollo se les da formación en seguridad, por experiencia veo que esto no se cumple en la mayoría de los casos. Esperemos que la mentalidad de las organizaciones cambie en un futuro no muy lejano, ya que perjudica la imagen de sus productos y de la compañía, y principalmente afecta al usuario final.

Podéis encontrar la lista aquí.
Leer más...

12 marzo 2010

Seguridad en Wordpress

Dentro del mundo blogger, una de las primeras cosas a tener en cuenta, después de la temática, es sobre qué tipo de gestor de contenidos estará funcionando el blog. Si se elige Wordpress como base, también tenemos varias opciones: utilizar Wordpress.org que nos proveerá de forma gratuita los servicios básicos para albergar nuestros contenidos (teniendo que pagar si queremos añadirle ciertos extras); o bajar Wordpress e instalarlo en un servidor web que ya tengamos (se recomienda Apache o Nginx).

Nada nuevo os voy a contar con que para mantener lo más segura posible una instalación de Wordpress es imprescindible contar con la última versión disponible y que la contraseña de administración ha de ser lo más compleja posible, con caracteres no alfanuméricos, aleatorios, etc....

Sin embargo, una de las riquezas de wordpress es el grado de personalización en forma de plugins desarrollados que existen, y entre ellos los hay también dedicados a la seguridad.

Entre otros podemos destacar:
  • WP Security Scan: Se crea una pestaña nueva llamada Security, desde la que nos aparece el resultado de un análisis de seguridad de caja blanca de diversos puntos a nivel de versionado, servidor, base de datos, usuarios (habilitar otro usuario administrador diferente al "Admin" por defecto), checks de seguridad por oscuridad (de versión, de prefijos de tablas), crear etc,...
  • Wordpress Exploit Scanner: Este plugin está más dedicado a saber si nuestra instalación ha sido o no comprometida, más que como recomendaciones o medidas preventivas. Si no tenemos la posibilidad de instalar en la máquina que alberga Wordpress sistemas de control de integridad de ficheros como AIDE o Afick, siempre podemos utilizar este plugin para analizar ciertos parámetros generales, ficheros, base de datos, permisos, etc,...
  • Wordpress Database Backup: Como administradores del blog debemos establecer una política de backups frecuentes, de manera que si el blog se ve comprometido, o una mala actualización provoca alguna catástrofe que nos haga necesitar restaurar un backup, tengamos esa posibilidad. Plugins como éste nos permiten generar backups bajo demanda o incluso programarlos con una determinada frecuencia y recibirlos en una cuenta de correo.
  • SI Captcha Antispam: A fin de evitar los molestos comentarios automatizados con Spam en los posts, y visto que la eficacia de Akismet (incluido de serie con Wordpress) no es gran cosa (genera un montón de falsos positivos) esta puede ser una buena opción.
Yo por mi parte, en el blog "El Sumidero", aparte de utilizar varios de los plugins que he comentado para analizar la seguridad del mismo, he implementado mecanismos de control de accesos para la administración de Wordpress dentro de la configuración del propio Apache, basados en la IP origen (Si quiero administrarlo o lo hago desde la red interna o vía VPN).

<Location /wordpress/wp-admin/>
Order deny,allow
Allow from 192.168.1.27
Deny from All
</Location>

En cuanto a las tareas de backup de base de datos, utilizo desde hace varios años una herramienta llamada mysqlblasy. Es un script hecho en Perl para hacer un backup de todas las bases de datos que queramos de un servidor MySQL.

Si además queremos auditar el estado de nuestro Wordpress como lo puede hacer cualquiera desde Internet, podemos utilizar una herramienta como Plecost, que además de hacer fingerprinting de la base de Wordpress que disponemos, reconoce los plugins y sus versiones y es capaz de mostrarnos vulnerabilidades con enlaces CVE incluidas en caso de encontrar algún plugin vulnerable. Un análisis con esta herramienta (que requiere la versión 2.4 de Python como mínimo para funcionar correctamente) puede ser la guinda del pastel para la securización de la instalación de Wordpress y sus plugins.
Leer más...