31 marzo 2013

Enlaces de la SECmana - 168


Leer más...

29 marzo 2013

Los tiempos cambian, las tecnologías evolucionan y esto pasa factura en todas las disciplinas. Siempre dicen que los malos van mucho más deprisa que los buenos. Y es que siempre será más fácil poder atacar que defenderse.

En la ciencia del análisis de malware, las muestras han avanzado en la dificultad a la hora de poder analizarse. El uso de packers, crypters y derivados dificulta el análisis por parte de los analistas de malware.

Además, los malvados publicitan este tipo de servicios de crypters y packers para que puedas hacer tu muestra indetectable por parte de los antivirus.


Un posible anuncio de un servicio de crypters

Aparte de usar este tipo de servicios para volver las muestras indetectables le añaden controles para que no sea posible analizar la muestra en una máquina virtual.

Esto lo hacen para evitar posibles escenarios en los que se procesen las muestras de manera automática en una sandbox.

Ya hay proyectos en los que se pueden realizar estos procesados automáticos. En sandbox como Cuckoo, del que ya se ha hablado aquí en el Blog de Security by Default, se pueden realizar escaneos de manera automatizada encolando las muestras para que se vayan analizando una a una.

Para evitar este tipo de entornos añaden protecciones que cuando detectan este tipo de entornos no ejecutan la muestra.

Existen scripts que permiten analizar los binarios para saber si tienen protección de máquina virtual.


En teoría esta muestra, según la salida de peframe, sería capaz de detectar un entorno virtual, así que no se ejecutaría en este tipo de escenarios.

También podemos hacer la comprobación con aplicaciones como vmdetectguard, que el crack de Juan Garrido mostró en un post en Security By Default .

Pero, en este caso no hablaré de eso, sino de modificar algunos aspectos de VirtualBox para que podamos analizar este tipo de muestras en este entorno virtual, saltándonos las protecciones implementadas por el propio malware.

El primer paso sería tener una máquina virtual creada con un sistema Windows XP, 7 u 8, haciendo la instalación sin incluir las guest additions en Virtualbox.

Lo siguiente que haremos será cambiar ciertos aspectos en el registro de Windows en la máquina virtual.

Para hacerlo más fácil crearemos un archivo .BAT para que se ejecuten estas instrucciones de una en una.




Cambiaremos cierta información de la máquina virtual que hemos creado con VBoxManage. Para ello, apagamos la máquina virtual y ejecutamos los siguientes cambios.



En el sitio donde pone "XP-VM" ha de ser el nombre que le hayas dado a la máquina virtual.
Ahora tendremos que hacer unos últimos pasos:

marc@darkunix ~ $ sudo dd if=/sys/firmware/acpi/tables/SLIC of=SLIC.bin 
marc@darkunix ~ $ mv SLIC.bin /home/marc/VirtualBox\ VMs/XP-VM/ 
marc@darkunix ~ $  VBoxManage setextradata "XP-VM" "VBoxInternal/Devices/acpi/0/Config/CustomTable" /home/marc/VirtualBox\ VMs/XP-VM/SLIC.bin

Con estos cambios, ya tenemos la máquina virtual indetectable.


Como veis, con Pafish, hemos conseguido que no detecte que se encuentra en un entorno virtual.

Aunque hemos realizado estos cambios no se garantiza que haya algún tipo de check que detecte el entorno virtual.


Artículo cortesía de Marc Rivero López
Leer más...

28 marzo 2013


¿Has notado que algunas páginas web funcionaban más lentas estos días, especialmente si vives en Londres? Pues yo no, pero dicen que sí. Algunas de las fuentes que lo aseguran tienen intereses comerciales en exagerar el caso, pero no es a lo que vamos.

Lo que vamos a ver es qué pasó entre CyberBunker y Spamhaus y el que algunos ya califican como el mayor ataque DDoS de la historia.

Qué ha sucedido

Hace poco más de una semana, el 18 de marzo, Spamhaus, servicio líder en la lucha contra el spam, se puso en contacto con CloudFlare, un CDN (servicio de distribución de contenidos) especializado en mitigar ataques, para pedirles ayuda con un ataque DDoS que estaban recibiendo, por aquel entonces de 10 Gb/s. A partir de ese momento, CloudFlare pasó a recibir las peticiones dirigidas a Spamhaus, pudiendo mitigar el ataque inicial a través de su red de anycast.

Según CloudFlare, el ataque inicial fue de unos 75 Gb/s, que entra dentro de lo que su red y su plan de tarifas con sus proveedores Tier-2 prevé y no necesitaron tomar ninguna medida especial para mitigarlo, así que se dedicaron a «dejarlo estar y ver qué podían aprender».
Pero en vista de que el ataque dejaba de tener efecto, los atacantes fueron subiendo la intensidad, lo que a su vez fue provocando que las consecuencias del ataque fuesen escalando niveles. A medida que el ataque subía a 120 Gb/s el día 22 hasta llegar finalmente a 300 Gb/s (siempre según datos de CloudFlare) las consecuencias empezaban a notarse en el Tier-2 e incluso en el Tier-1.

Además de aumentar de intensidad, el ataque empezó a diversificar también sus objetivos apuntando hacia los puntos neutros. Los puntos neutros son puntos de interconexión entre distintas redes. Si consiguen tirar un punto neutro, o incluso si consiguiesen tirar un Tier, las consecuencias podrían ser más que notables. Por suerte, parece que «solo» consiguieron congestionar el punto neutro de Londres en algún momento, al parecer, debido a una configuración demasiado permisiva del punto neutro. Otros puntos neutros atacados fueron los de Amsterdam, Fráncfort y Hong Kong. ESPANIX es el punto neutro de España, que se encuentra en Madrid y por lo visto no ha sido atacado o no de forma notable.

Hay que tener en cuenta que hasta aquí son datos proporcionados por CloudFlare, que es la empresa contratada por Spamhaus para mitigar el ataque y por lo tanto podría tener intereses comerciales en exagerarlo. Aunque McAfee reconoce que sí que es posible que los usuarios particulares se hayan visto afectados.

Ahora vamos a una parte que para mí es algo más interesante, el porqué.

¿Quién está detrás del ataque y cuál es su motivación?

Bueno, teniendo en cuenta que Spamhaus es la organización que administra las listas negras de spammers más populares, no es difícil encontrarles enemigos. Especialmente teniendo en cuenta que los spammers no suelen ser las personas más diplomáticas cuando se les cabrea.

Una organización implicada en turbios negocios con la que Spamhaus no tiene precisamente una relación muy cordial es CyberBunker.

CyberBunker es un data haven o paraíso de datos. Sí, el término proviene de una analogía con los paraísos fiscales, pues los data haven son servidores que alojarán tus datos sin reparar en la condición legal de los mismos, el único pero que pone CyberBunker es a la pornografía infantil o el terrorismo, fuera de eso, lo que quieras.
El nombre de CyberBunker también tiene su explicación y es que su datacenter es un antiguo refugio nuclear de la OTAN en Holanda y en su página web se jactan de haber sido capaces de resistir un intento de redada por parte de los SWAT.

