29 diciembre 2011

Contribuciones de SbD: Muchas gracias a TOD@S!!


Que SbD es lo que es gracias a nuestros lectores, no es nada que no hayamos dicho en anteriores ocasiones. Sin embargo, en la aventura que iniciamos hace ya más de tres años, y con nuestro compromiso de intentar sorprenderos todos los días con nuestros inventos, herramientas, noticias, etc,... hemos ido contando con diferentes colaboradores que, con su contenido y su tiempo, han aportado un gran valor añadido a este blog.

Desde SbD queremos agradecer, a todos estos colaboradores, el esfuerzo dedicado a lo largo de este año, con este post recopilatorio que sumariza todas las contribuciones que hemos publicado en 2011.


    A los que aún no nos habéis enviado nada: No seáis tímidos y contactad con nosotros en contacto@securitybydefault.com. Prometemos no morderos!


    A todos nuestros colaboradores y a nuestros lectores:

    ¡¡Muchas gracias y Feliz Año 2012!!
    Leer más...

    28 diciembre 2011

    [inocentada] Cross-Site Scriptings en Google, Nasa y CIA

    ----------- INOCENTADA 28-Dic-2012 -----------

    Como muchos adivinasteis (y otros ¿siguieron la broma?), esta contribución se trataba de una inocentada.

    -----------------------------------------------------------------------------------------

    Quiero dar las gracias a Security By Default por dejarme publicar aquí esta técnica, en la que llevo meses trabajando y que espero poder presentar en diferentes congresos a lo largo de todo el mundo. Yo creo que nadie antes se había dado cuenta, pero creo que he descubierto una forma de poder conseguir Cross-Site Scriptings no persistentes (de momento :-D) en casi todas las páginas web, y ¡saltándose todos los filtros anti-XSS!

    No quiero enrollarme mucho sobre cómo llegué a la sentencia final, pero si que os proporcionaré el truco para que así podáis llenar las bases de datos de webs con XSS, como  XSSed y demás.
    Para probarlo en entornos reales, he decidido aplicar dicho ataque en las webs de Google, de la Nasa y de la CIA, cuyos departamentos de seguridad siempre se han jactado de tener sus sistemas más seguros del mundo...¡pues no lo parece!
    Adjunto las siguientes capturas, en primer lugar de un XSS en el propio buscador de Google!

    El siguiente, ¡en el buscador principal de la NASA!

    Y finalmente, en el de la CIA:


    He probado sobre las últimas versiones sobre Windows de Google Chrome, Internet Explorer y Mozilla Firefox, y en este último no me ha funcionado, así que quizás siga investigando para que así este método sea como Java, ¡que funcione en todas partes!

    Si queréis probar vosotros mismos, no tenéis más que realizar los siguientes pasos:

    1) visitar una web cualquiera que tenga un buscador
    2) poner la siguiente cadena de texto (es una de las técnicas mostrada en la cheatsheet de XSS en ha.ckers.org): <XSS STYLE="xss:expression(alert('Security By Default'))"> como valor a buscar.
    3) La búsqueda no ofrecerá resultados, y aunque parezca que escapa carácteres, a continuación, en la barra de direcciones del navegador, hay que escribir lo siguiente, tal cual:

    javascript:alert('Security By Default')

    ¡Tachán! Así veréis como esto no se trata de ningún montaje, ¡las imágenes que os había mostrado eran reales! He contactado tanto con Google como con Microsoft, y de momento no he obtenido respuesta alguna (supongo que por las vacaciones de Navidad), y también he escrito a Mozilla para felicitarles por su seguridad.

    Espero que os haya sido de utilidad, y si mejoráis la técnica, ¡dejad comentarios!

    ------------------------------
    Contribución por Inn0-cent Hacker
    Leer más...

    27 diciembre 2011

    El pasado domingo enlazábamos en nuestro post recopilatorio "enlaces de la SECmana - 103", con lo mejor de la semana, un mensaje en la lista del sistema operativo freebsd.org en el que se anunciaba una vulnerabilidad crítica en el servicio telnetd que permitiría ejecución remota de código como usuario con privilegios máximos (ya que normalmente es ejecutado como usuario root).

    La vulnerabilidad residía en la librería encrypt.c, ya que cuando se proporcionaba una clave de cifrado mediante el protocolo telnet, su longitud no era validada antes de que dicha clave se copiase dentro de un búfer de tamaño fijo. Se puede ver mejor en el parche que se puso a disposición de todos para solventar dicha vulnerabilidad, en donde se establece que si la longitud (variable len) es mayor que MAXKEYLEN, entonces se fuerza a tomar su valor:

    Parche para el demonio telnetd

    Ayer mismo, Jaime Peñalba "Nighterman" del grupo Painsec, al que pudimos ver en la pasada Rooted CON 2011 dando una charla sobre qué protecciones tomo él y su grupo para participar en el CTF de la Defcon 18 (aquí el video, 100% recomendado), publicaba un exploit que permitiría aprovechar esta vulnerabilidad en FreeBSD 8.0, 8.1 y 8.2:



    Según se ha notificado desde el momento que se anunció esta vulnerabilidad, se tenía constancia de que estaba siendo explotada.

