29 noviembre 2012

La estupidez humana en twitter: tarjetas de crédito

Twitter, esa fuente de información inagotable, ese recurso para compartir, esa muro para pintar, en definitiva; otro sitio donde los usuarios podemos cagarla.

Mucha gente sigue respondiendo al ¿qué estás haciendo? con el que se concibió la red, pero de forma radical.

Una de los ejemplos más claros son aquellos que publican tarjetas de crédito/débido con todos sus datos. Luego nacen cuentas como la de NeedADebitCard, que lo único que hace es  re-tuit de cada uno de esos pardillos. Formación a base de golpes.

Y es que es muy difícil ser guapa, inteligente y además modesta. Vaya, que hay veces que uno  piensa que estas cosas son una pequeña venganza del universo.


En otras es la inocencia y da un poco más de penita.


Y es que no hay que negar que todos los objetos quedan mucho mejor cuando se aplican unos cuantos efectos de Instagram. A ver cuando sacan unas gafas con las que podamos ver en Amaro o X-Pro, añadiendo unos marcos y centrando la nitidez en un solo punto.





...A ver cómo le explicas a VISA/Mastercard/American Express y demás, que twitter no realiza pagos, ni almacena tarjetas de crédito o que no pueden ser encontradas de forma automática... 

Leer más...

28 noviembre 2012


Ya podemos añadir un nuevo caso de "puerta trasera escandalosa" a la recopilación que hicimos hace un año en este post "Las puertas traseras más escandalosas". Se ha publicado una vulnerabilidad en el US-CERT, con identificador VU#281284, en el que se hace referencia a un firmware para impresoras Samsung que contendría una cuenta de administración incluída directamente en el código, a modo de puerta trasera.

Neil Smith, del blog http://l8security.com/, publicaba esta misma madrugada detalles más concretos sobre dónde había detectado dicha vulnerabilidad.

Revisando el código de la clase NetworkManager, aparecen varias cadenas constantes inicializadas con el valor s!a@m#n$p%c, que pertenecería a una cuenta de administración SNMP y que permitiría a un usuario remoto el tomar el control total del dispositivo:


Por lo que comenta el autor, dicha cadena se ha encontrado también en firmwares que incluso corresponden con el 2004 como año de publicación.

Si bien Samsung ha retirado las páginas de soporte donde se incluyen los firmwares, en l8security se enlace una página de Dell en la que siguen pudiéndose descargar los firmwares de Samsung para su impresora Dell 2335DN.

Curiosamente, según el informe del US-CERT acerca de esta vulnerabilidad, aún desactivando el SNMP desde la utilidad de impresión, esta community de lectura-escritura seguiría activa pudiéndose utilizar para gestionar el dispositivo.

Mediante este SNMP, sería posible realizar cambios en la configuración del dispositivo, acceder a información sensible (como credenciales), así como ejecución de comandos.

Al parecer, Samsung ha anunciado que sacará una herramienta para solventar esta vulnerabilidad y que los firmwares publicados a partir del 31 de Octubre de 2012 no se ven afectados ni incluyen esta cuenta.



Leer más...

27 noviembre 2012

Hacker Épico.

¿Aun os preguntáis donde está mi libro? Seguramente ya no, ha pasado demasiado tiempo. A principios de año me hacia esta misma pregunta y me asfixiaba con una soga imaginaria. 

Lo que quería hacer me venía grande y no lo estaba afrontando de la manera correcta. Yo escribo artículos para un blog pequeño. Artículos técnicos, cortos, concretos y con formas gramaticales y ortográficas mejorables.

Pero mi problema se acabó de la mejor manera posible; pidiéndole ayuda a Rodrigo, mi amigo de la infancia. A los dos días de hacerle la propuesta, volvió con una idea de lo que podría ser. Nos distribuimos el trabajo: el se encargaría de la historia y yo de la parte técnica. Ambas debían tener el mismo peso.

Nos juntamos un par de tardes para hacer un esquema en tres o cuatro hojas. Algunos detalles se fueron puliendo mientras hacíamos cola para entrar al cine o comiendo unos burritos en un restaurante de comida rápida. 

Semana tras semana las hojas se multiplicaban, la historia se iba desarrollando y como cuando llega el palito largo del Tetris, todo encajaba a la perfección.

Ha sido un trabajo muy duro, pero sobre todo muy divertido. Estoy convencido que el libro lo reflejará. 

Cuando empezamos teníamos en mente a lectores estudiantes de informática y gente que quisiera iniciarse en el mundo de la seguridad, ya que pese a que es ficción, toda la parte de hacking es auto-explicativa, técnicamente viable y detallada paso a paso. En cambio, el feedback que hemos recibido ha sido muy positivo, tanto de aquellos que están empezando,  como de expertos en seguridad.

Hemos intentado darle una vuelta a los libros técnicos clásicos, creando una historia de novela negra en la que el protagonista se vale de sus conocimientos en hacking y análisis forense para llevar a cabo una inquietante investigación para ayudar a su viejo amor platónico.

Hemos huido de escribir otra metodología que guardar en la estantería donde se explica paso a paso una serie de fases, herramientas o protocolos. No es un libro de hacking al uso. Es un relato para ser leída desde la primera hasta la última página.

El viernes, como si no existiese el correo electrónico ni el intercambio de ficheros de forma segura, lo hemos entregado en mano y celebrado. Con la esperanza de que todos los geeks lo disfruten tanto leyéndolo como nosotros escribiéndolo.

Una foto del pendrive que usamos para entregar el libro y que entenderá todo aquel que lo lea.