Entre los clientes más famosos de CyberBunker se encuentran The Pirate Bay, que en un principio no tendría que tener problemas con Spamhaus, y la Russian Business Network.
La Russian Business Network, definida por la empresa de seguridad VeriSign como «lo peor de lo peor», es una potente organización de cibercrimen oficialmente desarticulada por el FBI, aunque realmente es difícil definir si se ha disuelto o no al no ser un grupo legalmente constituido y se cree que sigue en activo desde China con un perfil de actividad más bajo. Algo así como los GRAPO de Internet, vaya.

Entre sus líneas de negocio, la más exitosa fue una con la que seguro que nos hemos encontrado alguna vez: los falsos antivirus que te alertaban de imaginarias amenazas que habían infectado tu ordenador para instarte a comprar la versión de pago que te desinfectaría, cuando lo que en realidad hacía esa versión de pago era instalarte un troyano. Sí, les estabas pagando para que te instalaran un troyano, los de RBN se lo habían montado bien, aunque no dejaba de resultar gracioso cuando estabas en Linux y te salía una ventana del navegador imitando a la de Windows XP diciéndote que tenías un virus en C:\WINDOWS\System32


Pero además, RBN también vendía servicios de spam, lo que acabó llevando a que al final se las tuvieran que ver con Spamhaus. Y Spamhaus, claro, por mucho que solicitara a CyberBunker que le cerraran el grifo a RBN, no tenían pensado hacerlo porque eso iría en contra de su política de «(casi) todo vale». Así que Spamhaus se fue al siguiente nivel decidió incluir a CyberBunker como organización proveedora de servicios de spam y acudió al carrier de CyberBunker, A2B, para que les cerraran el grifo. A2B tampoco cedió y finalmente Spamhaus incluyó a todo A2B en su lista negra como medida de presión, por lo que A2B acabó cediendo y desenchufó a CyberBunker, aunque posteriormente inició un pleito contra Spamhaus por extorsión.

La cosa parecía que había quedado en el olvido y todo volvió a la situación inicial, hasta este mes de marzo en el que Spamhaus volvió a incluir a CyberBunker en su lista negra y poco después empezó el ataque DDoS. Por si todavía teníamos alguna sombra de duda de que detrás del ataque estaba CyberBunker, The New York Times ha citado a un portavoz afirmando que sí, que son ellos y lo hacen como represalia. Posteriormente diría en Facebook que sus palabras habían sido manipuladas y que CyberBunker no estaba detrás de los ataques. En cualquier caso, más tarde, el máximo responsable de CyberBunker acabaría reconociendo en una entrevista a Russia Today que sí que habían atacado a Spamhaus.

Y ahora vamos con la parte que más nos interesa, ¿verdad? Cómo lo han hecho.

Cómo se hizo el ataque a Spamhaus

El ataque ha sido un tipo de ataque smurf conocido como amplificación DNS. Los ataques smurf, palabra con la que son conocidos en inglés los pitufos, son un tipo de ataque en el que enviando una pequeña cantidad de tráfico consigues que llegue mucho más tráfico a la víctima. El ejemplo típico es aquel en el que quieres atacar un equipo de tu misma red y para llevarlo a cabo haces ping a la dirección de broadcast haciendo spoofing de la dirección IP de origen para que las respuestas vayan dirigidas a tu víctima. Así, si en tu red hay conectados 10 equipos y envias un paquete ICMP request a la dirección de broadcast con la dirección IP de la víctima, esta recibirá 10 respuestas ICMP reply. Si repetimos esta operación 1.000 veces, la víctima recibirá 10.000 paquetes. Este es el ejemplo más simple de ataque smurf que hoy en día ya no es útil, empezando por el hecho de que muchos equipos ya no responden a los pings broadcast.
Hay que tener en cuenta que el tipo de paquete que se use para este ataque tiene que ser ICMP, UDP o cualquier otro protocólo no orientado a estado y sin handshake. No se podría usar TCP porque los paquetes mantienen información sobre el estado de la conexión y para establecer una conexión es necesario llevar a cabo el handshake SYN-SYN/ACK-ACK.

En el caso de amplificación DNS, el smurfing se consigue fácilmente ya que una petición de unos pocos bytes puede llegar a originar una respuesta de varios kilobytes.

Un ejemplo de una petición de 38 bytes que genera una respuesta de 7129 bytes:



Aunque para respuestas demasiado grandes el protocolo DNS suele funcionar por TCP y no por UDP, vamos a obviar este detalle por comodidad y teóricamente vamos a asumir que la comunicación se hace por UDP y entonces podemos falsificar la dirección del remitente y hacer que las respuestas lleguen a la víctima. Así, si repetimos la operación 10.000 veces, conseguiremos que a la víctima le llegue un tráfico de 70 MB habiendo generado nosotros sólo 380 KB.

Si además tenemos en cuenta que hay miles de servidores DNS públicos que aceptan peticiones desde cualquier origen, tendremos toda una botnet pública a nuestra disposición para lanzar el ataque.
Cuando CloudFlare publicó su primer informe, antes de que el ataque se multiplicara por cuatro, llegaron a detectar ataques desde 30.000 servidores DNS distintos, aunque Open DNS Resolver Project dice que hay hasta 25 millones de servidores potencialmente vulnerables.

¿Cómo protegerte de este ataque? Difícilmente, ya que no es un fallo en tu red ni en tu software, el fallo está en equipos ajenos (y en el diseño inicial de Internet y el DNS basados en gran parte en la buena fe) repartidos por todo el mundo que permiten ser usados como equipos zombies para un ataque. Además, los equipos zombies que se están usando no es una modesta botnet construida con equipos domésticos infectados y con una conexión ADSL, son miles de servidores con conexiones de alta capacidad.

Las principales medidas contra el ataque las tiene que poner los servidores DNS vulnerables y son dos que están explicadas con más detalle en Open DNS Resolver Project:
  • Limitar el acceso al DNS. Si no es posible bloquear el acceso desde el exterior, limitar al menos la frecuencia de peticiones por IP.
  • Implementar técnicas de bloqueo de spoofing como BCP-38.
Artículo cortesía de Jesús Pérez 
Leer más...

27 marzo 2013

OS X Mountain Lion en VMWare/VirtualBox


Como comentaba el año pasado en una entrada similar, hay veces que no hay muchas opciones para llevar a cabo alguna tarea en el mundo de la auditoria.

Es común, por ejemplo, tener que trastear con XCode para auditar código Objective-C o para arrancar el simulador de IOS. Pero por desgracia XCode solo funciona en sistemas operativos OS X.

Si no disponéis de un equipo de Apple, siempre cabe la posibilidad de recurrir puntualmente a alguna solución de virtualización o incluso a la instalación nativa en un equipo Intel. 

Una opción atractiva que facilita esta instalación es iATKOS, que incluye la última versión del sistema (10.8) y de la que además hay incluso imágenes VMWare/VirtualBox descargables

OS X 10.8.3 Virtualizado en VMware
Por supuesto, esto no es una práctica legal ni recomendable. Además, es  posible que esas imágenes contengan malware. Así que si estás pensando más allá que para un par de tareas puntuales. Tal vez debas plantearte adquirir uno de estos sistemas.


Leer más...