    [+] FreeBSD Security Advisory FreeBSD-SA-11:08.telnetd
    [+] Exploit telnetd-encrypt_keyid.c por Jaime Peñalba "Nighterman" de Painsec
    Leer más...

    26 diciembre 2011

    Lo mejor de SbD en 2011



    2011, otro año que ya nos deja. El fin de año es el momento en que nos toca hacer balance de lo bueno y de lo malo que hemos hecho, a nivel personal, o que ha sucedido a lo largo de todo el periodo.

    Otros años en SbD, hemos querido recopilar, en materia de seguridad, aquellos incidentes o noticias relevantes que han sucedido este año, y que hayamos compartido aquí. Sin embargo, y ya que Jose Antonio hace ese gran trabajo con periodicidad semanal, resumiendo noticias de seguridad, tanto de nuestro blog como de otros, quizá sería redundante hacerlo en modo anual.

    En esta ocasión vamos a proponeros aquellos posts que más han gustado en general a nuestros lectores (al menos, según mi criterio)  
    • Enero: Después de haber organizado varios Wargames para diferentes ediciones de Campus Party, tuvimos el placer de estrenar El primer Wargame SbD a nivel mundial. Otro de los posts que guardo con especial cariño, gracias a que vosotros lectores, me recordáis siempre que me encontráis por algún sarao es el de Hacking Roomba!
    • Octubre: Quisimos compartir con vosotros una metodología de Cómo diseñar una política de cortafuegos. Además, una de las herramientas de seguridad más populares en entornos UNIX para descubrir procesos ocultos, ha sido portada a Windows. Os presentamos Winunhide
    Estamos seguros que el año que viene os sorprenderemos con más y mejores entradas sobre seguridad. 

    Desde SbD queremos daros las gracias a vosotros fieles lectores, por todo vuestro apoyo, comentarios, correos, twitts,...

    Por supuesto una mención y agradecimiento especial a todos nuestros colaboradores, que han enriquecido el blog con sus contenidos, ideas, desarrollos,... en resumen, por su tiempo!

    Porque SbD es nuestro hobby y nuestro orgullo gracias a todos vosotros: MUCHAS GRACIAS!
      Leer más...

      25 diciembre 2011

      Enlaces de la SECmana - 103

      Leer más...

      23 diciembre 2011

      Professional Penetration Testing (Libro)

      Cuando uno piensa en 'pentesting', lo primero que viene a la mente son un montón de herramientas tipo metasploit o Nessus, y lo cierto es que para la gente mas técnica, buscar un enfoque mucho más orientado a la gestión, resulta un tanto difícil.

      Professional Penetration Testing es un libro en el que vas a aprender mas bien poco sobre como 'romper' sistemas, no va mas allá de ligeras nociones y enlaces para buscar más información.

      En este libro las aptitudes técnicas son tan solo un actor secundario al servicio de un objetivo final: presentar un buen informe.

      Y es que muchas veces importa tanto el contenido como su presentación, la forma en la que se categoriza la información y el saber expresar lo encontrado en una auditoría con un doble lenguaje ejecutivo / técnico.

      Lo mejor: Te permite obtener una visión bastante mas amplia de lo que es una auditoría en el mundo profesional

      Lo peor: A veces resulta bastante denso y tiene varios capítulos 'paja' que cuesta leer sin pasar las páginas.

      Leer más...

      22 diciembre 2011

      Juniper vs. Palo Alto Networks: Bypassing Firewall Copyrights


      No, lo que os contamos hoy no pretende ser una comparativa técnica entre dos modelos de cortafuegos comerciales. El enfoque de la noticia viene por el conflicto "a tortas" como indican en la revista TCN por un tema de patentes tecnológicas... aunque dado el nombre de uno de los contrincantes yo habría indicado "a palos".

      Nir Zuk y Yuming Mao, eran dos ejecutivos que trabajaban en Netscreen Technologies, allá por 2004. Sin embargo, al tiempo de haber sido adquirida la mencionada compañía por parte de Juniper, estos dos individuos se marcharon (o fueron invitados a irse, desconozco ese detalle). A la salida de Juniper, tuvieron una idea emprendedora: formar otra compañía de seguridad con una solución innovadora y rompedora.

      Sin embargo, actualmente, Juniper reclama en una demanda interpuesta judicialmente, que los citados ejecutivos ex-Netscreens, utilizan en su innovadora solución 6 tipos de tecnología patentada que, por la adquisición de Netscreen Technologies por parte de Juniper por 4000 millones de dólares, no les es posible utilizar. Además, en la demanda se indica que precisamente, tras dejar Juniper, los nuevos empresarios propusieron a otros empleados cambiarse para la nueva aventura, a fin de generar una empresa capaz de competir en la misma liga de Juniper.

      Abstrayéndonos de la parte legal del asunto, que queda en manos de jueces, las preguntas que surgen aquí son: ¿Dónde está el límite ético para un empleado que deja una compañía a la hora de utilizar "sus inventos o desarrollos" para siguientes aventuras? ¿Se puede comprar una idea? ¿NO a las patentes de software?

      Cuando firmas un contrato con una empresa, precisamente una de las cláusulas que no suelen faltar en el mismo, hace referencia a qué pasará en caso que la relación contractual termine. Muchas de las cláusulas de este tipo, casi te exigen el derecho a ser lobotomizado y que tu memoria sea borrada para evitar que te lleves secretos profesionales a la siguiente aventura.