Ahora que ya está en manos del editor puedo respirar un poco más tranquilo. Me he retrasado un par de años, pero he conseguido el objetivo que me había propuesto: estar completamente convencido y orgulloso del resultado. Se habrán cumplido mis expectativas si algún día un profesor chiflado lo recomienda para despertar el gusanillo por este apasionado mundo en sus alumnos, una de las máximas que Yago me metió en la cabeza cuando me convenció de hacer esta locura de una forma distinta, huyendo de manuales típicos.

Solo me queda daros las gracias a vosotros por la paciencia y los ánimos continuos en comentarios, tweets, correos electrónicos.., a Informatica64 por darme más tiempo y a Rodri por ser arquitecto del proyecto y el Ben Affleck de este Indomable Will Hunting.

Más información del libro en la web: http://www.hackerepico.com

Leer más...

26 noviembre 2012

Lebara y el caso de las reasignaciones de números

En octubre de 2007 la Ley de Conservación de Datos Relativos a las Comunicaciones Electrónicas dió a las operadoras dos años de plazo para identificar a todos sus clientes (principalmente los de prepago). Desde 2009 es obligatorio identificarse (presentar el DNI o facilitar una fotocopia del mismo al operador si se realiza la compra por medios electrónicos) al adquirir una tarjeta SIM de prepago. Si bien este tema no es el motivo del post, simplemente quería recalcar que, incluso los OMVs como Lebara (utilizados normalmente cuando se necesita una SIM local cuando estás de viaje -país extranjero-) están obligados a identificar a sus clientes. Dicho esto...

Hace unos días adquirí dos tarjetas SIM de Lebara (españolas, ya disponía de otras compradas en UK) y, puesto que les iba a dar un uso más o menos habitual, decidí registrarlas en MiLebara. Durante el proceso de activación de la cuenta (el número te lo facilita el distribuidor tras el proceso de activación de la SIM) el sistema me indicó que introdujera mi correo en vez del número de teléfono. Cual fue mi sorpresa al comprobar que, tras el primer acceso (que se realiza con el número de teléfono y el PUK de la SIM), se enlaza el número con el correo electrónico indicado en el proceso de activación y, para posteriores accesos, se utiliza éste y la contraseña que se haya establecido. Esto indica que mi número ya está asociado a otra cuenta y que, por lo tanto, no es posible registrarlo nuevamente.


Puesto que no podía contactar con Lebara en esos momentos (para que me indicaran cuál era el problema y que podía hacer para recuperar el control del número), comencé a registrar el resto de tarjetas Lebara que tenía por casa (UK, FR y la otra ES).

En el caso del resto de tarjetas (las extranjeras), no tuve problemas en crear sus respectivas cuentas pero, cuando cree la cuenta de la española me llevé una sorpresa un tanto delicada...


Como podéis observar... la SIM es nueva, aun ni la he abierto y... ¡ya tiene llamadas en el historial!. Enlazando este hecho con que el otro número ya estaba registrado, deja entrever que la gestión de los distintos números que va a asignando Lebara en base a las SIMs que da de baja por inactividad, es un auténtico desastre, no elimina los datos durante el proceso de desactivación de la SIM, quedando disponibles en MiLebara.

Con respecto a la validez de la tarjeta SIM... Si accedemos al Manual de Lebara (disponible en la propia página) podemos ver que Lebara permite que una SIM esté inactiva hasta cuatro(4) meses y, pasado un mes(1) de margen, la SIM quedará desactivada (perdiendo el número).


Visto lo visto no parece que sea un caso aislado por lo que, si algún día os desactivan la SIM y le asignan ese número a otra tarjeta... ¡un completo desconocido podrá acceder a vuestro histórico de llamadas! -Totalmente inaudito e irresponsable-

Artículo cortesía de Luis Delgado
Leer más...

25 noviembre 2012

Enlaces de la SECmana - 150


Leer más...

23 noviembre 2012

Cuckoo Sandbox Open Source malware analysis II

Hace ya días publiqué aquí en SBD una entrada sobre análisis de malware con Cuckoo.

Para quien haya probado la herramienta seguro que le han surgido ideas de añadir al proyecto para sacar mas información de los análisis o poder hacer análisis en concreto.

Aplicaciones vulnerables

Una de las cosas que tenemos que hacer si o sí para realizar algunos análisis de Exploits kits por ejemplo, es instalar aplicaciones vulnerables en la máquina virtual.
Puede parecer complicado el poder conseguir estas aplicaciones pero hay algunas webs que se encargan de recopilar versiones de software antiguos.
Una de esas webs es oldapp


En el caso de las aplicaciones a instalar, en mi caso busqué una versión de Java y otra de Adobe para poder caer en los Exploits kits.


Si buscamos por Java, aquí tendremos las distintas versiones que nos podemos bajar. Depende de la vulnerabilidad que estemos buscando que nos exploten en la máquina virtual elegiremos una versión u otra.

Ya tenemos por una parte las aplicaciones vulnerables a instalar.

Cuckoo + Virus Total

Otra de las cosas que podemos añadir a los análisis que hacemos con Cuckoo es el ratio de detección con VirusTotal.

Cuckoo ya lleva un módulo para ello, solo hay que añadir la API, para conseguir la API de virus total nos registramos y en nuestro perfil la encontraremos


El fichero python lo tendremos que modificar aquí:

PATH/cuckoo/modules/processing


La API en base al MD5 consultará si el archivo ha sido analizado en la platarforma de Virus Total. Si se ha analizado nos dará el ratio de detección, además del resultado de los antivirus claro:


Si por el contrario, Virus Total no tiene la muestra:


Recordad que en ningún caso subiremos la muestra a Virus Total.

Cuckoo + dominios maliciosos

Por último, otra de las cosas interesantes que podemos añadir a nuestros análisis es que Cuckoo nos avise cada vez que una muestra se ha conectado a un dominio malicioso.