26 marzo 2013

Análisis forense en navegadores Mozilla

En este artículo vamos a realizar una introducción al análisis forense en navegadores web, centrándonos en esta ocasión en la familia Mozilla: Firefox / Seamonkey / Iceweasel / Otros forks.

Como sabemos, un análisis forense consiste en obtener toda la información posible de un determinado dispositivo o software, analizarla y posteriormente presentarla a quien la haya solicitado. Este tipo de análisis aplicado al navegador web puede probar u ofrecer pistas sobre ataques informáticos, robo de información, conversaciones, correos, datos personales, etc.

Para el análisis vamos a usar dos herramientas opensource que se complementan mutuamente: dumpzilla, herramienta en Python con la que vamos a poder extraer información sobre el funcionamiento / uso del navegador y MozCache, que nos permite explorar el contenido de la caché utilizada por el navegador. Tanto dumpzilla como MozCache pueden funcionar bajo sistemas Linux y Windows, pero se recomienda su utilización bajo entornos Unix. Estas aplicaciones, su configuración y la información sobre su funcionamiento se puede encontrar en sus respectivas páginas oficiales.


Directorios donde los navegadores Mozilla guardan sus perfiles según SO:
  • Linux: /home/user/.mozilla/firefox/xx.default
  • MacOS: /Library/Application Support/Firefox/Profiles/xx.default
  • Windows XP: C:\Documents and Settings\user\Datos de programa\Mozilla\Firefox\Profiles\xx.default
  • Windows Vista, 7 y 8: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\xx.default
La información que podamos extraer del navegador dependerá de varios factores, no siempre se va a tener suerte y vamos a encontrar todo lo que nos gustaría. Son determinantes los hábitos de uso del usuario, versión del navegador, configuración del mismo y como no, el azar.

Veamos un ejemplo de lo que es capaz de obtenerse de un navegador después de que el usuario haya iniciado una sesión en el portal hotmail.com.

$ python3.2 dumpzilla.py xxx.default/ --History -url login.live.com

Last visit: 2013-03-17 17:37:05
Title: Iniciar sesión
URL: https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1363538221&rver=6.1.6206.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=3082&id=64855&mkt=es-es&cbcxt=mai&snsc=1
Frequency: 1

Last visit: 2013-03-17 17:37:35
Title: Una contraseña no es suficiente
URL: https://account.live.com/Proofs/Manage?ru=https://login.live.com/login.srf%3flc%3d3082%26sf%3d1%26id%3d64855%26tw%3d18000%26fs%3d0%26ts%3d-1%26cbcxt%3dmai%26ntprob%3d-1%26snsc%3d1%26sec%3d%26mspp_shared%3d1%26seclog%3d0%26wa%3dwsignin1.0%26wp%3dMBI%26ru%3dhttp://mail.live.com/default.aspx&mkt=ES-ES&uiflavor=web&id=64855&lqsp=ntprob%3d-1&mpcxt=AFP&oru=http://mail.live.com/default.aspx&lmif=100
Frequency: 1

----------------------------------------

Este comando muestra que, efectivamente, el día 17 a las 17:37:35 alguien se autenticó en una cuenta de hotmail con ese navegador. Como se puede apreciar en el segundo párrafo, el portal le solicitó otros medios de autenticación para fortalecer la seguridad y facilitar la recuperación de la cuenta en caso de robo o perdida de credenciales.

Ahora nos interesaría saber qué cuenta fue accedida, aunque se podría ver también mediante el  historial, vamos a dirigir dumpzilla hacia la información de formularios que guarda el navegador.

$ python3.2 dumpzilla.py xxx.default/ --Forms -range_forms "2013-03-17 17:30:00"  "2013-03-17 23:00:00"

Le indicamos a dumpzilla que nos muestre lo que ha escrito el usuario en los formularios web entre las 17:30 y las 23:00 de ese día, obteniendo el siguiente resultado.

Formularios web
En la parte superior se ve la dirección de correo ("rrosanegra") y la respuesta a la pregunta secreta "iSecretAnswer", esta última solicitada por la página de hotmail con etiqueta “title”: "Una contraseña no es suficiente". Si seguimos analizando nos percatamos que poco después de autenticarse, el usuario decidió actualizar su perfil personal dando datos como la fecha de cumpleaños, teléfono, ciudad y otros datos de carácter personal.

Esta información, como cualquier texto insertado en formularios de páginas web, permanece guardada hasta que el usuario lo elimine por medio de las opciones de configuración del navegador.  En Firefox podemos borrar los datos de navegación pulsando sobre Preferencias > Privacidad > Limpiar su historial reciente > Todo. Otra alternativa es borrar el directorio de los perfiles, en Linux "$HOME/.mozilla", el cual nos dejaría el navegador como recién instalado, sin duda algo más radical.

Vamos a seguir analizando un poquito más este acceso al webmail para saber qué hizo el usuario antes de cerrar Firefox. Para ello usaremos la opción "--Session".

$ python3.2 dumpzilla.py Escritorio/hotmail_forensic --Session

Últimos movimientos en el navegador.
Parece ser, según podemos ver en la salida del comando, que durante su instancia en hotmail leyó un correo de un tal “focabugs” y quiso chatear con alguien por medio del messenger web de hotmail. Por supuesto las URLs también podemos encontrarlas en el historial, el cual ofrece una visión mucho más completa sobre qué hizo el usuario en esa sesión en cuanto a URLs se refiere.

La opción que muestra los últimos movimientos de la sesión del navegador da a conocer otro tipo de datos que mediante otras opciones sería imposible de localizar. Como por ejemplo los últimos textos escritos en el messenger web de hotmail o Gtalk. Estos no pueden ser visualizados con la opción "--Forms" porque no son formularios estándar, sino aplicaciones Ajax.

Ya hemos obtenido bastantes cosas con solo usar dumpzilla, ahora pasamos a analizar la caché del navegador con MozCache.

Lo primero que debemos hacer con la herramienta es especificarle la ubicación del fichero "_CACHE_MAP_" (Índice de la caché), que es el que contiene, entre otras cosas, las rutas a todos los ficheros cacheados por el navegador y a sus metadatos.

Ruta al archivo índice de la caché: xx.default/Cache/_CACHE_MAP_

La caché suele tener un tamaño considerable, ocupando cientos de megas de disco duro en forma de imágenes, códigos javascript, texto, ficheros multimedia y json entre otros. Como es de esperar, la herramienta permite buscar textos concretos y filtrar por tipo de archivo, también podemos ordenar la información obtenida por tiempos de acceso, tamaño, ubicación y URL.

Sabemos, porque lo vimos anteriormente, que el usuario había estado utilizando el messenger web de hotmail, por lo que sería interesante buscar algo al respecto en caché. Filtrando por determinadas palabras o bien buscando las fechas que vimos al principio, MozCache nos muestra ficheros que pueden resultar interesantes para nuestro análisis. Además el fichero cacheado con dominio "people.directory" que muestra MozCache tiene muchas papeletas de ser de nuestro interés.

Direcciones de los contactos del webmail.

Exportamos el archivo, lo abrimos con un editor de texto y vemos todas las direcciones de correo electrónico de sus contactos después de limpiarlo.

