31 diciembre 2014

Descubriendo "backdoor" para WiFi gratis en un hotel



Durante las vacaciones de Navidad, tuve la suerte de acudir a un hotel de una gran ciudad el cual disponía de conexión WiFi en todo el edificio. La ventaja fundamental: total cobertura en cualquier punto de las instalaciones, gratuita en lobby y segunda planta, y con una señal aceptable a lo largo de sus 50 plantas ¿Inconveniente? Un coste de 12.95$ por cada 24 horas de acceso desde las habitaciones (!!) Para una estancia de 10 días, casi podría pagar una noche más de hotel e irme a cualquier establecimiento, o comprar 3 SIMs prepago con 4G y más de 1GB.

Al conectar a la red Wireless disponible del hotel, nos aparece la siguiente pantalla de bienvenida (la red no tiene ningún tipo de cifrado...)

Pantalla de inicio para acceso WiFi

En este caso, se nos podría pre-generar un acceso y cargarse a la habitación, o pagar directamente a través del portal con tarjeta de crédito para desbloquear el acceso para el dispositivo durante un número determinado de días.

En este paso nos quedamos quietos, y observamos la información de red asignada a la tarjeta inalámbrica en el que se nos da dirección IP, máscara de red, puerta de enlace (gateway) y servidores DNS. Apuntamos los datos y nos fijamos en la puerta de enlace, a la que le hacemos una pequeña enumeración, resultando los siguientes servicios disponibles:

Host is up (0.0014s latency).
Not shown: 995 filtered ports
PORT     STATE SERVICE    VERSION
53/tcp   open  domain
80/tcp   open  http?
443/tcp  open  ssl/https?
1111/tcp open  http       GoAhead-Webs embedded httpd
1112/tcp open  ssl/http   GoAhead-Webs embedded httpd
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :

Tanto para los puertos 80 y 443 no se reconocía correctamente el servicio, dándonos nmap la información de fingerprinting típica con la respuesta tras contactar con los servicios desconocidos. Debido a que los 80 y 443 ya los conocíamos (correspondían con el acceso mostrado anteriormente), nos fijamos en los puertos 1111 y 1112, los cuales corresponden también con servicios web...

Acceso a servicio web del router a través del puerto 1111
Vaya, una nueva pantalla, esta vez correspondiente a lo que parece ser un frontal de un Nomadix, fabricante de dispositivos de comunicaciones inalámbricas entre otras cosas.

No tenemos ningún usuario ni contraseña, por lo que...ya que se nos permite crear un nuevo usuario mediante el botón "New User"...¡probemos!

Creación de acceso para red wifi

De forma altruísta, como veréis en la pantalla, se nos permite seleccionar 2 planes (que parece que estaban de oferta...): el primero con 256K de bajada/128K de subida, el segundo con 512K de bajada/256K de subida. Ambos planes tenían un precio de 0$ la hora...y yo...¡no soy tonto! Seleccioné el Plan B, y como me pregunta cuánto tiempo quiero comprar (en la caja con texto How much Internet access time would you like to purchase?), puse una cifra alta porque no sabía si se refería a minutos, segundos, horas, días, meses....

El resto de campos eran opcionales, y como sólo quería probar si funcionaba, directamente hice clic en Submit para pasar a la siguiente pantalla.

Una vez hice clic en el botón, se me redirigió a una pantalla en blanco ya por el puerto 1112 con SSL....sin mensaje alguno... que me hizo pensar que este chollo había finalizado....

Siguiente pantalla del proceso finalizado

¡Un momento! ¿Que pone en el título de esta página en blanco?

Suscripción aceptada
Alegría inmensa al leer "Subscription Accepted", ¿pero será verdad? Lo siguiente que intenté fue probar a acceder sobre http://www.securitybydefault.com (por si Google se había caído...), y...

Acceso correcto a Internet sin límites

A partir de este momento, debido a que la dirección MAC quedó registrada con acceso por suscripción correcta en el plan B, una vez conectada a la red wifi, no saltaría ningún panel de autenticación nunca más, ni solicitud de apellido o número de habitación.

Pero bueno, todo esto fue por mera curiosidad, ya que posteriormente lo más seguro era utilizar una red de datos con una tarjeta SIM prepago en lugar de una red Wifi de estas características, por muy "gratis" y "abierta" que estuviese.

Quizás decir que esto es una backdoor es demasiado exagerado, pero lo considero un método alternativo para generar una conexión satisfactoria a Internet, y estoy seguro que este método ni siquiera es el usado por el propio hotel para generar las claves para los huéspedes....
Leer más...