      Más allá de lo que digan las leyes que respaldan ese contrato, aquí ya entra la moral y los valores de cada uno, a la hora de tener en cuenta sobre qué es lo que puedes y lo que no puedes hacer.

      En el caso de la compra de Netscreen por parte de Juniper, imagino que de los 4.000 millones de dólares, a los cofundadores de Palo Alto Networks, siendo ejecutivos en Netscreen, un buen pico les tocaría, por lo que podrían haber considerado que lo recibido era pago suficiente (o no) por sus desarrollos e inventos. De esta manera, tendrían que haber diseñado su nueva solución utilizando algún otro mecanismo que no se basase en algo que ya no les pertenecía.

      Desde un punto de vista técnico, conozco en profundidad Juniper (en concreto la parte de firewalls/IPS/UTMs que venía de Netscreen) y desde siempre me han parecido unas soluciones fabulosas: robustas, con un excelente rendimiento,... aunque, con unas herramientas gráficas de administración que, por su apariencia espartana, no eran de mis preferidas.

      No he tenido la oportunidad de meterme a conocer "los internals" de Palo Alto. Sin embargo, por lo que se escucha en partners del mercado, les sustenta una base técnica más que competente. Por el contrario, por lo que he oido también, a veces la prisa por publicar actualizaciones de firmware, penaliza la estabilidad completa de la solución, pero supongo que siempre, las buenas prácticas recomiendan no instalar una versión de un firmware de cualquier dispositivo en producción, sin haber pasado antes una batería de pruebas y tiempo en un entorno menos crítico. Cabe destacar además que Palo Alto Networks ha sido el principal impulsor de lo que bautizaron como el NG-Firewall (o Cortafuegos de Siguiente Generación) y que invierten grandes sumas de dinero en una gran labor de márketing para terminar de "matar" al IPS convencional e insuflarle vida al concepto NG-FW.

      A nivel personal, no siento simpatía ni apatía por ninguna en especial. Conozco personalmente a grandes profesionales que trabajan actualmente en ambas empresas. Y como ya dije anteriormente, no pretendo juzgar en este post a cuál de las dos compañías le asiste la razón, sobre todo, sin tener información de primera mano y basándome sólo en lo leído en una escueta noticia.

      Sin embargo, en el caso de Juniper, de momento, han sido capaces de enumerar las 6 tecnologías supuestamente "pagadas" y patentadas por ellos a la hora de adquirir Netscreen Technologies. En el caso de Palo Alto Networks, no han querido hacer declaraciones al respecto ¿Será verdad eso de que quien calla, otorga?
      Leer más...

      21 diciembre 2011

      Todas las PHRACK en formato mobi y epub


      albino, del blog Skeleton Scribe, ha realizado la conversión de todas las ezines de PHRACK publicadas hasta la fecha (más de 25 años...) en formatos compatibles con los lectores portátiles, Kindle (formato .mobi) y el resto de lectores (formato .epub).

      Si bien ha habido diferentes épocas en la vida de esta ezine cuyo primer número data de 1985, se puede seguir considerando una de las más importantes publicadas relacionadas con la seguridad informática, con artículos que incluso deberían ser enmarcados, como el Smashing The Stack For Fun And Profit de Aleph One del número 49. Multitud de cambios editoriales, algún que otro hackeo memorable, ahora mismo los números salen con cuenta gotas sin una fecha de publicación cerrada, siendo el último número el 67. El Call-For-Papers para la edición 68 es de hace casi un año, así que...

      Podréis descargar esta genial contribución de albino en los siguientes enlaces:


      Permaneced atentos al post donde ha realizado el anuncio, por si incluye más mirrors de estas publicaciones.
      Leer más...

      20 diciembre 2011

      El supermercado underground de Internet



      ¿Te imaginas un sitio en Internet solo accesible mediante la red TOR, donde solo puedas pagar con Bitcoin y puedas seleccionar traficante por su reputación?

      Todos sabemos que en Internet, por su naturaleza 'incontrolada' se puede adquirir cualquier cosa ilegal si sabes buscar bien, hay cientos de foros mas o menos abiertos donde mucha gente ofrece drogas, armas y otra clase de mercancías imposibles de obtener por una vía convencional.

      Paralelamente en Internet se ha desarrollado una cultura de la privacidad nunca antes vista (al menos en cuanto a herramientas y protocolos), y estaba claro que en algún punto una cosa y otra se darían la mano para generar una 'industria de lo prohibido' que imite el funcionamiento de sus hermanas legítimas.

      En gawker han publicado un artículo fascinante sobre un supermercado llamado 'Silk Road' donde se pueden adquirir toda clase de drogas (marihuana, cocaína, anabolizantes, éxtasis ...) que funciona única y exclusivamente a través de TOR y que sólo admite como moneda Bitcoin

      Se supone que este formato es 'beneficioso' para el cliente final ya que puede adquirir una mercancía de mejor calidad y con ciertas garantías frente a la opción de comprarla en la calle. Esto es así ya que, análogamente a otros servicios como Ebay, Silk Road funciona con un sistema de reputación sobre los vendedores.