Para terminar veamos un último ejemplo. Dado el supuesto de que conocemos el "asunto" de un correo de la bandeja de entrada, podemos buscar ficheros con dicho "Subject", para el ejemplo usaremos la cadena "ESPRIT". Una vez nos muestre el fichero de la caché que contiene esa coincidencia, seguimos el mismo procedimiento mostrado anteriormente: Exportamos el archivo, lo abrimos con un navegador web y sorpresa, tenemos un html con su bandeja de entrada. De ahí sacamos información de emails recibidos, fechas, número de correos en spam, etc. Hay que decir que esto suele ser más habitual encontrarlo cuando el usuario deja la sesión web abierta.

Bandeja de entrada del webmail Yahoo.

No olvidemos tampoco que el uso de aplicaciones en modo texto facilita su integración con otro tipo de comandos y lenguajes de programación, un simple grep al historial podría ayudar bastante a encontrar determinados patrones de ataque:

$ python3.2 dumpzilla.py xxx.default/ --History | grep -B 1 -A 2 -i "\.\./\|select\|drop table\|%3C\|cmd=\|\.exe\|c99\.\|\/\*\*\/\|<?\|?>\|phpshell"

Búsqueda de URLs sospechosas.

Hemos visto muy por encima cómo se realiza un análisis forense al navegador web, dejando en el tintero muchas otras posibilidades de uso y funcionamiento de las herramientas mencionadas. Por nombrar algunas, podemos extraer también las cookies, visualizar los accesos a URLs y rutas en disco usadas por los addons y extensiones, configuración del proxy, certificados SSL añadidos, caché html5, ficheros javascript sospechosos, credenciales, etc. Incluso se podría usar una de las opciones de dumpzilla para auditar el uso de nuestro navegador en tiempo real con la opción "--Watch", como muestra el siguiente video:


[+] Página oficial de DumpZillahttp://www.dumpzilla.org/
--------------------------------------------------------------------------------

Artículo cortesía de Busindre
Leer más...

25 marzo 2013

Prot-on: Compartiendo información cifrada




Cada día entiendo más a Wardog, cuando veo las barbaridades que hacen algunas organizaciones para su operativa diaria. Si se entera la AEPD que hay empresas que usan Dropbox para compartir bases de datos completas con información clasificada como de nivel alto, con la multa que les impondrían se podría comprar un equipo de fútbol de primera división con estadio incluído.

Y es que muchas veces, la nube nos engaña. Nos prometen novedosos y curiosos servicios, algunos de ellos incluso gratuitos, sin contrato de por medio (o con mucha letra pequeñas que no todo el mundo se lee) en el que se dice que los datos que subas a ese servicio, pueden ser usados por el proveedor (como Facebook con las fotos, me gusta, grupos, hábitos en generar…) y al final nos la terminan liando en algún punto. 

Sin embargo, a la hora de llevar a cabo trabajos colaborativos, en los que es necesario compartir información, se hace necesario que exista alguna forma cómoda y segura para este cometido. Lo más normal es usar GoogleDocs u Office 365 de manera que los ficheros (y su contenido) se almacenen "en la nube". El día que Google use esos datos para lo que le de la gana, o decida cerrarlo como ha ocurrido con Google Reader, millones de personas tendrán un problema. 

En mi caso, he estado mirando alternativas que permitan solucionar el problema planteado. Me ha llamado mucho la atención el funcionamiento de Prot-on, que curiosamente es una startup española cuyo objetivo es el cifrado en local de diferentes documentos (imágenes, PDFs, ficheros Office, texto plano copiado del portapapeles, etc,…) que se integra dentro de los menús conceptuales de sistema operativo en el caso de Windows y Mac.

La clave de cifrado/descifrado para cada documento, así como la gestión de los permisos de cada fichero, será lo que se almacene en la nube. De esta forma, se evita que los ficheros en claro, tengan que estar en un servidor que no conocemos y del que "nos tenemos que fiar" protegidos con una simple autenticación usuario/contraseña.

En este caso, los ficheros los albergamos en local (o en un servidor de nuestra nube privada) pero la clave para poderlo utilizar se encuentra en la nube. Asimismo, y uno de los puntos fuertes de Prot-on, es la posibilidad de integración directa con Dropbox. De esta manera, aquellas organizaciones que no dispongan (o no quieran disponer) de recursos de almacenamiento pueden contar con la capacidad de Dropbox, que almacenará los ficheros cifrados. La contraseña de cada uno de estos ficheros así como la gestión de los permisos de cada usuario sobre los mismos se controlarán desde Prot-On.



Lo único que necesitarán las personas que quieran compartir ficheros cifrados serán los agentes de Dropbox y de Prot-on. He probado los de Mac, Windows e IOS, y de momento funcionan de forma estable. He visto que además de Dropbox, disponen de Plugins para Firefox y que próximamente tendrá integración con Google Drive y Microsoft Skydrive. 

Se puede enlazar también con las redes sociales LinkedIn, Twitter y próximamente con Facebook, de manera que cuando se cifre un documento, se comparta en Twitter o LinkedIn. No creo que utilice nunca esta funcionalidad, pero supongo que si está ahí será porque alguien lo ha pedido.




Por pedirle cosas al fabricante, estaría genial que se pudiese integrar con la nube privada en organizaciones que hayan desplegado Owncloud y, para evitar que haya que seguir sacrificando gatitos, por favor que traduzcan "Método de Encriptación" por "Algoritmo de Cifrado" en la pantalla de Preferencias. Como se ve, se puede elegir entre AES-128 y AES-256 para el cifrado elegido de los ficheros.
   


La versión gratuita permite dar acceso de lectura e impresión de los ficheros a quien queramos, pero la edición y copia, sólo la puede hacer el dueño del mismo. Si se quiere que varios usuarios puedan editar el mismo fichero, es necesario pasar a la versión premium.
Leer más...

24 marzo 2013

Enlaces de la SECmana - 167


Leer más...

23 marzo 2013

FedEX malware

 
El malware se distribuye de muchas maneras, una de ellas es mediante el envío de correos electrónicos. El malware puede venir adjunto con otra extensión o es posible que te den un enlace que te lleve hasta un exploit kit.

 En el caso de hoy, he recibido un correo sospechoso que parece venir de FedEX,  así que he analizado la muestra en un laboratorio para saber como actuaba la muestra, donde se conectaba, que acciones realizaba etc...


Lo primero de todo es mirar el correo, mediante ingeniería social intentan que el mensaje parezca que proviene del proveedor legítimo, de esta manera hacen más fácil la infección al usuario final.


El correo básicamente dice que me han intentado entregar un paquete y que no han podido, así que invitan a  descargar un recibo y entregarlo para que me den el paquete. Para descargar el recibo, tenemos que hacer click en el enlace.