29 diciembre 2014

Vota Unhide como mejor herramienta 2014 !


















Como cada año, el prestigioso site 'ToolsWatch' organiza la encuesta para elegir la mejor herramienta del año, el año pasado ganó la enormemente famosa herramienta 'Zap' quedando también muy bien situadas herramientas como Burp o PEStudio (nada menos !!).

Este año me he decidido a presentar Unhide, una herramienta de la que he hablado largamente en este blog y de la que estoy preparando una 'release' que verá la luz próximamente.

Para el que no lo sepa (y no le apetezca leerse las entradas sobre la herramienta), Unhide es una herramienta anti malware para sistemas Unix que viene 'by default' en distribuciones Linux tan potentes como Fedora o Debian (y otras muchas más) orientada a verificar si un sistema se encuentra comprometido y alguien está ocultando cosas que deberían poder verse mediante herramientas del sistema.

Personalmente, agradecería MUCHO ese pequeño gesto si os tomarais apenas unos minutos para votarla como herramienta.

Podéis votar desde aquí

¡¡ Muchas gracias !!
Leer más...

28 diciembre 2014

Enlaces de la SECmana - 256


Leer más...

26 diciembre 2014

Seguridad: Lo que fue 2014 y lo que viene en 2015



Siempre a final de año, tanto a nivel personal como profesional, hacemos balance de lo que ha significado para nosotros el año que ya nos deja y hacemos todos nuestros buenos propósitos para hacer las cosas bien el año que entra.

En 2014 hemos continuado siendo testigos de ataques a grandes corporaciones, como el último de Sony, en el probablemente nunca sepamos lo que realmente ha pasado y cómo ha sido. 

Ataques altamente sofisticados, de los que ya hemos hablado en incontables ocasiones, del tipo APT, con poderes terroríficos, han seguido apareciendo a lo largo de los últimos años. El último gran conocido ha sido Regin, un malware formado por diferentes módulos, con capacidades hasta para manipular estaciones base GSM, con inteligencia para ocultarse de forma cifrada en los atributos del sistema de ficheros NTFS o en espacio sin usar de la MFT, que se descifra “on demand”,… pensado para extraer información de forma silenciosa, a través de diferentes protocolos o “covert channels”.

Se ponen los pelos de punta al pensar que ciberarmas como estas lleven operando desde hace años, y que recién ahora sean descubiertas. Queda clara la inversión necesaria por parte de gobiernos y de entes con altas capacidades de financiación para llevar a cabo labores de espionaje entre países y a grandes corporaciones.

Otra de las cosas por las que se ha caracterizado 2014, y en mi opinión muy relacionado con el punto anterior, es por ser el año de los grandes bombazos: Vulnerabilidades como Shock shell en BASH, o aquellas involucradas en implementaciones criptográficas como Heartbleed, Poodle, GotoFAIL de Apple, GnuTLS o incluso que el software Truecrypt ya no sea seguro (del que Yago ya sospechó un año antes), son torpedos en la línea de flotación, que han provocado que la confianza en la privacidad en Internet haya decaído totalmente y nos lleve a preguntarnos a nosotros mismos, ¿en manos de quién estamos? ¿Vivimos en un mundo constantemente monitorizado? ¿Es realmente todo esto necesario y a este nivel?

La denigración del término Hacker por parte de la RAE, y la enmiendas aplicadas como Ley Mordaza, hacen plantearse si lo que llevamos haciendo de forma natural, compartiendo conocimientos e investigaciones, compartiendo herramientas, denunciando vulnerabilidades, etc,… sea o no o correcto. 

Llegados a este punto esto da igual, y aunque nosotros sabemos la ética con la que hacemos las cosas, cuando estamos hablando de interpretación de una ley por parte de gente sin el conocimiento técnico necesario, cualquier cosa que salga de /dev/random se puede uno esperar. 


¿Qué nos queda para 2015?

Por estas fechas, muchos fabricantes de seguridad como Fortinet o ESET, etc,… han llevado a cabo un ejercicio de análisis sobre lo que nos trae el año que viene, y la verdad es que en materia de seguridad en Internet, no tiene pinta de ser muy halagüeño. 