      Independientemente de lo moral / inmoral que resulte la actividad, el concepto técnicamente hablando supone un ejercicio de madurez para las tecnologías pro-privacidad.
      Leer más...

      19 diciembre 2011

      28th Chaos Communication Congress - Behind Enemy Lines

      Como cada año por estas fechas navideñas, quedan pocos días para que de comienzo el congreso Chaos Communication Congress en Berlín. Este año toca la edición vigésimo octava del 27 al 30 de Diciembre, llevando el subtítulo o slogan "Behind Enemy Lines".

      28 años han pasado ya desde que la comunidad creara este congreso, de 4 días de duración, que sigue teniendo lugar en bcc Berliner Congress Center.

      Una de las principales ventajas es el poder disfrutar de todo lo que ocurra durante el congreso mediante streaming, debido a estas fechas tan señaladas y complicadas para casi todo el mundo (no todo el mundo puede quedarse 4 días en Berlín en plena Navidad...), con una calidad más que aceptable y cuyos canales de video y audio se irán anunciado.

      Este año sigue habiendo diferentes tracks, dedicados a temáticas Hacking, política y sociedad, ciencia, comunidad, etc. De momento, se puede consultar la agenda en los siguientes enlaces: [Día 1] [Día 2] [Día 3] [Día 4], así como el listado de ponentes.

      Se han dado lugar charlas estelares, como por ejemplo la aparición del team fail0verflow con su charla Console Hacking 2010 en el 27c3, explicando el FAIL de la PS3 que daría la vuelta al mundo, así como la ponencia de miembros del iphone-dev "Hacking the iPhone" explicando los entresijos y vulnerabilidades de iOS en el 25c3.

      Seguiremos todo lo referente al 28c3, y os iremos informando tanto en el blog como por nuestro twitter. El hashtag es #28c3, os recomendamos seguirlo con atención.


      Enlaces de interés:
      [+] Wiki del 28c3

      [+] Blog del CCC
      [+] Twitter del CCC
      Leer más...

      18 diciembre 2011

      Enlaces de la SECmana - 102


      Leer más...

      16 diciembre 2011

      Vende-motos: fraude a través de Internet

      Puede que con esto que llaman «Crisis» los mercados de segunda mano estén cobrando mayor protagonismo que hace unos años o, simplemente, puede que la gente esté perdiendo el miedo a comprar por Internet. La realidad es que cada vez se encuentran en la Red más referencias sobre gangas que resultan ser estafas.

      Los últimos datos del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), confirman que el comercio electrónico viene experimentando un aumento constante durante los últimos años, tanto en las transacciones entre particulares, C2C, como en aquellas en las que participan empresas y particulares, B2C.

      El crecimiento del comercio electrónico viene acompañado de un incremento en el número de intentos de fraude. Según un Estudio sobre fraude a través de Internet del Observatorio de la Seguridad de la Información de INTECO, «un 53,1% de los usuarios de Internet españoles declaran haber sido víctimas de un intento (no necesariamente consumado) de fraude en los últimos tres meses.»

      Este caso sucedió hace unos meses, cuando un compañero de trabajo estaba buscando su primera moto y una de segunda mano era su elección favorita. La búsqueda comenzó en una conocida página de anuncios de vehículos usados y el modelo concreto que buscaba era una Yamaha T-Max cuyo precio en el concesionario oscila los 10.000-11.000€.

      Una búsqueda en alguno de estos portales muestra entre los primeros resultados algunas ofertas a unos precios más que interesantes. En este caso aparecieron dos motos que reunían las características deseadas.

      La moto que ofrecía el primer vendedor tenía solo unos meses de antigüedad, menos de 3.000 kms. y un precio de 6.400€. Nos ponemos en contacto con él y al cabo de un tiempo recibimos la respuesta a nuestra solicitud en la que se nos facilitaba más información.

      La moto de nuestro segundo vendedor tenía unos 3 años de antigüedad, unos 12.500 kms y un precio de 4.000€. La respuesta que recibimos fue, cuanto menos, sorprendente:

      ¿Qué tendrá Nottingham para que todos los españoles se vayan para allá?

      Dada la curiosa situación y las coincidencias entre ambos correos, decidimos interesarnos por esta última moto y solicitar a este vendedor de nombre Fernando y apellidos, digamos, XXX YYY que nos haga llegar la documentación del vehículo escaneada y que lleve la moto a un taller oficial para una revisión.

      Amablemente, este vendedor nos responde de nuevo, proporcionando algo más de información, asegurando que es una persona seria pero haciendo caso omiso a las peticiones que le hacemos sobre la documentación del vehículo.

      El método de entrega tampoco ofrecía excesiva confianza. Una empresa que se dedica a realizar o custodiar este tipo de transacciones debería, al menos desde mi punto de vista, ofrecer una imagen y unas garantías. Su página web se encuentra alojada en un proveedor de hosting gratuito, sus referencias en Google hacen alusión a una dudosa reputación

      Pese a que las madres siempre digan que no hay que fiarse de la gente que no conocemos, decidimos hacer caso a este amable vendedor y cotejar con la DGT la información que nos proporcionaba.

      En primer lugar, observamos que la matrícula y el número de bastidor coinciden, sin embargo, el titular actual del vehículo resulta ser un tal Gabino PPP RRR que, aparentemente, no parece tener ningún tipo de vínculo con nuestro Fernando XXX YYY.
      Los demás datos nos indican que la moto fue transferida en el año 2010 y, siguiendo la pista del número de DNI del anterior propietario aparece el señor Fernando XXX YYY.