El enlace es de una web japonesa, antes de descargar el fichero, miramos el whois del dominio, así podríamos saber quien lo ha registrado y cuando se ha registrado, por si se trata de un dominio registrado para una reciente campaña de distribución de malware, por ejemplo.

darkmac:Desktop marc$ whois sakura.ne.jp
[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information,     ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e'     ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'.                 ]

Domain Information: [B%I%a%$%s>pJs]
a. [B%I%a%$%sL>]                 SAKURA.NE.JP
b. [B$M$C$H$o!<$/$5!<$S$9$a$$]
c. [B%M%C%H%o!<%/%5!<%S%9L>]     B$5$/$i%$%s%?!<%M%C%H
d. [Network Service Name]       SAKURA Internet
k. [BAH?%<oJL]                   B%M%C%H%o!<%/%5!<%S%9
l. [Organization Type]          Network Service
m. [BEPO?C4Ev<T]                 TU053JP
n. [B5;=QO"MmC4Ev<T]             TS22695JP
n. [B5;=QO"MmC4Ev<T]             KW419JP
p. [B%M!<%`%5!<%P]               ns1.dns.ne.jp
p. [B%M!<%`%5!<%P]               ns2.dns.ne.jp
s. [B=pL>80]
[B>uBV]                          Connected (2013/01/31)
[BEPO?G/7nF|]                    1997/01/13
[B@\B3G/7nF|]                    1997/02/10
[B:G=*99?7]                      2012/02/01 01:11:32 (JST)

Parece que el dominio se creó hace bastante tiempo por lo que no se trata de una campaña en la que se haya registrado un dominio específico para distribuir la muestra.

Si el dominio no se ha registrado en una campaña de distribución de malware, pueden haberlo comprometido, es una práctica habitual entre los ciber criminales.

¿Es posible por lo tanto que hayan comprometido este host?

Si miramos el host remoto:


Parece que es un host vulnerable, por lo que podemos imaginar que se trata de un host comprometido.

PORT     STATE    SERVICE        VERSION
21/tcp   open     ftp            ProFTPD 1.3.3g
22/tcp   open     ssh            OpenSSH 5.1p1 (FreeBSD 20080901; protocol 1.99)
|_sshv1: Server supports SSHv1
|_ssh-hostkey: ERROR: Script execution failed (use -d to debug)
25/tcp   open     smtp           Sendmail 8.14.3/8.14.3
69/tcp   filtered tftp
79/tcp   filtered finger
80/tcp   open     http           Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: pontile*
|_http-methods: GET HEAD OPTIONS
110/tcp  open     pop3           Courier pop3d
111/tcp  filtered rpcbind
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
143/tcp  open     imap           Courier Imapd (released 2008)
443/tcp  open     ssl/http       Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: \x82\xB3\x82\xAD\x82\xE7\x82\xCC\x83\x8C\x83\x93\x83^\x83\x8B\x83T\x81[\x83o
|_http-methods: GET HEAD OPTIONS
445/tcp  filtered microsoft-ds
587/tcp  open     smtp           Sendmail 8.14.3/8.14.3
623/tcp  filtered oob-ws-http
664/tcp  filtered secure-aux-bus
787/tcp  open     drac           1 (RPC #900101)
993/tcp  open     ssl/imap       Courier Imapd (released 2008)
995/tcp  open     ssl/pop3       Courier pop3d
3339/tcp filtered unknown
8025/tcp filtered ca-audit-da
Service Info: OSs: Unix, FreeBSD; CPE: cpe:/o:freebsd:freebsd

Tiene bastantes servicios al descubierto y se confirma la versión de NMAP Apache 1.3.4.
El tener el servidor web, entre otros servicios con vulnerabilidades da que pensar que igual han vulnerado el host remoto y que han subido ahí la muestra. Comprobamos el enlace a ver si la muestra está todavía disponible.

darkmac:Desktop marc$ curl -I iyukicks.sakura.ne.jp/RFCRPYZLDP.php?php=receipt
HTTP/1.1 200 OK
Date: Sat, 05 Jan 2013 11:45:01 GMT
Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e
Content-Disposition: attachment; filename=PostalReceipt.zip
Content-Length: 35398
Content-Type: application/zip

El host responde con un 200 y lo que tenemos para descargar es un fichero ZIP, así que lo bajamos y descomprimos el archivo.

Una de las primeras cosas que se pueden hacer es saber si alguien ya ha escaneado este archivo, por lo tanto lo comprobamos en Virus Total, por ejemplo.
Primero miramos el MD5

darkmac:~ marc$ md5 Downloads/PostalReceipt.exe
MD5 (Downloads/PostalReceipt.exe) = ca0393c3d4ae30f258266329b8b8867a

Y luego se comprueba si el archivo ha sido subido a Virus Total:

darkmac:~ marc$ python tools/malware/virustotal/virustotal.py get ca0393c3d4ae30f258266329b8b8867a
INFO:virustotal:Get report of 'ca0393c3d4ae30f258266329b8b8867a'

********************************************************************************
Report:
- MicroWorld-eScan (12.0.250.0, 20130105):    Trojan.Generic.KDV.820505
- nProtect (2013-01-04.03, 20130104):    Trojan/W32.Small.49152.CEB
- CAT-QuickHeal (12.00, 20130104):    TrojanDownloader.Kuluoz.agy
- McAfee (5.400.0.1158, 20130105):    Generic Downloader.x!gpd
- Malwarebytes (1.62.0.140, 20130105):    Trojan.Fakeword
- K7AntiVirus (9.156.8074, 20130104):    Riskware
- TheHacker (None, 20130105):    Posible_Worm32
- NANO-Antivirus (0.22.6.49175, 20130105):    None
- F-Prot (4.6.5.141, 20130104):    None
- Symantec (20121.2.1.2, 20130105):    Trojan.Gen.2
- Norman (6.08.06, 20130104):    W32/Troj_Generic.GJHER
- TotalDefense (37.0.10238, 20130104):    Win32/Kuluoz.DA
- TrendMicro-HouseCall (9.700.0.1001, 20130105):    TROJ_KULUOZ.GC
- Avast (6.0.1289.0, 20130105):    Win32:Malware-gen
- eSafe (7.0.17.0, 20130103):    None
- ClamAV (0.97.3.0, 20130105):    None
- Kaspersky (9.0.0.837, 20130105):    Trojan-Downloader.Win32.Kuluoz.agy
- BitDefender (7.2, 20130105):    Trojan.Generic.KDV.820505
- Agnitum (5.5.1.3, 20130104):    None
- SUPERAntiSpyware (5.6.0.1008, 20130105):    None
- Emsisoft (3.0.0.569, 20130105):    Trojan.Win32.Agent.AMN (A)
- Comodo (14796, 20130105):    TrojWare.Win32.Trojan.Agent.Gen
- F-Secure (9.0.17090.0, 20130104):    Trojan.Generic.KDV.820505
- DrWeb (7.0.4.09250, 20130105):    BackDoor.Kuluoz.3
- VIPRE (14848, 20130104):    Trojan.Win32.Generic.pak!cobra
- AntiVir (7.11.55.234, 20130104):    TR/Rogue.kdv.820505.1
- TrendMicro (9.561.0.1035, 20130105):    TROJ_KULUOZ.GC
- McAfee-GW-Edition (2012.1, 20130104):    Generic Downloader.x!gpd
- Sophos (4.84.0, 20130105):    Troj/Zbot-DKL
- Jiangmin (13.0.900, 20121221):    None
- Antiy-AVL (2.0.3.7, 20130104):    None
- Kingsoft (2012.12.21.213, 20130104):    Win32.Malware.Generic.a.(kcloud)
- Microsoft (1.9002, 20130105):    TrojanDownloader:Win32/Kuluoz.B
- ViRobot (2011.4.7.4223, 20130104):    Trojan.Win32.S.Downloader.49152.CQ
- AhnLab-V3 (2013.01.05.00, 20130104):    Win-Trojan/Downloader.49152.UF
- GData (22, 20130105):    Trojan.Generic.KDV.820505
- Commtouch (5.3.2.6, 20130104):    None
- ByteHero (1.0.0.1, 20121226):    None
- VBA32 (3.12.18.4, 20130104):    None
- PCTools (8.0.0.5, 20130105):    Trojan.Gen
- ESET-NOD32 (7862, 20130104):    a variant of Win32/Kryptik.ARME
- Rising (24.43.04.02, 20130104):    None
- Ikarus (T3.1.1.122.0, 20130104):    Trojan-Downloader.Win32.Kuluoz
- Fortinet (5.0.26.0, 20130105):    W32/Kuluoz.AGY!tr.dldr
- AVG (10.0.0.1190, 20130105):    Downloader.Generic13.XMH
- Panda (10.0.3.5, 20130104):    Trj/CI.A