  • El Internet de las Cosas: Dada la vertiginosa velocidad con la que estamos conectando todo a Internet, la proliferación de los wearables y la cantidad de información que confiamos a servicios en la nube, los ataques a este tipo de servicios, van a estar a la orden del día.
  • Ataques a sistemas de pago: Donde hay dinero de por medio, ahí habrá ciberdelincuentes intentando llevárselo. Desde que salió a la luz Bitcoin, las criptomonedas alternativas también han estado en auge. Apple Pay y Google Wallet se suman a la fiesta utilizando NFC, por lo que no cabe duda que habrá investigaciones en búsqueda de debilidades de estos "nuevos" medios de pago para desviar fondos a cuentas de otros.
  • Ataques entre gobiernos: La información es poder, y para conocer los planes y la estrategia de otros países, antes era imprescindible infiltrar espías que fotografiasen documentos y robasen “microfilms”, escondidos en los lugares más inverosímiles. Desde hace ya tiempo, además, el 007 de turno, tiene que ser tan hábil con la informática como con saltar por una ventana colgado de su cinturón mientras el edificio estalla tras él.
  • APTs, APTs, APTs everywhere: Ya sea por el canal que sea (correo electrónico, teléfono, páginas web hackeadas, ataques de tipo watering hole, etc...), y ya sea por la motivación que sea (espionaje, robo, pérdida de imagen,…) los ataques de tipo APT en los que se tiene como denominador común la ingeniería social, con el fin de engañar a la víctima, este tipo de ataques seguirán siendo los reyes en 2015. Y si no, atentos a APTNotes, el recopilatorio de información sobre APTs de los que hablamos en Security By Default hace tiempo.
  • El peligro de los dispositivos móviles: Nuestro smartphone guarda nuestra vida, y lo usamos para todo. Robar la información mientras se procesa, se envía o se almacena en estos dispositivos, seguirá siendo el objetivo principal.
Leer más...

24 diciembre 2014

Negación plausible frente a leyes mordaza

Lo reconozco, mi adolescencia estuvo marcada por documentos "oscuros" y hackers de gran talento. Devoré el manual del anarquista sin miedo a ser monitorizado y tildado de antisistema. Curiosa palabra cuando la emiten políticos cuyas decisiones u omisiones podrían ser catalogadas de ataques directos al sistema de derecho y bienestar. 

Bebí del grupo 29A, compartiendo y generando información sin el rubor de ser tildado de cibercriminal. Me alimenté de los movimientos ciberactivistas asumiendo que si la información es poder esta debería ser libre. Definí un muro infranqueable entre lo que estaba bien y lo que estaba mal. Lo blanco y lo negro. Lo mejor de mí surgió en aquella época. Ejercité mi mente, mejoré mi conocimiento. Gracias a ello, como muchos otros profesionales, hoy día puedo contribuir hacer de Internet un lugar más seguro para todos.

El tiempo pasó, la juventud es la única enfermedad que se cura con los años. Mis opiniones en blanco y negro se convirtieron en una amalgama de colores rica en tonalidades y matices. Asumí la necesidad de una balanza entre la protección de derechos fundamentales y la necesidad de habilitar procedimientos y organismos (fcse) para proteger estos mismos derechos necesarios en las sociedades avanzadas. Organismos sujetos a la ley, procedimientos proporcionales y siempre limitados en el tiempo.

Sin embargo, el mundo real es de todo menos sencillo. Esta balanza tiende a desequilibrarse y requiere de revisión continua por todos los actores involucrados (políticos, fuerzas y cuerpos de seguridad del estado, ciudadanos, etc.). En última instancia la sociedad civil tiene la obligación de alertar ese desquilibrio y actuar en su corrección. Por desgracia, a menudo la sociedad es perezosa y no es consciente del poder que tiene para definir su futuro. Como diría George Orwell: “Hasta que no tengan consciencia de su fuerza, no se rebelarán, y hasta después de haberse rebelado, no serán conscientes. Éste es el problema.”

En este complejo mundo aparece una especie rara de homo-sapiens: los políticos. Especialistas en muchas cosas, entre otras, en generar "propuestas controvertidas". En este sentido, en los últimos días se está discutiendo sobre posibles leyes en España que limitarán la difusión o el uso de información/ herramientas vinculadas a la seguridad informática, recordando a los más viejos, en un mundo paralelo y ¿algo alejado?, a leyes rancinas como la ley Corcuera y su famosa patada en la puerta.

Creo que no son conscientes de lo que hacen, creo que van a dificultar mucho el trabajo precisamente a esas personas de bien que luchan por proteger nuestros derechos, creo que son incompetentes y sobre todo, lo peor de todo, creo que no conocen ni la técnica ni la historia. Entiendo que la balanza se puede desquilibrar más, y quiero que se entienda bien, la técnica puede evitar que esto suceda.