      Decidimos tirar un poco más del hilo y comprobar las cabeceras de los correos que habíamos recibido del señor Fernando y en ambos, las diferentes direcciones del servidor de origen nos llevaban a la capital de Rumanía:


      A pesar de carecer de interés sobre la transacción, decidimos enviar un último correo al vendedor para ver hasta donde estaba dispuesto a llegar.



      Después de este último correo no obtuvimos más respuestas, por lo que no pudimos profundizar más. En cualquier caso, existen decenas de anuncios fraudulentos como estos y cualquiera con un poco de interés puede seguir las pistas y verificar su autenticidad.

      Si analizamos este caso vemos que nos ofrecen fotos reales de la moto, el número de bastidor coincide con la matrícula y el vendedor dice llamarse igual que el anterior propietario del vehículo. Existe también una entidad involucrada en la transacción que guarda algún tipo de relación con la persona que intenta vender el vehículo. Toda una serie de elementos que se relacionan para dar mayor credibilidad a los potenciales compradores o víctimas.

      Las recomendaciones en todos los casos son seguir las guías de seguridad que ofrecen estos portales de compra-venta como segundamano.es y coches.net, alertar de los casos fraudulentos en los propios portales y, en caso de haber sido víctimas de la estafa, contactar con las autoridades:
      Leer más...

      15 diciembre 2011

      Vuestros "ETHERNET EXPOSED" - VIII

      Nueva edición de nuestra sección Vuestros ETHERNET EXPOSED, posts en el que pretendemos recopilar aquellas imágenes que realizáis a tomas ethernet que se encuentren expuestas en lugares curiosos y que posteriormente nos enviáis a nuestra dirección de contacto. Se acerca la navidad, así que ahora que tendréis la posibilidad de salir por ahí, recordad que nuestro buzón siempre está abierto.


      Empezamos por la primera de las contribuciones. kifo, participante habitual de wargames de seguridad, nos manda las siguientes fotografías de una toma de red al descubierto:


      "Una toma de red de la upv, supongo que a ella estará conectado algun router de los quedan acceso wifi a toda la facultad. La de cosas que se podrían hacer enganchandose ahi jejeje."

      La siguiente imagen nos llega de parte de Marc Rivero López, "Seifreed", en la que únicamente nos comentó que se la encontró en un restaurante chino:


      Curioso el invento/puente que tienen montado, pero si lo han hecho los chinos, ¡seguro que funciona!

      El siguiente ETHERNET EXPOSED nos lo manda Juan Antonio Calles, miembro de Flu-Project, mientras disfrutaba de unas vacaciones en Escocia. Dejamos directamente sus comentarios, así como las fotos en cuestión:


      "Hola amigos,
       
      Soy Juan Antonio, de Flu Project. Estoy de vacaciones por Escocia, y me he encontrado un Hotel en Glasgow que es una mina de Ethernet Exposed :) El hotel tiene Wifi gratuito, te dan un ticket con una clave que es válida durante 24 horas para una única máquina. Si te paseas por el edificio no es difícil encontrar los routers Wifi Dlink, uno en cada planta, y los enchufes donde están conectados. 



      Además, la señal de teléfono que va a los routers Wifi sale de un cajetín que hay en la habitación más cercana al router. Me tocó de hecho una de estas habitaciones y pude comprobar como los cajetines salen de detrás de las mesillas, imagino que porque antes tendrían teléfonos en las habitaciones,


      un saludo!"

      Y ya para finalizar esta edición, os dejamos unas imágenes de algo que realmente no serían un ETHERNET EXPOSED, si no más bien un EXPOSED a secas de lo que se encontró un visitante de nuestro blog, y que nos lo hizo llegar a nuestra dirección de contacto. Sobran las palabras, este escenario fue encontrado en un Cajero Banesto instalado en el Aeropuerto de Sevilla junto a una cervecería Gambrinus:




      Parece como si hubiese prisas por instalar este cajero...¿verdad?

      Como siempre os decimos, nuestra dirección de correo sigue abierta a todas aquellas contribuciones de ETHERNET EXPOSED que os encontréis, ¡muchas gracias a todos!
      ---------------

      [+] ETHERNET EXPOSED: Encuentra tomas de red al descubierto
      [+] Vuestros "ETHERNET EXPOSED" - I
      [+] Vuestros "ETHERNET EXPOSED" - II
      [+] Vuestros "ETHERNET EXPOSED" - III
      [+] Vuestros "ETHERNET EXPOSED" - IV
      [+] Vuestros "ETHERNET EXPOSED" - V
      [+] Vuestros "ETHERNET EXPOSED" - VI
      [+] Vuestros "ETHERNET EXPOSED" - VII
      Leer más...

      14 diciembre 2011

      Scalparser: Estadísticas para Scalp

      En uno de nuestros primeros post en SbD, hablábamos sobre Scalp, una gran herramienta pensada para analizar los logs de peticiones (típicamente access.log o ssl_access.log) realizadas al servidor web Apache.