Parece que hay premio, es detectado por la mayoría de antivirus. Antes de empezar ningún análisis dinámico o estático podemos ver mas información del binario:

root@remnux:/home/remnux# pescanner PostalReceipt.exe
################################################################################
Record 0
################################################################################

Meta-data
================================================================================
File:    PostalReceipt.exe
Size:    49152 bytes
Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5:     ca0393c3d4ae30f258266329b8b8867a
SHA1:    be8ce26449980e5aecba2d2f793f5e4e5123ff61
ssdeep:  768:zWZkk1ZcczE0AGalM8eF7sft+FZqUATV9ddobwttIK1K4bKI/2X:SZF1ZZzE0P3wftytApl1Kj1X
Date:    0x50E4C291 [Wed Jan  2 23:28:17 2013 UTC]
EP:      0x4282d0 UPX1 1/3 [SUSPICIOUS]
CRC:     Claimed: 0x0, Actual: 0x10922 [SUSPICIOUS]
Packers: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

Resource entries
================================================================================
Name               RVA      Size     Lang         Sublang                  Type
--------------------------------------------------------------------------------
RT_ICON            0x290a4  0x4228   LANG_ENGLISH SUBLANG_ENGLISH_US       data
RT_GROUP_ICON      0x2d2d0  0x14     LANG_ENGLISH SUBLANG_ENGLISH_US       MS Windows icon resource - 1 icon

Sections
================================================================================
Name       VirtAddr     VirtSize     RawSize      Entropy    
--------------------------------------------------------------------------------
UPX0       0x1000       0x20000      0x0          0.000000    [SUSPICIOUS]
UPX1       0x21000      0x8000       0x7600       7.825471    [SUSPICIOUS]
.rsrc      0x29000      0x5000       0x4600       3.971729   


Es un binario empaquetado con UPX y se ha compilado hace bien poquito, por el timestamp del ejecutable.

Análisis dinámico

Lo que haremos ahora es ejecutar la muestra en un entorno controlado para ver que hace exactamente.
Ejecutamos la muestra,


Al ejecutar la muestra se nos abre un archivo TXT, supuestamente es el que tendría que imprimir para que me entregaran el paquete....

Pero, en segundo plano se abren varias conexiones en paralelo.


Tenemos muchas Ip's además de diferente Content-Type.

Si miramos por ejemplo el que es de tipo application,


Nos encontramos con un bonito ejecutable :)

Artículo cortesía de Marc Rivero López

Leer más...

22 marzo 2013

Entrevista a Javier Marcos - eCrime Analyst en Facebook

@Javutin revisando los Me gusta
Hace dos o tres años conocí a Javier Javuto (@javutin) en alguna de esas conferencias que hay hoy en día por el mundo. De aquellas trabaja en IBM haciendo auditorias internas a los productos de la propia compañía. Poco después aterrizo en el equipo de seguridad de Facebook. 

Cada vez que le preguntas que hace allí te mira y entre risas hace algún chiste sobre su trabajo: reviso cada vez que alguien hace click en Me gusta y lo hacéis mucho, trabajo no me falta.

Cuando le oigo esas frases me imagino que se refiere a ataques de clickjacking y cosas similares. Aunque me temo que directamente me está tomando el ""pelo"".

Tampoco os voy a engañar, la infraestructura, el modelo de empresa, el puesto y todo lo demás me llama la atención, así que en cuanto pude me marque una escapadita para ir a hacerle una visita y que me contase todo lo que su contrato le permitiese.

No os quiero dar envidia, por lo que no os detallaré como Facebook me invitó a cenar, como eran las chocolatinas, y como era el merchandaising del equipo de seguridad que me llevé... Aunque lo mejor, sin duda, es que desde que aterricé se preocupó por mi, me llevó a tomar pintas y comer banofle mientras cotilleábamos de esto y de lo otro. Un máquina profesional pero aún mejor anfitrión.

Os dejo con su entrevista. Eso sí, si alguién quiere preguntarle algo más, que lo deje en los comentarios, a ver si se moja y responde ;-)

- ¿Como empezaste tu a trabajar en Dublin?  ¿Hace falta ser bilingüe para ir?

Pues la cosa surgió por un compañero de carrera que se había ido para allí a hacer un máster mientras yo me fui a Lisboa de Erasmus. Me salió un curro majo antes de terminar y me quedé en Lisboa, picando java para Siemens pero mi colega hizo lo mismo y en Dublín pagaban mejor así que tampoco le costó mucho trabajo convencerme xD. Con una entrevista apalabrada con IBM y bastantes CVs enviados me fui para allá y al mes tenía curro. Tuve suerte pero Irlanda de aquella estaba a tope y la gente cambiaba de curro cada tres meses. Con algo de experiencia y defendiéndote en inglés te valía. No hace falta ser bilingüe pero una conversación tienes que ser capaz de mantener.

- ¿Recomendarías emigrar para buscar un trabajo en Seguridad? ¿Que requisitos hacen falta para entrar en un sitio tan puntero como Facebook?

Yo siempre digo que ahora mismo, los españoles tienen tres salidas: Tierra, mar y aire. No sólo para trabajos en Seguridad, sino en general en IT. Fuera de España te tratan como es debido y valoran tu trabajo, y no hay tanto enchufismo/amiguismo. En la mayoría de los casos, el que es jefe lo es por saber mas que tú o tener mas experiencia relevante.

Para entrar en un sitio como Facebook, tienes que ser una apasionado de lo que haces y no tener miedo al cambio. Aquí las cosas se mueven bastante rápido por lo que no se lo recomiendo a quien le gusta acomodarse y hacer siempre lo mismo! Hay muchas oportunidades para probar cosas nuevas y se valora el llevar la iniciativa. Por cierto, siempre buscamos gente nueva! :P http://www.facebook.com/careers

- ¿Cuales son tus funciones en Facebook? ¿Cuantas chocolatinas diarias comes al día? ¿Alguna anécdota que puedas contar?