En el blog de rootshell.be escribieron una entrada con un script que nos ayudará en ello.

Primero, en la carpeta /cuckoo/modules/signatures/ añadimos el siguiente código en python:


El código original lo podéis consultar aquí.

Luego en el raíz de Cuckoo creamos una tarea en shell script que actualice la lista de dominios:


Una vez que tengamos esto configurado. Cuando Cuckoo realice las operaciones de post-analisis comprobará si el dominio al que se ha conectado la muestra se encuentra en esa lista.

Si se encuentra en la lista en el análisis veremos:



En esta entrada se ha visto algunos añadidos que se le pueden dar a Cuckoo para mejorar y obtener mas información en los análisis con Cuckoo.

No obstante, recordaros que el proyecto está muy vivo y que podéis hacer vuestras aportaciones.

Artículo cortesía de Marc Rivero López
Leer más...

22 noviembre 2012

OSSEC: Introducción


OSSEC es un Host IDS opensource que incluye características que lo convierten en una herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o Windows.

Nace como sistema de detención de intrusos basado en logs (LIDS o Log-based Intrusion Detection System)  pero en la actualidad ha evolucionado incluyendo otras funciones, entre ellas:
  • Control de integridad de ficheros: verifica que los ficheros relevantes del sistema no sean alterados de forma no gestionada.
  • Control de integridad del registro: igual al anterior, pero para claves del registro. De esta forma se puede monitorizar si se añade un nuevo servicio, y se conecta un dispositivo USB, si se agrega una aplicación para que arranque al inicio de windows, etcéterra.
  • Detección de rootkits: está basado en firmas y es un poco básico. No es tan completo como algunas soluciones específicas como unhide, rkhunter o chkrootkit.
  • Respuesta activa: actuando como IPS, puede añadir reglas al firewall para bloquear hosts que generen eventos determinados.
Aunque la parte más relevante es el análisis y sistema de alertas basado en los logs, para los que dispone de decenas de decodificadores que los procesará con lógica.

Existen dos métodos de instalación, uno local, para un único servidor y otro con orientación cliente-servidor, donde los Agentes desplegados mandan las alertas a un servidor central con funciones de Manager.

El manager recibe y se comunica con los agentes mediante el puerto 1514/udp, por el que se transmiten los registros de forma cifrada (blowfish) y comprimida (zlib).

La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que serán usados según la configuración. Los más importantes son:
  • syscheckd: se encarga de ejecutar los análisis de integridad.
  • logcollector: recoge todos los logs del sistema, ya sean de syslog, ficheros planos, eventos de windows, etc.
  • agentd: envía los registros al manager remoto.
  • execd: ejecuta las respuestas activas (bloqueo de direcciones IP)
  • remoted: recibe los logs de los agentes remotos.
  • analysisd: proceso principal, se encarga de todo el análisis.
  • maild: manda correos electrónicos con las alertas.

La instalación por defecto se realiza en el directorio /var/ossec. Del que cuelga la configuración en el archivo /var/ossec/etc/ossec.conf.

Los decoders de cada uno de los logs se encuentran en formato XML en el directorio /var/ossec/rules/ y tienen el siguiente aspecto:


Las alertas se almacenan por defecto en /var/ossec/logs/alerts.log, aunque está desplegado un gran número de agentes, es recomendable guardarlas en base de datos. De la que podrán ser procesados con alguna de las consolas existentes.
Leer más...

21 noviembre 2012

Espía WhatsApp


Una vez más WhatsApp, y no son pocas las referencias que veo en el blog a esta aplicación.

Esta vez unimos el débil proceso de loggin de los usuarios de WhatsApp con el uso de diferentes APIs de programación que permiten interactuar con el popular servicio.

Como se indica en la página de WhatsAPI, WhatsApp utiliza una versión modificada de XMPP denominada FunXMPP. En el proceso de loggin se utiliza como JabberID el número de teléfono móvil junto con el código de país (en España 34) y como password se utiliza un MD5. En Android se utiliza el IMEI y en iOS MAC address del teléfono para calcular dicho MD5.

WhatsApp nos permite validar si el par numero de móvil y password son correctos mediante una URL. En la imagen inferior se muestra un caso correcto.



Las APIs permiten el envío y recepción de mensajes de WhatsApp desde un ordenador. Algunas además permiten también cambiar la foto del perfil de un usuario, su estado o la última hora de conexión, pero todavía no lo he podido probar estas acciones

Para las demostraciones en vídeo que hice en la NcN  utilicé  python-whatsapi que provee de un cliente totalmente funcional y un ejemplo claro y sencillo que permite enviar y recibir mensajes.

La suplantación de usuarios te la dan "gratis", puedes empezar a mandar mensajes suplantando a la víctima siempre que tengas su número de teléfono móvil y su IMEI o MAC address.

El flood y el spam ya se habían comentado en este post. Pero si además le sumamos la suplantación se abren nuevos escenarios que pueden dar lugar a Phishing o envío de URLs que traten de ejecutar exploits contra el navegador de la víctima.
Con un poco de maldad y buscando los puntos adecuados en python-whatsapi se consigue espiar a otros usuarios sin que ellos se den cuenta.

Por lo que he podido deducir utilizando python-whatsapi el proceso de envío y recepción de mensajes se siguen los siguientes pasos:
  1. El usuario A envía un mensaje a B 
  2. El usuario A recibe la confirmación de que el mensaje ha llegado al servidor
  3. El usuario B recibe una alerta indicando que tiene un mensaje nuevo y notifica al servidor que ha recibido la alerta
  4. El usuario B al iniciar el chat con el usuario A descarga los mensajes y envía una orden para borrarlos del servidor.
Modificando el API para que no envíe el ACK de la alerta (punto 3) ni la orden de borrado del mensaje (punto 4) el espía ya esta listo. Además de imprimir los mensajes que recibe la víctima, es posible añadir funcionalidad para guardar las fotos y los vídeos que le envíen al usuario espiado.