Existen multitud de maneras de hacerlo. En esta ocasión, y solo a modo de recordatorio histórico (quizás algún político descubra algo nuevo), vamos a ver como la negación plausible ha sido utilizada en dos casos concretos para evitar la censura "legal" con procedimientos legales. No quiero dificultar el trabajo a nadie pero la realidad en Internet se puede convertir en algo muy "oscuro" si se fuerza a la comunidad a publicar procedimientos y algoritmos para facilitar la libertad de difusión de información y herramientas de seguridad.

Negación plausible: Definición

En Internet pueden encontrarse diferentes definiciones de lo que es la negación plausible. En esencia, es una condición/procedimiento por el cual una persona puede, con gran grado de credibilidad, negar el conocimiento de cualquier verdad particular que pueda existir, porque dicha persona es "deliberadamente" inconsciente de la verdad, para beneficiarla o para blindarla de cualquier responsabilidad asociada con el conocimiento de tal verdad. Históricamente ha sido una doctrina política que facilita la creación de estructuras de poder y cadenas de mando lo suficientemente informales como para, de ser necesario, negar su existencia. Veamos algunos ejemplos de como poder aplicar la negación plausible a un mundo telemático/informático orientado a la seguridad informática. Hagamos cosas "ilegales" respetando las leyes.

Ejemplo 1. Chaffing and Winnowing: Confidentiality without Encryption

La década de los 90 fue un periodo de lo más interesante en la defensa de libertades civiles centradas en la confidencialidad de las comunicaciones. Una época donde los gobiernos intentaron de todas las maneras posibles limitar el uso de la criptografía en un entorno civil, intentando, en el caso extremo de la sociedad norteamericana, que la ciudadanía utilizara dispositivos con chips diseñados por la Agencia de Seguridad Norteamarican (Clipper chip) que teóricamente pudieran proporcionar confidencialidad pero visible para el gobierno. Logicamente esto solo funcionaría si la ciudadanía no tenía acceso a otras tecnologías criptográficas. Años más tarde, esta iniciativa fracasó estrepitosamente, propuestas como PGP y PGPfone contribuyeron sin duda a este éxito. En este marco se engloba una propuesta interesante conocida como Chaffing and Winnowing.

En 1998 el criptógrafo Ronald L.Rivest (uno de los creadores del algoritmo RSA) propuso una técnica criptográfica que permite confidencialidad en un canal inseguro sin usar cifrado (evitando asi las leyes de exportaciones de algoritmos criptográficos), esta técnica denominada Chaffing and Winnowing, puede ser considerada como una forma intermedia entre criptografía y esteganografía.

En su funcionamiento básico, un emisor envia varios mensajes a un receptor. Cada uno de los mensajes debe estar en claro (se respeta así las legislaciones nacionales que aunque permitían la exportación de software de firmas digitales sin restricciones, si limitaban los algoritmos con capacidad de cifrado) pero adicionalmente se le añade una información extra: un número de serie (para facilitar la recuperación de la información y detección de errores) y una información de autenticación, concretamente un código de autenticación o MAC (Message Authentication Code). Emisor y Receptor comparte una clave secreta de autenticación que facilitará la creación de dichos MACs. Para un mensaje válido, el emisor le añadirá al mensaje un número de serie y un código de autenticación MAC, calculado como resultado de aplicar todo el contenido anterior a un algoritmo generador MAC (por ejemplo, HMAC-SHA1) usando para ello la clave secreta de autenticación.

Por cada mensaje real, se produce otro de pega (en terminología inglesa “chaff”) con números de serie razonables y un código de autenticación no válido para la clave empleada. La confidencialidad en esta propuesta no está basada en la dificultad de romper un esquema de cifrado, si no en la dificultad del atacante en diferenciar los mensajes reales de los falsos. En recepción, se recalcula el MAC del paquete utilizando el numero de serie y mensaje recibido, para ello se introduce esta información en un algoritmo generador (por ejemplo, HMAC-SHA1) y se utiliza la clave secreta de autenticación. Si el MAC calculado coincide con el recibido, quiere decir que ese es el mensaje correcto, si no el mensaje se descarta. Este proceso es denominado “Winnowing”.