      A la hora de realizar un análisis forense sobre dichos logs, Scalp, utiliza el fichero utilizado por PHPIDS (otra herramienta que también comentamos en SbD) "defaultfilter.xml", que contiene firmas y expresiones regulares referentes a ataques web. Scalp procesará el fichero de logs de apache que seleccionemos, y elaborará un informe detallado con los resultados con las peticiones que han sido, con alta probabilidad, un ataque web.

      La forma en la que Scalp, después de una alta variedad de flags por línea de comandos, es capaz de generar dicho informe, es en texto sin formato o en XML.

      Si el fichero analizado es de un servidor web con una alta densidad de tráfico, producirá un informe que puede tener varios cientos de Megabytes, lo cuál, hará prácticamente imposible su análisis.

      Con la idea de facilitar el mismo, y en la línea de ser capaz de evaluar el impacto repercutido en un servidor web, he desarrollado una herramienta en Perl, que he bautizado como Scalparser.

      Para ello, previamente deberemos haber ejecutado Scalp con el flag -x para que la salida la genere en formato XML. El resto de los flags pueden haberse o no habilitado. Esta entrada, no pretende ser un tutorial sobre Scalp, por lo que, dejamos a criterio del lector, las opciones a utilizar. La recomendación, sin embargo sería algo así como: ./scalp-0.4.py -f default_filter.xml -e -u -x -l access_log.



      ¿Qué genera Scalparser?
      La herramienta, produce en modo texto un resumen del fichero generado con lo siguiente:
      • Número total de ataques detectados en todo el fichero
      • Porcentaje de ataques por tipo de ataque e impacto, ordenados por porcentaje de mayor a menor.
      • Top 10 (por defecto) de direcciones IP más atacantes, con número de ataques por cada IP, ordenadas de mayor a menor número de ataques
      • Top 20 (por defecto) páginas web, con número de ataques recibidos, ordenadas de mayor a menor número de ataques
      Los resultados pueden ser utilizados en conjunción con una hoja de cálculo para producir vistosos gráficos que muestren porcentajes, tablas con TOP atacantes/atacados, etc,… pudiéndose entregar como complemento a un informe forense o ser un factor más de enriquecimiento de un cuadro de mandos de seguridad.

      Como opción de configuración, hay una variable al principio del script llamada "my @whitelist". Como indica el comentario, podemos indicar direcciones IP "blancas" que no queremos que la herramienta tenga en cuenta en sus estadísticas. Así, se permite no "manchar" o adulterar las estadísticas obtenidas con análisis hechas desde determinadas direcciones IP blancas, o de auditoría. 
       Asimismo, por defecto vienen definidos en dos variables, $cuantas_ips y $cuantas_webs, los valores sobre cuántas IPs y páginas, atacantes y atacadas respectivamente, tendremos en cuenta en el script. Por defecto son 10 y 20 respectivamente.


      Las opciones a tener en cuenta con el script son las siguientes: 
      • -f fichero_XML -> el fichero XML generado por Scalp. Habrá que editarlo y eliminar las primeras 4 líneas del fichero, dejando como primera línea la que empieza por:
      • [-a attack1,attack2] -> (Opcional) En caso que queramos que nos muestre con detalle el contenido de determinados ataques, podemos especificar con el flag -a y separados por comas los ataques en los que queramos profundizar nuestro análisis. Ejemplos de ataques a indicar pueden ser por ejemplo: xss (Cross-site Scripting), csrf (Cross-site Request Forgery), spam, lfi (Local file Inclusion), sqli (SQL Injection), rfe (Remote File Execution), dos (Denial of Service), id (Information Disclosure),...
      • [-p 1] -> (Opcional) Por defecto, Scalparser tendrá en cuenta direcciones IP públicas y privadas. En caso que queramos que no cuente los ataques que se detecten desde direcciones IP privadas, habría que ejecutadlo con el flag "-p 1". 
      Me queda pendiente en mi cada vez más largo To Do
      • Implementar scalp de forma más óptima. Para procesar un access_log de 40GB se ha demorado más de 3 días en un servidor potente.
      • Poder mostrar los ataques ejecutados por una única dirección IP. Ahora mismo se puede hacer con un "grep direccion_IP fichero_XML", pero puede ser interesante tenerlo en con un único flag -i
      Por supuesto, quedo a vuestra disposición para que propongáis ideas para mejorar o criticar (constructivamente, por favor) la herramienta, en comentarios, correos, tweets o tomando unas cañas ;D 

      Podéis descargar Scalparser desde aquí para vuestro libre albeldrío y ejecución
      Leer más...

      13 diciembre 2011

      Banca electrónica y SSL ¿quién aprueba en España?

      Este es la segunda parte del artículo Bancos y SSL ¿quién aprueba? escrito por Yago hace más de un año, he creído conveniente realizar una actualización de ese artículo que tanto me gustó. En este estudio se analizan las diferentes cajas y bancos surgidos en España tras las fusiones hasta el momento. El listado se ha sacado de CECA y se han añadido algunos bancos más que no pertenecen a dicha entidad. Además, hace más de un año del primer estudio y han surgido nuevas vulnerabilidades a tener en cuenta como criterios a valorar.