Hay que decir que no es del todo perfecto ya que WhatsApp sólo se permite una conexión, es decir, no puedes estar conectado desde el teléfono móvil y el PC al mismo tiempo. Si esto se produce, el último en conectase desconecta al usuario que estaba previamente conectado. Dependiendo de la implementación del API que se este utilizando se puede entrar en una competición por estar loggado. Pero seguro que con más tiempo, se puede llegar a mitigar este problema.

En la NcN no puede hacer una demo en vivo porque WhatsApp actualizó el protocolo de la versión 1.1 a la 1.2 apenas 3 días antes de mi charla. Desde entonces python-whatsapi no se ha actualizado y no funciona, sin embargo el sábado 10 de Noviembre utilicé Yowsup, motor de Wazap, que si esta actualizado y funciona perfectamente.

A continuación os dejo los vídeos que mostré en la NcN. En todos ellos el teléfono HTC, el de la izquierda, es la víctima.

En este primer vídeo se muestra un posible ataque de spam que se envía desde el ordenador hacia el iPhone.


En este segundo se muestra como podría ser un ataque de flooding de un niño que quiere algo de su padre.


En el tercero se muestra como podría llevarse a cabo una suplantación cuyo objetivo fuera que dos personas tuvieran una discusión de pareja. En este vídeo el ordenador envía mensajes al iPhone haciéndose pasar por la víctima (HTC) hasta que después de 5 mensajes se desconecta y entonces le empiezan a llegar los mensajes al teléfono de la víctima.

 

En el cuarto muestro como el espía intercepta la comunicación entre el iPhone y el HTC, obteniendo mensajes, fotos y vídeos.



Un último ataque que pensé, pero no llegue a implementar es un inflitrador / exfiltrador de información utilizando WhatsApp. Este punto se lo comente a Juan Garrido después de su interesante charla en pijama, que junto a Pedro Laguna, dieron en NcN sobre exfiltración de información. Mi idea es enviar un fichero codificado en base64 en varios mensajes desde un ordenador a otro ordenador, que será el encargado de reconstruir el fichero.

Por último quiero agradecer a Yago el ayudarme a reportar estos incidentes y el esfuerzo que han realizado Javier y la gente de INTECO intentando comunicar estos problemas a WhatsApp. Desafortunadamente la gente de WhatsApp no ha estado muy receptiva a sus comunicaciones.

Artículo cortesía de Pablo San Emeterio 
Leer más...

20 noviembre 2012

sudosh2, registra comandos de la shell

sudosh2 es una herramienta que sirve para grabar sesiones, como si fuera un video, de todos los comandos que se ejecutan en shell. La aplicación nace como continuación de sudosh, y alternativa a rootsh.

Una tarea similar se puede llevar a cabo con el comando "script", incluido en el paquete util-linux. Pero este puede ser evadido y burlado de decenas formas distintas y debe ser invocado después que la shell.

sudosh2 está diseñado para ser llamado desde sudo, cuando un usuario requiera privilegios de administrador. Una vez se ejecuta, almacena en dos ficheros de log los datos: en uno los comandos y en otro los tiempos.

Un método tradicional para saltarse el registro de comandos, ya sea del bash_history o parches en la bash, es usando aplicaciones que permiten la ejecución de comandos. Por ejemplo se abre un editor vi y desde el, se introducen las instrucciones como :!cat /etc/passwd.

Esta técnica no es posible con sudosh2, ya que en el log se verá como se abre el vi y como se ejecutan los comandos.

Para instalarlo, se descarga y compila. Los ficheros de registro se almacenan en /var/log/sudosh/


La configuración de sudo en el /etc/sudoers, sería similar a esta:



Para revisar los videos (realmente archivos de texto procesables), se usa el comando sudosh-replay seguido del ID, sin ese argumento, se listarán todos los disponibles.


Hay bastante carencia de productos de este tipo, tanto en sistemas Unix como Windows y para determinados entorno sometidos a auditorias continuas, son prácticamente indispensables.

Leer más...

19 noviembre 2012

Privacidad paranoica en Mac OS X



Todos aquellos que nuestro trabajo se basa en el buen funcionamiento de un ordenador portátil, en el que almacenamos contenido que es una buena parte de nuestra vida profesional (agenda de contactos, correo, calendario,....) sabemos los riesgos que asumimos si en un momento dado perdemos o nos roban nuestro dispositivo.

Eso nosotros, pobres mortales, que manejamos información sensible, pero de un grado limitado o acotado a nuestra vida privada (fotos, videos, cookies, navegación en internet, contraseñas, etc,...) o nuestra empresa (bases de datos de clientes, secretos industriales y de propiedad intelectual, desarrollos, ideas, etc....) 

No quiero ni hablar de aquellos que nos gobiernan, que manejan información super sensible a nivel de pais. Me refiero a ministros, senadores, "asesores" y altos cargos varios, en los que la pérdida de la información de sus portátiles puede tener carácter de emergencia nacional!

Por ello siempre recomendamos que el disco duro y los USBs que conectemos estén cifrados. En el caso de Windows tenemos de forma nativa BitLocker, en Linux contamos con LUKS y en Mac con Filevault

Al ser mi dispositivo de escritorio un chisme de los de la manzana, me voy a centrar en éstos hoy.