Independientemente de otros ataques, un "censor" no puede saber que MAC es correcto o cual no (negación plausible), porque desconoce la clave utilizada para calcularlos, luego aparentemente todos son válidos. De esta forma tan sencilla, se cumplía y evitaba la ley.
Ejemplo 2. DecCSS

En Octubre de 1999 el grupo de hackers denominado MoRE (Masters of Reverse Engeneering) publico en Internet el código fuente del programa DeCSS (Decoder Content Scramblins System) un software que anulaba el sistema de protección de los DVD y facilitaba su reproducción, inicialmente, en sistemas GNU/Linux. Poco después, la industria llevó a juicio al único miembro del grupo con identidad conocida. 

El joven noruego Jon Johansen (de 15 años) fue acusado de robo de datos y el desarrollo de software que facilitaría la piratería al ir en contra de las leyes de propiedad intelectual. Al mismo tiempo, la MPAA empezó a demandar a todo aquel sitio web que almacenaba o enlazaba a una copia de dicho programa. Como forma de protesta contra el juicio al joven Jon Johansen, y para evidenciar las contradicciones de la legislación que prohibía la publicación del programa DeCSS se propuso representar el fuente del programa ilegal bajo una forma completamente legal. Se pensó en convertir la información binaria del programa en un número, concretamente en un número primo. La ventaja de este elección son varias, pero la principal es la distribución. No existe jurisprudencia para prohibir la publicación de un número primo. Aparte, aunque se intentó no tendría ningún sentido.
Basándose en esta idea Phil Carmody generó en marzo de 2001 varios números candidatos a número primo cuya representación binaria corresponde a una versión comprimida (algoritmo gzip) del programa fuente DeCSS escrito en lenguaje de programación C. Varios candidatos fueron identificados como “primos probables”, y finalmente uno de ellos resultó ser primo, con la ventaja de ser el décimo primo más grande conocido, número de1401 dígitos. Después de esta experiencia, Phil Carmody creó también otro primo de 1811 dígitos, el cual corresponde a un programa ejecutable, escrito en código máquina que implementa la misma funcionalidad que el anterior. 


Independientemente de estos ejemplos, es vital, en pleno siglo XXI, que cualquier propuesta "política" se consensue con los sectores afectados y con los profesionales que hacen día a día nuestra vida digital un poco más segura. No debe olvidarse, la técnica está muy por delante de cualquier ley. No es sensato catalogar el trabajo o las herramientas de profesionales e investigadores como si de una actividad ilegal se tratara. Los amigos no deben convertirse en enemigos. El arte de la guerra lo sentenció hace siglos: Si acorralas a tu enemigo déjale una vía de escape, si no luchará hasta la muerte.

Dr. Alfonso Muñoz
Leer más...

23 diciembre 2014

S.O.S. Seguridad

Que el gobierno Español desde hace tiempo va a la deriva, es algo que se puede inferir por muchos temas. Podríamos hablar de gestión social, de impuestos o de corrupción. Pero no, el tema que hoy nos ocupa afecta directamente a nuestra profesión y colectivo.

Se acaba de hacer público un documento que refleja una serie de enmiendas orientadas a regular y penar ciertas conductas delictivas a través de Internet. En principio esto no es malo, en el documento se reflejan penas para aquellos que accedan ilegalmente a un equipo y lo inutilicen. Incluso hay un apartado que parece (seguro que por mera coincidencia) diseñado para penar a los creadores de Ransomware:

Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:
 
a) Realizando alguna de las conductas a que se refiere el artículo anterior;

b) introduciendo o transmitiendo datos;
c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático,
telemático o de almacenamiento de información electrónica.

En principio este tipo de regulación es positiva, el problema es cuando el legislador 'se viene arriba' y propone cosas que, directamente convierten este blog en ilegal

Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:
 
a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o,
 
b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

De la forma en la que se ha redactado esta enmienda, señores, acaban de convertir en ILEGAL descargarse, desarrollar o mejorar, por ejemplo, una herramienta tan ampliamente utilizada como SQLMap.

Y como decía líneas más arriba, no hay que irse tan lejos, en este blog hemos documentado un buen número de vulnerabilidades en diferentes servicios, hemos liberado herramientas que, si bien han sido concebidas sin ánimo de hacer nada malo, se pueden usar para ello.

Por poner un ejemplo personal, hace poco liberé Search2Audit, una herramienta que genera un listado de URLs de un dominio para ser revisado desde una herramienta de seguridad, como en teoría esto lo que hace es 'colaborar' a descubrir partes inseguras de una web, ilegal

También publiqué una prueba de concepto de troyano avanzado llamado Folklorica, es un troyano, en malas manos puede servir para 'mantener un acceso ilegítimo', también pasa a ser ilegal

Y con esto, señores, acaban de finiquitar la investigación en el campo de la seguridad informática. Adiós a charlas en las que se documente un fallo, adiós a publicar herramientas, adiós a escribir sobre seguridad ofensiva en blogs temáticos. ¿Adiós SbD?
Leer más...