Mi posición es analista de cibercrimen (eCrime analyst), básicamente me dedico a resolver problemas técnicos en equipo de eCrime, como construir nuevas herramientas para los investigadores o analizar amenazas. Formo parte también del equipo de respuesta a incidentes (Security Incident Response) por lo que ando metido el todo lo que sea una amenaza contra Facebook o los usuarios. Vamos que no me aburro jeje.

Alex y Javi en el famoso muro de Facebook (Dublin)
Jajajaja, lo de las chocolatinas es un problema. Tienes que controlarte porque si no te pones hecho un botijo (ya me ha pasado) y luego cuesta trabajo el quitarse las lorzas. Pero aún así, alguna que otra cae :P

Una anécdota para que se vea lo rápido que van las cosas aquí, para la gente técnica la formación se denomina Bootcamp y es un curso acelerado en como funciona todo y la manera de aprender es resolver bugs reales de Facebook. Sí, empiezas en la compañía, se te da acceso al código, el backend y los diferentes sistemas y ale, a picar código! Había un problema con una clase que gestionaba todas las URLs en todo Facebook (casi ná!) y en algunos casos extremos, una expresión regular no funcionaba bien (10 líneas de regex...) y había que afinarla. Pues después de unos cuantos días dándole vueltas, más o menos tuve una solución válida que satisfacía a los ingenieros. Envíe el código a las 9 de la noche y a los 10 minutos lo tenía revisado y aprobado. Al día siguiente mi solución estaba en producción, y funcionando!

La verdad que la sensación de tener un trocito de código tuyo haciendo que algo funcione para tanta gente como usuarios tiene Facebook, es muy gratificante! 

A todo interesado por saber más de como funciona Facebook, le recomiendo el artículo de release engineering en arstechnica: http://arstechnica.com/business/2012/04/exclusive-a-behind-the-scenes-look-at-facebook-release-engineering/ .

- Sabemos que vas a muchas conferencias, ¿cual es la que más te gusta de todas? ¿por qué?

Me falta por ir a muchas aún pero entre mis favoritas puede que sean BSidesLondon o HashDays (DefCon Switzerland). Por supuesto, y muy por encima de todas, está la LaCon! ;)

Para que una conferencia me guste y me haga repetir, tiene que tener buen balance entre calidad de las presentaciones y buen ambiente en general. Hay mucha gente a la que sólo ves en conferencias, por lo que siempre está bien para ponerse al día. En Seguridad, es una cosa que recomiendo 100%, ir a todas las conferencias que puedas, conocer gente y compartir ideas. He estado metido en algún que otro proyecto, que la idea surgió en una conferencia :)

- También has hecho muchas presentaciones  en sitios muy prestigiosos y colaborado en el proyecto de BeEF, ¿en que andas metido ahora?

Pues haciendo malabares con el tiempo la verdad, que muchas veces me gustaría participar en mas proyectos pero simplemente no dan las 24 horas del día. Sigo colaborando con el BeEF y he prometido echar una mano en la interfaz web de radare2 (ahora ya si que siendo público no puedo dejarlo pasar más!). También colaboro con el Honeynet Project organizando CTFs. Si alguien se anima, en Mayo organizaremos el CTF de la conferencia SOURCE en Dublín y también en Noviembre el de la NoConName en Barcelona. Habrá buenos premios!

- ¿Qué le recomendarías hacer a alguien que está empezando?  ¿certificaciones si o no?

Lo primero es buscar un buen balance entre lo que le gusta hacer y lo que mejor se te da. De esa forma el progreso se nota mucho más rápido sin frustrarse demasiado. En las cosas en las que vas mas flojo, siempre puedes echarle mas horas y obligarte más a mirarlo. Con respecto a las certificaciones... No me gusta nada la titulitis, ya sean certificaciones profesionales o académicas. Pero también entiendo que es difícil demostrar tu valía sin tener un papel que certifica lo h4x0r que eres (o lo bien que te aprendiste un examen... :P). Afortunadamente, hay un camino alternativo, y las empresas se fijan en ello cada vez más. Jugando CTFs, participando en bug bounty programs, publicando investigaciones y presentando en conferencias también te haces un hueco en este apasionante mundillo que es la Seguridad Informática, y siempre se está buscando gente con talento, sea donde sea.

- ¿Volverás algún día a España? ¿Qué echas de menos? ¿Crees que le falta algo a este país? ¿Que le sobra a Irlanda?

Ufff eso cuanto más tiempo llevas fuera, más complicado es. Y mucho más viendo como están las cosas ahora mismo. No pierdo la esperanza pero, las expectativas no son demasiado buenas la verdad. De todas maneras, estando a gusto, se hace mas llevadero :)

@Javutin trabajando duro en Facebook (Palo Alto)
Sobre todo se echa de menos a los amigos y a la familia. Yo intento ir a casa bastante a menudo, pero aún así te pierdes algunos buenos momentos. La comida es otra de las cosas que se echa de menos bastante, por suerte a los irlandeses les gusta bastante el rollo de las tapas, y hay unos cuantos sitios en Dublín en los que apaciguar la morriña jejeje.

En España sobran caraduras y corruptos, da igual del color que sean. Pero para que algo cambie, se necesita un cambio de mentalidad de base. De todas maneras estas cosas es mejor discutirlas tomando unas cañas y no delante de una pantalla!

¿Qué sobra en Irlanda? Lluvia! Si el tiempo fuera un poco mejor... Pero claro, no estaría todo tan verde!

- Quienes son tus héroes y tus villanos en este mundo.

Pues la clasificación de héroe o villano depende del punto de vista del que mires las cosas! Admiro a mucha gente por sus cualidades técnicas, por lo que han logrado, porque me interesa lo que hacen o han hecho o simplemente porque me caen bien. Como buen profesional de la Seguridad, no pueden faltar entre mis héroes el gran Kevin Mitnick o el creador de nmap, Gordon Lyon (Fyodor Vaskovich), y tuve la suerte de conocer a los dos en la conferencia DefCon del año pasado.

Pero quien realmente son mis modelos a seguir, es toda la gente de la que no paraba de leer artículos, advisories, posts... Noches y noches aprendiendo lo que llegaba a entender y buscando más información en lo que me perdía. Y aquí si que he tenido suerte en poder conocerles en persona e incluso hacer entrevistas para ellos! Desde aquí un 8=======D para la gente de 48bits.com y los int3pids!

- Un libro. Una película. Una serie. Un comic.

Libro: Hacker Épico por supuesto! Venga para que no sea hacer la pelota demasiado: Surely You're Joking, Mr. Feynman! (Richard P. Feynman). 
Película: Los violentos de Kelly (Kelly's heroes).
Serie: Breaking Bad.
Cómic: No suelo leer cómics pero quizá la tira de xkcd.

- Tu exploit favorito y un hack memorable del que podamos escribir otro día.