Como recordaréis, Filevault ha sido protagonista de varias vulnerabilidades, que permitían descifrar los datos en una hora o la versión de Mac OS X 10.7.3 en la que era posible verse en texto claro la contraseña introducida del usuario en un fichero de log. Por otra parte, lo de fiarse que el cifrado nativo no tiene puertas traseras, que alguna organización gubernamental americana (NSAs, CIAs, FBIs y demás…) que puedan disponer del código fuente de los sistemas operativos y de forma pactada y secreta -modo paranoico = ON- hayan introducido sus propias claves maestras o mecanismos alternativos de descifrado.

Así que para evitar confiar únicamente en un sistema de cifrado, en mi caso he querido combinarlo con Truecrypt, solución libre de cifrado, que incluso al FBI le ha dado bastante guerra en vidas pasadas. Como sabéis existe versión para Windows, Linux y Mac. En el caso de Windows ya explicamos cómo hacer para cifrar el disco completo con una password de pre-boot. Sin embargo en Mac no es posible hacer este tipo de integración. Por esto vamos a utilizar un contenedor cifrado en el que mantendremos todos nuestros datos privados y que tendremos que montar manualmente, cada vez que arranquemos la máquina desde un estado apagado.

El problema es que el directorio del usuario que arranca no podremos guardarlos en el contenedor cifrado, ya que no sería capaz el sistema de leer varios parámetros predefinidos para cada usuario. Es decir, que sólo podremos guardar aquellos datos que no sean necesarios para el arranque.

Para ello, supongamos que montamos nuestro contenedor cifrado y queda en /Volumes/Crypted. Aparte de tener la estructura de directorios que queramos para almacenar nuestros datos privados, máquinas virtuales, etc,… recomiendo mover (ojo, mi consejo de "mover", es copiar y luego borrar) lo siguiente a este directorio, haciendo enlaces dinámicos de la localización cifrada a la localización original con el mismo nombre.

Os recomiendo poner en la partición cifrada lo siguiente:

/Users/Lawrence/Documents -> si la utilizais para almacenar vuestros documentos
/Users/Lawrence/Pictures -> si la utilizais para almacenar vuestras fotos
/Users/Lawrence/Downloads -> si la utilizais para almacenar vuestras descargas
/Users/Lawrence/DropBox -> Si usais aplicación Dropbox. Tened cuidado porque si la tenéis configurada al arranque de vuestro Mac, dará problemas
/Users/Lawrence/Library/Safari
/Users/Lawrence/Library/Thunderbird
/Users/Lawrence/Library/Mail
/Users/Lawrence/Library/Calendars
/Users/Lawrence/Library/Caches
/Users/Lawrence/Library/Keychains
/Users/Lawrence/Library/Cookies
/Users/Lawrence/Library/Containers/com.apple.Notes/Data/Library/CoreData -> Mis Notas
/Users/Lawrence/Library/openvpn -> tunnelblick
/Users/Lawrence/Library/Application Support/AddressBook
/Users/Lawrence/Library/Application Support/Adium 2.0/Users -> Si usais Adium como cliente de mensajería
/Users/Lawrence/Library/Application Support/Google -> Si usais Chrome
/Users/Lawrence/Library/Application Support/Firefox -> Si usais Firefox
/Users/Lawrence/Library/Application Support/Skype -> Si usais Skype
/Users/Lawrence/Library/Application Support/NetNewsWire -> Lector RSS


Por supuesto, sustituid "Lawrence" por vuestro propio usuario. Igualmente es interesante elegir desde el propio iPhoto, una fototeca almacenada en el contenedor cifrado, como podéis ver en la siguiente imagen




Para hacer esto, mi consejo es reiniciar el Mac y, únicamente, montar la partición cifrada, evitando así que haya programas abiertos o procesos perdidos que aún estén manejando información que queremos proteger. 

Por supuesto, estos cambios pueden darte problemas si no tienes en la cabeza que lo primero que has de hacer al arrancar tu Mac es montar el contenedor cifrado.

Esto es lo que yo mantengo cifrado, pero como habéis visto en la lista, depende totalmente del software utilizado, así que acepto en los comentarios cualquier sugerencia que queráis compartir con nuestros lectores.

Los que preguntéis por el rendimiento de la máquina con tanto cifrado, en mi caso tengo un disco de estado sólido o SSD, por lo que esto no me afecta. Desconozco cómo será con discos duros mecánicos normales y corrientes, pero como siempre decimos, hay que hacer un balance entre seguridad y usabilidad. En mi caso apenas noto la diferencia entre cifrado y sin cifrar… y por supuesto, prefiero cifrado! 
Leer más...

18 noviembre 2012

Enlaces de la SECmana - 149


Leer más...

17 noviembre 2012

BOINC - Computación voluntaria distribuida


BOINC es una plataforma de computación distribuida con fines totalmente altruistas, donde, el poder de cálculo de nuestros procesadores forman parte de una red de procesamiento distribuida para los diferentes proyectos existentes.



Algunos de los proyectos que podemos encontrar y en los que yo participo:


Para poder contribuir, debemos de descargarnos la aplicación habilitada para ello, elegir el o los proyectos en los que deseemos participar e introducir una dirección de correo electrónico y contraseña.

Yo he optado por la interfaz avanzada, ya que me permite, entre otras cosas, configurar el horario de trabajo de lunes a domingo y una granularidad mayor en las preferencias.

Interfaz avanzada de BOINC
Actualmente lo tengo instalado en un sistema Windows, pero además, voy a instalarlo en el servidor principal de casa, que con un uptime del 99,9% voy a aprovechar ese gasto energético colaborando con BOINC. En el caso de debian, hay que seguir las instrucciones que aquí se detallan:


En el caso de que nuestra distro sea diferente, tenemos esta otra dirección:


Si sois como yo en el sentido de que tenéis máquinas encendidas todo el día, puedes colaborar por esta buena causa. Además, puedes salir en el TOP 100 si eres uno de los más colaborativos:


Adrián Ruiz Bermudo
Leer más...