21 diciembre 2014

Enlaces de la SECmana - 255




Leer más...

15 diciembre 2014

Carta a los Reyes Magos.


Otro año más toca escribir una carta a sus majestades los reyes magos. Para todo aquel que necesite ideas o quiera darse un caprichito os dejo unas cuentas sugerencias. ¡¡ A mí me va a caer alguna !!

Eso sí, todos estas cosas siempre para hacer el bien, de esa forma nos aseguramos que el año que viene seguirán volviendo y no tendremos que pedir un permiso especial para ir a cenar con nuestra familia al ministerio del interior.

1.- Un receptor DVB-T (menos de 20€) con el que jugar con RTL-SDR y que tenga chip r2832u, Por si teneis dudas, os dejo un enlace con buenas recomendaciones.

Receptor DVB-T

2.- Un dispositivo Pro-II de Reaversystems (unos 60€) para jugar un rato con la seguridad wireless, que eso del aircrack y los tropecientos comandos está muy bien, pero seguro que hay formas de botón gordo más chulis para hacerlo, además me consta que tienen cosas especiales para romper WPS.

Reaversystems ProII

3.- Unos calcetines de Hacker (~15€) que son la respuesta de Vicente a cuando le reproché que la camiseta con ojos no era suficientemente jakeriana para incluirla en el artículo, entonces me pasó este regalo tan molón.

Típicos calcetines que lleva un hacker.
4.- Si el DVB-T para RTL-SDR (más de 150€) se queda corto y hay pasta, pues un HackRF, que da muchísimo más juego.
HackRF
5.- Licencias de software, como el VMWare Fusion (ahora que me he vendido a Mac), Little Snitch o algo para leer de una forma cómoda NTFS, como Tuxera o Paragon.

VMWare Fusion


6.- Unos libros (menos 20€) como son el nuevo "Rtfm: Red Team Field Manual" escrito por Ben Clark, que contiene un listado de comandos a modo de chuleta para un test de intrusión  y The Hacker Playbook: Practical Guide To Penetration Testing de Peter Kim, con un repaso a lo que es un test de intrusión para los más novatos. Seguro que ambos son muy interesantes.

Rtfm: Red Team Field Manual

7.- El phantom keystroker (menos de 20€) con el que gastar bromas a mis compañeros, un dispositivo que se pone entre el teclado y el ordenador y añade pulsaciones o cambia mayúsculas por minúsculas y otras perrerías par volver a alguien loco.

Phantom Keystroker

Os dejo mi lista de otros años, por si os da más ideas:

Leer más...

14 diciembre 2014

Enlaces de la SECmana - 254

Leer más...

13 diciembre 2014

Entrevista a Fernando Bonsembiante, de Virus Report




En mi último viaje a “Las Américas”, como ya relaté aquí, tuve la oportunidad de estar en Buenos Aires, en la décima edición de Ekoparty.

Durante una mesa redonda sobre delitos informáticos en la que participé, se sentó entre el público un tipo con una poblada barba, al que no conocía, y al que la gente le saludaba con gran admiración.

Leo Pigner, uno de los organizadores de Ekoparty, me lo presentó como toda una leyenda. Se trataba de Fernando Bonsembiante, un hacker argentino (aunque él mismo no se considere así) que escribía en la publicación argentina “Virus Report”, allá por mediados de los 90. Leonardo recordaba con nostalgia aquellas revistas, de la que hubo 21 números, como uno de los pocos medios para aprender sobre seguridad informática y malware. 


Para el evento, Fernando cargó con los 21 números de “Virus Report”, con la idea de poder exponerlos libremente a quien quisiera, y compartir con los asistentes la magia, nostalgia y "no sé muy bien el qué", que emanan. 

Tuve la oportunidad de echar un vistazo rápido a alguno y fue como viajar en el tiempo. Detalles técnicos de funcionamiento interno de virus como Barrotes, Viernes 13, Michelangelo, Klez, Flip… Recuerdo que cuando estudiaba en la Universidad, tenía varios disquettes de 3” y 1/2 con muestras de estos bichos, etiquetados como “Virii”, y que un colega los copió en el escritorio de un Windows 98 de un aula multiusos y los ejecutó todos a la vez. 