      Como ya indicaba Yago en el primer estudio, la banca online debería ser un ejemplo a la hora de implantar SSL en sus servicios por dos motivos:
      1. Son entidades que manejan mucha inversión
      2. El tipo de actividad a que se dedican requiere todas las garantías
      Yo añadiría un tercer motivo:

      3. Por cumplimiento normativo (PCI DSS, SGSI) e imagen.

      Pero ni el cumplimiento normativo, ni la inversión, ni las garantías necesarias indican de forma clara que características debe cumplir el servicio SSL. Sin pretender ser una guía detallada pero que sirva como pequeño referente a la hora de proporcionar un servicio SSL a la banca online, estos son los criterios que se han evaluado en el estudio que se muestra a continuación:
      Este es el resultado en la banca española (click en la imagen para verlo completo):


      (extracto del análisis)

      De las 38 entidades analizadas sólo 6 cumplen correctamente con todos los criterios anteriores, 2 de ellas tienen una configuración SSL muy deficiente, y todas las demás aprobarían el test SSL de qualys con el que se ha realizado este estudio pero tendrían alguna debilidad que podría solucionarse.

      Algunos datos curiosos encontrados durante el análisis son:
      • Sólo 5 entidades tienen un sello de la ISO 27001 en su banca electrónica.
      • Todas las entidades tienen el certificado SSL del mismo proveedor menos una.
      • Una entidad tenía un certificado SSL EV para un dominio que tan sólo realizaba una redirección y el certificado de la página de login destino no era SSL EV.
      • Unas pocas entidades contienen enlaces externos en su página principal apuntando a sitios de terceros.
      • El software de los servidores web es muy diverso y entre ellos hay versiones antiguas con vulnerabilidades públicas.
      Falta aún mucha concienciación en los departamentos de sistemas y tecnología en cuanto a la seguridad, pero también es necesario desarrollar guías de buenas prácticas cómo las de OWASP, en las que se detallen procedimientos o checklists a cumplir como en este caso, más allá de las vagas recomendaciones de normativas anteriormente citadas. Qué no sea por desconocimiento el que nuestros sistemas sean vulnerables.

      Artículo cortesía de Emilio Casbas
      Leer más...

      12 diciembre 2011

      Análisis de seguridad de un proxy web

      Recientemente he tenido que comprobar la configuración de seguridad de un proxy web de filtrado de contenidos, intentando localizar posibles problemas y vías de mejora. Como no me sonaba que hubiera nada escrito o desarrollado para esto, he creado una batería de pruebas y una página web para automatizar el proceso y pueda servirme en otras ocasiones o a otras personas.

      El checklist de pruebas lo he dejado público en una hoja de googledocs y está pensado tanto para verificar la calidad de la categorización de URLs, sus funcionalidades contra el malware, así como otras características de seguridad como son el DLP o el comportamiento con SSL, dividiéndolas en apartados. Algunas de las pruebas se podrán hacer en caja negra y para el resto será necesario consultar la configuración y manual o entrevistar al administrador.

      En concreto:
      1. Algunas URL por categorías típicamente susceptibles de ser filtradas: webmails, redes sociales, chats, contenido para adultos, spyware, páginas de hacking, etcétera. Tan solo hay unas cuantas de muestra, algunas muy populares y otras mucho menos para ver el comportamiento.
      2. ActiveX y Applets de java que ejecutan comandos del sistema, sacados del iKat.
      3. Comprobación del navegador que se está usando
      4. Distintos tipos de ficheros comprimidos con malware, exploits, contraseñas, etcétera generados con metasploit.
      5. Malware, herramientas de hacking y mensajes de advertencia.
      6. Documentos ofimáticos con macros y exploits.
      7. Varios PDFs con exploits.
      8. Ficheros de malware con extensiones dobles o incorrectas.
      9. Binarios empacados, sin firma o con firma incorrecta.
      10. Envío de documentos ofimáticos de distintos tamaños, comprimidos, con contraseña.
      11. SSL, túneles para saltarse el proxy tipo CONNECT o páginas de anonimato tipo glype por HTTPS
      12. Túneles vía cgis, conexiones a puertos distintos del 80
      13. Conexión con usuarios fuera del dominio, tipo de autenticación, roles de administración.
      14. Registro de eventos para malware, envío remoto, uso de servidor de fecha y hora.
      15. Opciones de disponibilidad, configuración y copias de seguridad.


      En cuanto a la aplicación, se basa en hacer una petición del favicon.ico de los dominios y comprobar si carga o no con javascript, por cierto, ¡gracias a WiredRat por la ayuda!. ¡Ojo! Internet Explorer no carga el favicon.ico si el content-type del icono es texto, por lo que en algunos dominios he metido un link al logo que con el tiempo irán quedando obsoletos y habrá que actualizar.

      En otros casos, son un pack de exploits o archivos comprimidos, comprimidos con contraseñas, herramientas de hacking o un formulario para subir ficheros con el objetivo de ir haciendo los tests.

      Página web tiene este aspecto:


      Durante un par de semanas dejaré online una prueba en este link,  pero será eliminado pasado este tiempo.

      Los archivos de la web para modificarlo y montarlo donde queráis están en nuestro repositorio de google code: 


      Leer más...

      11 diciembre 2011

      Enlaces de la SECmana - 101

      Leer más...