15 noviembre 2012

Música para Hackers

Si algo puede mover la vida de una persona como yo, son tres cosas: El cine, la música y la tecnología. No podría ser de otra manera. Nací y crecí en esta generación, en la que todo está al alcance de un click y en el que la información queda en "la nube". Con modestia incluida puedo decir que somos muchas las personas que nos dejamos llevar por las melodías de una canción mientras experimentamos el placer de navegar, de buscar la manera de vencer al sistema, buscando fallas, aciertos y argumentos para debatir en lugares como este.

La figura del hacker siempre ha llamado la atención y el cine por tanto no ha dejado pasar la oportunidad de retratarlos en algunas de sus películas y engordar gracias a ello sus bolsillos. A mi desde siempre me han gustado estas películas y creo que las he visto prácticamente todas. Por eso quiero darles mi opinión sobre 3 peliculas que considero relevantes y por supuesto, como la mujer de radio y música que soy, unirlas a sus bandas sonoras.

HACKERS

Comienzo por esta por ser la más obvia, si buscamos película de hackers en Google probablemente con la primera con la que demos sea esta. En la película nos cuentan la historia de un joven adolescente genio de los ordenadores que se rodea de otros “super hackers” en su instituto y se dedican con sus conocimientos a destapar una estafa empresarial. Todo ello rodeado de una estética underground.. La película desde el punto de vista técnico es mala, mala y como película también. No obstante se hace bastante entretenida y me gusta su banda sonora y podremos ver a una joven Angelina Jolie con menos curvas.
Parte de su banda sonora es esta canción: "Connected" de los Stereo MC'S. De seguro si la escucha, alguna parte de usted se moverá!



SNEAKERS

Ésta es en mi humilde opinión una de las mejores películas de hackers jamás realizadas. En esta ocasión nos cuentan como un grupo de auditores de seguridad ya más maduritos que la media de edad de los hackers de las películas descubren una extraña caja, que finalmente descubren, se trata de un producto que puede romper todos los elemento criptográficos del planeta (un poco irreal pero bueno, es una película).  A partir de aquí se ven inmersos en una trama de espionajes industriales. A nivel técnico es todo “bastante” creíble para una película de este estilo y no tienen que enseñarnos terminales en 3D ni nada de esto. Cómo película es muy entretenida y considero con buen nivel cinematográfico. La recomiendo totalmente si aún no la han visto.

La banda sonora de esta película estuvo a cargo del gran James Horner. Este personaje, entre muchas bandas sonoras más estuvo trabajando para James Cameron y componiendo otras de sus mejores partituras, con la que consiguió el ansiado Oscar por partida doble. Ya que la famosa canción ‘My Heart Will Go On’, que interpretó Céline Dion, también está firmada por Horner (y eso que él no quería incluir en un principio canciones dentro del soundtrack). Supo combinar elementos de la música celta, los habituales sonidos orquestales y tonos de sintetizadores, todo ello acompañado de coros… magnífica. Y un apunte: Esta es la banda sonora más vendida de la historia. Si me permiten les dejo la versión del violinista André Rieu:



OPERATION SWORDFISH

Llega el turno de una película 100% de hackers, pero también 100% fantasma y muy absurda. Un supuesto super hacker que vive retirado de todo este mundo debido a problemas con la justicia es obligado por la fuerza a volver a las andanzas. La persona que le obliga es Gabriel Shear un peligroso espía que quiere tener acceso a toda la información secreta para así poder venderla al mejor postor. La película es una típica trama Hollywoodiense y poco coherente, a nivel técnico… bueno no tiene nada de técnico… en esta película aprendemos que un hacker es mejor cuantas más pantallas tengas, más potente sea su ordenador y más rápida su conexión.

Sin embargo si algo se debe resaltar de esta cinta es su banda sonora, producida por Paul Oakenfold. La canción que les dejo a continuación hace parte de la pelicula, es un remix hecho por el Sr Oakenfold de la canción hecha por la banda inglesa de rock alternativo Muse. Se llama "New Born".


Espero les haya gustado este post de música para hackers. Estaré pendiente de cada uno de sus comentarios. Y como se dice desde esta esquina del mundo: "Que la música los acompañe donde quiera que vayan".


Un abrazo para todos.
D.
Artículo cortesía de Diana Medina
Leer más...

14 noviembre 2012

Hack.me: recopilando aplicaciones web vulnerables

El grupo formativo eLearnSecurity (liderado por Armando Romeo), ha creado un portal en el cual se pretende recopilar todo tipo de aplicaciones web vulnerables para poder realizar pruebas sobre ellas. Dentro del equipo detrás de este proyecto se encuentra el desarrollador Giuseppe Trotta y el responsable técnico Domenico Quaranta.

En ella se pueden realizar básicamente dos tareas: subir aplicaciones vulnerables y probarlas de forma online.


No solamente se limitan a recopilar aplicaciones típicas como pueden ser DVWA, si no que también se permite la subida de retos de wargames o CTFs, scripts personalizados vulnerables intencionadamente, determinadas versiones de gestores de contenidos de las que se han reportado vulnerabilidades web, etc.

Además de recopilar, para cada uno de los retos subidos para la comunidad, se proporciona un entorno completo con PHP y MySQL para su despliegue y poder así probar directamente todos los ataques dentro del propio portal. Cada una de las subidas puede ser etiquetada, y se incluye una pequeña descripción acerca de las pruebas a realizar o el objetivo de dicha aplicación.