Tengo especial cariño a aquel pete de Windows98 y 2000, que mandando paquetes IGMP fragmentados, te sacaba una maravilloso pantallazo azul (CVE 1999-0918). La herramienta que había para enredar se llamaba kox y empecé a usar Linux para poder hacer el capullo con ella!
Por supuesto el grandísimo RoMaNSoFt lo tiene en su web: http://www.rs-labs.com/papers/tacticas/ircutils/kox.html

Un hack memorable que no se me olvidará, fue cuando defacearon la web del congreso de los diputados. Hubo revuelo después de aquello porque detuvieron a varias personas y todo llegó a los medios de comunicación, con el correspondiente morbo añadido. Después de aquello, la informática me enganchó por completo y veía los ordenadores, módems, redes... Como algo mágico con lo que, con el conocimiento adecuado, podrías hacer muchas cosas. Buenas o no tan buenas (¡pero divertidas seguro!).


- Alguna cosa que no te haya preguntado y quieras contarnos

Una anécdota bastante curiosa y no me canso de contarla fue cuando, mientras tomaba unas birras en el Antonio's Nut House descubrí que, diez años antes, había estado compartiendo acceso en un servidor de esos "CTF" que se hacían antes [...], con quien en ese momento estaba allí conmigo y al que por cierto, conocía en persona solo  tres años antes. Para explicar ese momento, no tengo palabras, necesito un gif animado:



Y nada más! Agradecer el que me hagáis esta entrevista y espero que sirva para motivar a la gente. La seguridad informática es un campo apasionante, sobre todo si te gusta aprender cosas nuevas, tienes mucha curiosidad y siempre quieres dar una vuelta de tuerca extra a las cosas. Para cualquier cosa me podéis encontrar en Facebook (como no!) y si no en Twitter como @javutin
Leer más...

21 marzo 2013

ThreatAgent Drone: Tu exposición en Internet

Una de las tareas preliminares a realizar en pruebas de intrusión externa sobre una empresa (o como primera fase de un posible ataque, si se enfoca desde otra perspectiva) es la de obtención de información previa que nos de una visión general del grado de exposición que esta tiene en Internet

En términos tecnológicos también se utiliza la palabra OSINT (Open-Source Intelligence) para referirnos a la recopilación de información sobre una entidad de bases de datos disponibles públicamente en internet. 

Tanto de esta fase en procesos de test de intrusión como de herramientas que permiten automatizar este proceso (de las más conocidas es Maltego) nos habló Alex en este post de Diciembre de 2008 "La búsqueda de información en un test de intrusión". Es muy importante tener en cuenta que para esta tarea, en ningún momento la compañía a la que le realizamos el estudio tiene por qué conocer que se le están realizando estudios de visibilidad, ya que no se "toca" ninguno de los servidores perteneciente a su infraestructura externa o perimetral.

Hoy os hablamos de un nuevo proyecto, esta vez no en forma de ejecutable si no como servicio distribuido y online, llamado ThreatAgent Drone. A continuación incluímos el video de presentación de este servicio:


Esta aplicación se encarga de recopilar información, en base a nombre y un dominio tal y como se indica en este post de iniciación del servicio, de fuentes de datos como Shodan, Google, Linkedin para la obtención de recursos humanos, entre muchos otros.

Tras este proyecto se encuentra Marcus Carey, ex-trabajador de Rapid7, que además está publicando tutoriales en el blog de ThreatAgent para aprovechar al máximo el potencial de este nuevo servicio. Se ha decantado por el modelo de pago por uso, con varios planes diferentes según el número de análisis (o "misiones" como les denomina) permitidos por mes.


Para probar el servicio de forma gratuita, tras registrarse, tendremos la posibilidad de realizar 5 análisis, pero para cada uno de ellos no se mostrarán todos los resultados encontrados, si no un conjunto limitado de ellos.

Seguiremos de cerca este nuevo servicio y sus posibilidades, sobretodo para determinar si debemos recurrir a este proyecto para automatizar y unificar todas las tareas de obtención de información, que hasta ahora realizábamos consultando bases de datos de WHOIS, RIPE, Linkedin, robtex, netcraft y mediante herramientas como TheHarvester, Maltego, rwhois, y un tan largo etc.
Leer más...

20 marzo 2013

¿Podemos fiarnos de TrueCrypt?

Nadie discute que hoy día el estándar de facto para cifrar discos duros / datos en un HD es TrueCrypt.

Funciona bien, es un software muy estable, y está disponible para múltiples plataformas.

Pero ¿Nos podemos fiar de TrueCrypt? ¿Es realmente un software libre de toda sospecha? ¿Podría ser un 'honeypot' de la CIA?

Hace tiempo encontré un post en el que se apuntaban ciertas partes oscuras con respecto a TrueCrypt y sobre quién está tras el proyecto. Todo lo que se expone es muy 'conspiranoico' pero es cierto que proyecta sombras sobre el proyecto. No obstante, después de Stuxnet, Flame y amigos, la capacidad de asombro y de negación ha quedado muy mermada.

El artículo original plantea las siguientes cuestiones (mis comentarios personales sin negrita):

  • El dominio truecrypt.org se registró con una dirección falsa, en concreto 'NAVAS Station, Antarctica'. Esto, per se, a mi no me parece nada sospechoso, mucha gente lo hace.
  • Nadie sabe quienes son los desarrolladores de TrueCrypt (su identidad, se desconoce). Esto SI me parece algo a tener muy en cuenta, me parece genial que en ciertos foros donde se liberan herramientas más 'ofensivas', estas herramientas sean firmadas por pseudos o nicks, pero todo lo que tenga que ver con criptografía debe ser totalmente transparente.
  • Los creadores de TrueCrypt trabajan gratis. Aseveración un poco discutible en mi opinión. Mucha gente trabaja 'gratis' en proyectos opensource, escribe blogs, etc etc.
  • Compilar TrueCrypt es complicado. Lo que apuntan en el post original es que, la mejor forma de incentivar la descarga de binarios pre-compilados por el equipo de TrueCrypt es hacer complicada la compilación del software. Tiene lógica
  • La licencia de TrueCrypt no es realmente OpenSource. Bueno, tampoco indica nada en especial, es cierto que TrueCrypt ha sido rechazado de muchas distribuciones Linux (en el post citan a Fedora), pero eso no lo tiene porque hacer necesariamente sospechoso
  • El código de TrueCrypt nunca ha sido auditado. El autor del post se queja de que nadie ha publicado un estudio sobre el código de TrueCrypt, en parte tiene razón, pero resulta muy aventurado decir que nadie lo ha hecho. Lo que si está claro es que si alguien realiza esa auditoría y encuentra algo, es su pasaporte a la fama. Cuesta creer que nadie haya puesto sus ojos en el tema.
  • Existe censura en los foros de TrueCrypt. Parece que en los foros de TrueCrypt no se puede hablar de otras soluciones de cifrado ni de herramientas para atacar a TrueCrypt.
No seré yo quien desacredite un producto como TrueCrypt que tantas alabanzas ha cosechado, pero del post original, tengo que decir que hay varios puntos que sí me preocupan bastante. 

Lo de la identidad desconocida es bastante grave, ¿usarías un algoritmo de cifrado del que desconozcas su autoría? probablemente no, como decía más arriba, criptografía = transparencia como axioma

Respecto a introducir un backdoor en el software, es técnicamente posible, y voy mas allá: de estar ahí, puede ser REALMENTE complicado encontrarlo. Y si no, que se lo digan a Theo 

Que cada cual saque sus propias conclusiones.
Leer más...