No quise dejar pasar la oportunidad de entrevistar a Fernando y os dejo bajo estas líneas el resultado de la misma

Fernando, ¿Cómo surgió la idea de escribir tus conocimientos en la revista Virus Report?

Trabajaba en la editorial MP ediciones en la revista PC Users, el director editorial era Alejandro Bojman, el observó que cada vez que salía una revista con el tema de virus en la tapa, las ventas aumentaban, decició que era una buena idea sacar una revista exclusiva sobe virus informáticos y me encargó el trabajo a mi, luego de convencer a los dueños de que era una buena idea. Yo estaba en contacto con verdaderos hackers, no como yo que como siempre repito no soy hacker ni nunca lo fui en todo caso soy periodista y ahora escritor de cuentos, sólo que tenía conocimientos de segunda mano sobre el tema.  Mi principal referente era el hacker conocido como Chacal y luego la gente de HBO y Azrael, este ultimo especialmente en el tema virus.

¿De cuál de todos los artículos que escribiste en Virus Report te sientes más orgulloso o más satisfecho?

Te dejo una lista de los que más me gustaron y la razón del por qué de algunas


¿Cómo consideras que ha evolucionado el hacking, en el sentido puro, hoy en día? ¿Eres de los que piensa que el romanticismo de antaño ya no existe?

Bueno ahora es mas que nada un buen negocio, antes se hacía por amor al arte y un sentido romántico de la vida, y ahora todo eso ha muerto.

¿A qué te dedicas actualmente?

Ahora escribo libros de cuentos y los edito por mi cuenta, como puedes ver en este enlace http://hecate.com.ar/ediciones_ubik/index.html

¿Qué sistema operativo hay en tu notebook actualmente? Si la respuesta es GNU/Linux ¿qué distribución?


Tanto en mi computadora de escritorio como en la portátil o notebook uso GNU/Linux y la distribución en concreto es Ubuntu.
Leer más...

12 diciembre 2014

Sh3llCON: Conferencias de seguridad en Santander

A principios del año que viene, exactamente el 23 y 24 de enero, se celebra en Santander (Hotel Santemar) el congreso Sh3llCON con una agenda repleta de grandes ponencias sobre temas muy diversos como son el malware, los APTs, la vida trabajando con los programas de recompensas de vulnerabilidades, la privacidad y un largo etcétera que puedes ver en la  programación, que copio directamente en esta entrada.

El precio de la inscripción antes del 15 de Diciembre es de 40€. Sube a 50€ entre el 15 de diciembre y 15 de enero y 60€ hasta la fecha del congreso.

También puedes seguir las novedades en su cuenta de twitter.

Agenda Viernes 23


Agenda Sabado 24

Ponencia especial para la defensa del menores.

Leer más...

11 diciembre 2014

La administración Española se hace 'Hacker friendly'

Ayer se estrenó en España el portal de la transparencia, una iniciativa gubernamental para que cualquier ciudadano pueda revisar donde se gastan sus impuestos.

Sin duda una iniciativa muy positiva. No obstante, llama la atención lo enormemente descriptivo de los datos. Cuando se revisa una compra, aparecen modelos exactos y el suministrador.

Desde un punto de vista informático, tanta información tiene un contrapunto bastante negativo. Hoy día donde los ataques informáticos han mutado en verdaderas operaciones de espionaje, estudiar el entorno que se pretende atacar es clave y vital para asegurar el éxito.

Gran parte de la planificación de un ataque dirigido (APT) conlleva intentar averiguar las medidas de seguridad de tu 'adversario', por poner un ejemplo: Si alguien quiere diseñar un troyano para atacar una organización, es vital saber con qué modelo de antivirus se va a encontrar para anticiparse y diseñar una pieza concreta que pase inadvertida.

Al hilo del portal de transparencia, me ha dado por buscar 'Antivirus' y he obtenido un listado bastante completo de las soluciones que emplean algunos organismos:


Si deseamos atacar al ministerio de Defensa, hay que evadir los antivirus de Mcafee o Trend Micro, -bueno es saberlo-

Si nuestro objetivo fuese la Seguridad social y estuviésemos atascados pensando por qué nuestros ataques quedan bloqueados, ya sabemos que tenemos que buscar 'tampers' para IPSs Check Point 


Si hablamos de sistemas operativos, podemos probar una búsqueda de tipo 'Windows' para discernir si nos toca diseñar algo para XP, 7 o Windows 8


En definitiva, es genial saber donde va el dinero del contribuyente, la transparencia es necesaria, pero igual se debería limitar la información técnica ofrecida a un potencial 'enemigo'
Leer más...