El proyecto se encuentra todavía en fase beta, contando de momento con unas 13 aplicaciones y scripts subidos al sistema, pero estamos seguros de que poco a poco irá creciendo en número de contribuciones y abarcar mucho más entornos con otras técnicas de explotación de vulnerabilidades en aplicaciones web.

[+] https://hack.me/ 
Leer más...

13 noviembre 2012

Conectar Igualdad y su [in]seguridad

El plan Conectar Igualdad tiene como fin la entrega de netbooks a las escuelas secundarias públicas en Argentina, y ya cuenta con dos millones de equipos entregados. Yo fuí uno de los alumnos que la recibieron, y ya hablé de ésta anteriormente en mi blog, primero con una crítica y luego con un post informativo para quitarle la publicidad.
En el día de hoy vengo a hablar acerca de las medidas de seguridad que se implementan tanto en las computadoras de los alumnos como en las de los profesores, o en los mismos servidores de la escuela que también se entregan junto a las netbooks.
Antes de empezar, me gustaría aclarar que el material publicado a continuación tiene fines educativos, y si alguien quiere darle un uso menos ético se puede sentir libre de hacerlo, pero bajo su propia responsabilidad.

Servidores

Dentro del colegio hay Access-Points en cada aula. Estos se encuentran conectados a un sistema central, para poder conectar a los alumnos y profesores a los servidores de la escuela. Estos servidores son máquinas virtuales que corren en un servidor bastante potente. La primera es más sencilla y corre un servidor Web que nos provee algunas aplicaciones y actividades, y la otra funciona como servidor de Theft Deterrent, el programa que gestiona los certificados de arranque que evitan el bloqueo de las computadoras.

Encontrando servidores de Theft Deterrent por Google


Un servidor de Theft Deterrent debería estar disponible solamente en la red local, ya que la gracia del sistema de bloqueo es que el dueño del equipo se conecte regularmente a un AP de su escuela para que se le renueven los arranques. Sin embargo, si buscamos en Google con un dork personalizado podemos encontrar servidores abiertos al público. Si una computadora de esa escuela es robada, el atacante podría renovar sus arranques conectándose a Internet y no necesariamente teniendo que ir regularmente a la escuela.
El dork a continuación es bastante sencillo y podría ser mejorado para obtener mayor cantidad de resultados o menos falsos positivos, aunque para mí fue más que suficiente: title:”Learning Series” inurl:tdserver


Vulnerabilidad XSS en los servidores de Theft Deterrent


La interfaz de administración web del servidor es vulnerable a un ataque de Cross Site Scripting en la página de login de alumno, ubicada en el path /tdserver/student/student_login.php, donde en el argumento GET hwid podemos inyectar código HTML o Javascript, y con esto podríamos robar una sesión legítima de un administrador con un poco de ingeniería social.


Routers con configuraciones por defecto


El enrutador usado no está debidamente configurado: el usuario y contraseña para acceder al panel de administración son los mismos que vienen por defecto (admin/1234). Algo bastante curioso es que ni siquiera es necesario buscar las contraseñas por internet en alguna página tipo Routerpasswords, sino que el mismo router la dice cuando intentamos acceder:


Una vez que accedemos al router con estas passwords por defecto, podemos administrarlo remotamente, pudiendo realizar una algunos cambios no deseados por los administradores:

Software

La netbook es entregada con una distribución bastante floja de Linux basada en Ubuntu y con una partición de Windows 7. Ambas tienen una gran cantidad de programas instalados por defecto relacionados con el estudio.

Linux: SSH activado por defecto

Como dije anteriormente, la distibución de Linux que viene integrada es sinceramente desastrosa, y no estoy hablando solamente de la baja calidad del diseño, sino también de las pésimas configuraciones incluidas.

Un ejemplo de esto es que vienen con el servidor de SSH activado por defecto, algo que no vi que pase en ninguna otra distribución de Linux. Estando en la misma red que una netbook corriendo ese Linux podríamos controlar el equipo remotamente. El usuario que viene por defecto es alumno, y la contraseña que tiene es la misma que el usuario. Este usuario tiene privilegios de sudo, con lo cual también se pueden ejecutar comandos como root, el usuario más privilegiado del sistema:


Identificación remota del propietario de la netbook

Para que la red funcione correctamente, cada equipo tiene que tener un nombre (hostname) diferente. En la guía oficial de Topschool nos recomiendan que sean del estilo Exomate001, Exomate002, etc. El problema es que en algunos colegios el patrón para los hostnames no es un número cualquiera, sino información más sensible.

Uno de estos casos se da en la Escuela Técnica Raggio, en la cual el nombre del equipo es el DNI de la persona seguido del año en el que ingresó, como se indica en su web. Haciendo un escaneo sobre la red de la escuela podemos saber todos los DNIs de alumnos y profesores del colegio, y hacerles un ataque dirigido o APT de una manera sencilla.

E-Learning Class


Siempre que se usan las netbooks en clase, los profesores obligan a los alumnos a usar el E-Learning Class. Este programa privativo y solamente disponible para Windows le permite al profesor gestionar la clase mediante el control de los equipos de los alumnos.


El protocolo que usa el programa, como muchos de los protocolos privativos, tiene bastantes brechas de seguridad de las cuales voy a hablar a continuación.

Cuando el programa del alumno nos da la opción de “conectarnos” al profesor, lo que realmente hace es informarle que se quiere conectar, y escuchar en el puerto UDP/4805 para recibir los paquetes supuestamente provenientes del maestro. Digo supuestamente porque no se hace una verificación de la IP o de algún access token del paquete, por lo que cualquier atacante puede generar un paquete malintencionado para el alumno. A continuación muestro la manera de hacer esto.