      09 diciembre 2011

      Libro: Una al día: 12 años de seguridad informática

      Personalmente recuerdo con mucho cariño cuando nació el boletín de 'Una al día', era una época en la que la seguridad informática todavía tenia ese punto 'underground' de revistas como Phrack o ezines como SET.

      Sin duda faltaba ese enfoque mas estilo 'anuario' con un toque de rigor técnico y divulgativo que posteriormente hemos podido comprobar que ha sido un formato ganador.

      Cuando me enteré de que Chema había editado el libro de 'Una al día' en formato papel, rápidamente pensé que sería una obra de esas que terminaría por recomendar a todo aquel que me preguntase ¿y yo como puedo iniciarme en temas de seguridad? ya que supone una obra global de lo que ha ido pasando en estos últimos años, su evolución y las perspectivas de futuro.

      Además el libro cuenta con entrevistas exclusivas a gente como Bruce Schneier, Eugene Kaspersky o el mítico Cuartango, gente que nunca da puntada sin hilo.

      Finalmente, saber que el libro ha sido escrito por Sergio de los Santos (autor del genial libro 'Máxima seguridad en Windows') fue la última razón que necesitaba para despejar un sitio destacado en mi biblioteca de libros.

      El libro se puede adquirir aquí y según veo solo quedan 100 ejemplares, toca darse prisa
      Leer más...

      08 diciembre 2011

      Nmap@CNET: con regalo Microsoft incorporado

      Atónito me quedé cuando leí el correo electrónico de la lista nmap-hackers, escrito por el mismo Fyodor, donde describía con gran enfado que las descargas de Nmap desde la web de CNet, venían con algo más que el  deseado "analizador remoto de puertos".

      Nmap, en plataformas Microsoft puede ser instalado de dos maneras: Una es utilizando el entorno Cygwin. La otra es mediante un fichero instalador ejecutable directamente en Windows (hecha con Nullsoft Scriptable Install System) que incorpora entre otras, además de los binarios necesarios de Nmap, las librerías Winpcap, así como una GUI para Windows llamada Zenmap. Esto es lo oficialmente ofrecido desde la web oficial de descarga de Nmap.

      Por otro lado, en el caso de CNET, conocida web de descargas de software gratuito, se ofrece también a cualquier navegante, un instalador ejecutable  de Nmap. Sin embargo, Fyodoor se dio cuenta que la versión dispuesta en la web de CNET no era idéntico al software original ofrecido. Al descargarlo, el programa de instalación añadía al navegador molestas barras de herramientas, cambios en las preferencias del motor de búsqueda por defecto al buscador Bing, y predeterminaba la página de inicio hacia Microsoft MSN. Enviando el fichero a Virustotal, el resultado era escandaloso. Varios motores antivirus catalogaban dicho fichero como Malware.


      En el momento de redacción de este post (las 20:35 del martes 6 de Diciembre) me proponía analizar la versión descargada desde CNET, instalarla en un entorno de Sandbox y contaros los resultados, buscando los cambios en el registro de Windows, procesos raros añadidos, etc, etc,…


      Sin embargo, mi gozo en un pozo. Ni el antivirus de mi sandbox con Windows XP, ni el servicio ofrecido por Virustotal, detectaron malware alguno en la versión 5.51 de Nmap para Windows descargada de CNET en ese momento.


      Supongo que después del correo de Fyodoor, así como sus quejas sobre violaciones de licencia de distribución de Nmap, debido al regalazo gratuito ofrecido por CNET, habrá hecho que hayan modificado la descarga, puesto que el fichero subido por Fyodoor a Virustotal era cnet2_nmap5_51-setup.exe y el ofrecido por CNET cuando lo descargué, era nmap-5.51-setup.exe

      Lo malo es que, según cuentan en Extremetech, es una práctica habitual por parte de CNET, ofrecer instaladores con software modificado a sus usuarios, que incluyen características adicionales no deseadas. Se puede ver, en el citado enlace, una versión de un instalador del popular reproductor multimedia VLC, con la conocida Babylon Toolbar incluida,... y vaya usted a saber qué otro regalito oculto más!

      Como hemos recomendado muchas veces en SbD, es siempre una buena práctica el descargar el software o drivers que queramos instalar en nuestros ordenadores, siempre en la medida de lo posible, desde los repositorios oficiales.

      No sería la primera vez que incluso repositorios originales han sido comprometidos y software descargado desde sitios de la mayor de las confianzas, han venido con regalo incluido. Sin embargo, ese riesgo siempre se corre, a no ser que descarguemos el código fuente de los programas y los compilemos nosotros mismos, después de auditarlo línea a línea. Evidentemente, esta propuesta es inviable, ya sea por tratarse de software de código privativo, como por el tamaño de determinado tipo de proyectos.

      UPDATE [7/12/2011]: Efectivamente, las quejas de Fyodor han tenido sus consecuencias y han causado que CNET distribuya el instalador verdadero de Nmap para Windows, sin troyanos, ni malware asociado. Así ha quedado patente en un nuevo correo que ha enviado Fyodor a la lista nmap-hackers. Cuenta incluso que Microsoft se puso en contacto con él para decirle que no sabían que patrocinaban un sitio que ofrecía software troyanizado y que directamente han dejado de hacerlo! 

      Fyodor ha creado una web en la que irá contando con pelos y señales cómo evoluciona el tema.
       
      Leer más...