Cambiando el proxy remoto de la víctima

El programa le da al profesor la opción de cambiar remotamente la configuración de la computadora del alumno. Viendo un poco lo que nos permitía, me resultó bastante interesante la idea de cambiar el proxy por defecto de Windows, lo que nos permitiría capturar una gran parte del tráfico en Internet de la víctima, aun estando ésta desconectada de la escuela, debido a que la cofiguración persiste.

Para simplificar el ataque, hice un script que envíe un paquete personalizado a nuestra víctima, indicándole que cambie la configuración de su proxy. Su uso es bastante sencillo: cuando el alumno se encuentra conectado a un profesor, corremos el script pasándole como primer argumento su IP, seguido de la IP y el puerto de nuestro proxy. Veamos un ejemplo:


El ícono que remarqué en la bandeja del sistema indica que estamos conectados al profesor. Como se ve en la configuración, no se está usando ningún servidor proxy. Ejecutemos el script a ver qué pasa:


Siendo 192.168.2.6 la IP de la víctima y 123.123.123.123 la del servidor con el proxy. Una vez que se envía el paquete, veamos la configuración remota del alumno:


Como vemos, la configuración se cambió efectivamente. La mayoría de las aplicaciones usarán esta dirección como intermediario para internet, lo que nos podría permitir el monitoreo del tráfico de la víctima.

Código fuente del script que envía paquetes que cambian el proxy:


Ejecución remota de comandos en la víctima


Si lo anterior no fue suficiente, también podemos ejecutar comandos y aplicaciones remotamente, ya que el programa de profesor puede hacer esto y no hay una autenticación, como dije anteriormente.

Este proceso es un poco más difícil que el anterior, ya que el programa usa un sistema de checksum (verificación de la integridad) del paquete cuyo funcionamiento no pude entender todavía. Por lo tanto, debemos generar el paquete con una computadora con el E-Learning del profesor y enviarlo a nuestro propio equipo que use Windows y esté conectado al profesor. Mientras tanto, con otro script que hice sniffamos los paquetes buscando el indicado que ejecuta comandos en el alumno. Más tarde, enviaremos el mismo paquete a nuestra víctima.

Veamos más detallado el proceso para ejecutar el símbolo del sistema en la víctima:

Como primer paso corremos el script sniff_cmd.py para que capture el paquete cuando nos lo envíen. Antes que todo se debe instalar scapy para Windows.


El sniffer está corriendo, procedemos a ejecutar el comando desde el profesor:


Hecho esto el sniffer debería haber capturado el paquete:


El paquete es guardado en un archivo de nombre packet, y puede ser fácilmente reenviado a nuestra víctima con netcat. Usemos el siguiente comando: nc -u -w 1 xxx.xxx.xxx.xxx 4805 < packet

Con esto le indicamos que se comunique vía UDP, con un timeout de 1 segundo (enviamos el paquete y cierra la conexión, no nos importa recibir datos) a la IP de la víctima en el puerto 4805 que es en el que la aplicación escucha. Con un “<” le indicamos que le envíe el contenido del archivo packet, el paquete capturado. Hecho esto ya se debería estar ejecutando el cmd en nuestra víctima:


Códiigo fuente del sniffer:


Descarga del E-Learning para el docente: http://www.mediafire.com/?eye4x6kdrhnboec

Descarga del E-Learning para el alumno: http://dl.dropbox.com/u/45126758/student_2.0.38.154.exe

Sistema de bloqueo

Las netbooks tienen integradas un sistema anti-robos bastante avanzado. Para evitar el bloqueo el alumno se debe conectar regularmente a los servidores del colegio, donde automáticamente se le entrega un certificado para cuando arranque, el cual tiene una cantidad máxima de arranques y una fecha límite. Si se supera la fecha o la cantidad de arranques, la próxima vez que se encienda el ordenador este se bloquerá, y teóricamente la única manera de desbloquearlo será introduciendo un código de 10 digitos u obteniendo un certificado desde un pendrive generado por el administrador.

El bloqueo se realiza por hardware, un TPM no dejará encender correctamente cuando el certificado o los arranques hayan expirado.


Postergando el bloqueo cambiando la fecha

Un método bastante sencillo para evitar el bloqueo de la computadora es mediante el cambio de la fecha en el BIOS. Aunque ésta tarde o temprano se vaya a bloquear porque no le queden encendidos, en algunos casos podremos usarla un largo tiempo (en mi escuela me llegaron a dar 2000 arranques en un solo certificado)


Desbloqueo permanente por hardware

Si lo que queremos es anular el sistema de bloqueo para siempre, tengo amigos que lo que hicieron fue desarmar la computadora para hacer falso contacto con el chip TPM, provocando que el BIOS no lo tome en cuenta. Esto se puede ver más en detalle en este post o en el siguiente video:


Me gustaría aclarar que esto anula la garantía y hacerlo podría hacer que nos quiten el equipo los de Conectar Igualdad si este se encuentra en comodato.

Conclusión

Por más que el plan Conectar Igualdad en sí y los fines de este me parezcan una excelente idea, me parece que deben plantearse un poco mejor el tema de la seguridad. Hay más de una vulnerabilidad bastante grave expuesta en este artículo, por lo que espero que puedan ser resueltas.

Una medida que están tomando los aministadores es instalar Huayra, otra distribución mucho mejor de Linux que la que incluyen ahora. Quieren que sea el sistema operativo que bootee por defecto, por lo que los usuarios lo probarían y quizás se quedarían con este, en vez de usar solamente Windows y dejar a GNU/Linux de adorno en la computadora.

Saludos!

Contribución por cortesía de  
Leer más...