10 diciembre 2014

Cronología de la intrusión a Target

Hace ya casi un año que os hablamos de por aquí de uno de los hacks más importantes de la década, sobretodo por la cantidad de usuarios/clientes afectados (más de 70 millones): el compromiso de la cadena americana de tiendas Target.

En Diciembre de 2013 (hace casi un año) nos hicimos eco del hack a Target

En Ars Technica publican las alegaciones por las cuales los bancos pueden proceder a denunciar a la compañía debido a sus negligencias. Uno de los graves problemas a los que se enfrenta Target es el haber hecho caso omiso de las advertencias por parte de terceros en referencia a multitud de problemas de seguridad.


En este enlace en PDF, desde la página 58 a la 66 podremos leer una especie de cronología de eventos desde las primeras detecciones y evidencias sobre las que Target ignoró los graves problemas de seguridad que estaban sufriendo "en directo". Las mencionamos y resumimos a continuación:

  1. La compañía FireEye, famosa por sus soluciones de seguridad anti-APT, es contratada por Target a principios de 2013 para la protección de su infraestructura y detección de malware. En Junio de 2013, FireEye comienza el despliegue masivo de sus soluciones sobre la infraestructura de Target tras diversas pruebas.
  2. Junio 2013-Agosto 2013 - Los atacantes comienzan la fase de reconocimiento para la búsqueda de puntos débiles a aprovechar para comprometer externamente la infraestructura de Target.
  3. Mediante la búsqueda de información pública sobre Target y sus proveedores, se topan con la compañía Fazio, proveedor de sistemas de aire acondicionado y refrigeración para Target. Fazio dispone de acceso restringido a la red para determinados servicios de Target (facturación electrónica, gestión de proyectos y envío de contratos)
  4. Septiembre 2013: Mediante el malware Citadel enviado por correo electrónico, los atacantes consiguieron las credenciales utilizadas por Fazio para el acceso a la red de Target. Fazio utilizaba el MalwareBytes Anti-Malware gratuito como solución antivirus. Insuficiente...
  5. Durante Septiembre de 2013, empleados de seguridad de Target comienzan a reconocer posibles problemas de seguridad en el sistema de pagos de Target gracias al software desplegado por FireEye. Este hecho no trasciende, no se solicita más investigación sobre el tema.
  6. A finales de Septiembre de 2013, Target encargó una auditoría para demostrar que sus sistemas estaban certificados por los estándares de la industria, como PCI-DSS. 
  7. A mediados de Noviembre de 2013, comienza la intrusión sobre Target. Los atacantes acceden a la red mediante las credenciales robadas previamente y pertenecientes a Fazio. Si bien en primera instancia únicamente se disponía de acceso restringido a servicios, la red no estaba segmentada de manera segura.
  8. Los atacantes comienzan a desplegar el malware para puntos de venta en un conjunto acotado para realizar pruebas de su funcionamiento, con éxito.
  9. A finales de Noviembre de 2013, los atacantes instalan el malware en un mayor número de puntos de venta (registradoras). En este momento los atacantes ya comienzan a recibir información sensible de tarjetas de crédito en tiempo real sobre clientes que utilizan los dispositivos comprometidos. En ese momento, también comienzan a instalar malware encargado de realizar la fuga de datos desde los sistemas de Target a los sistemas pertenecientes a los atacantes dentro de la red
  10. El software de FireEye detecta este nuevo malware utilizado por la exfiltración, pero el equipo de seguridad de Target no realiza ninguna acción al respecto. Además, Target disponía de software de Symantec (Endpoint Protection) que también comenzó a detectar este malware, pero Target seguía sin reaccionar. La fuga de información continuaba sin interrupciones.
  11. El 2 de Diciembre de 2013 FireEye vuelve a reportar de nuevo lo ocurrido a finales de Noviembre, pero Target sigue sin llevar a cabo acción alguna.
  12. A mediados de Diciembre de 2013, la información comienza a pasar desde los servidores comprometidos dentro de la red de Target a servidores externos pertenecientes a los atacantes (Centros de Control). Esta fuga se realizó durante dos semanas seguidas sin problemas.
  13. El 11 de Diciembre de 2013 alguien de Target analiza una muestra del malware mediante VirusTotal. A pesar de creer que pudiese ser malicioso, la fuga de información continua.
  14. A partir de ese instante, la información robada se va proporcionando a diferentes portales del mercado negro, y los bancos comienzan a recibir incidencias de sus usuarios debido a que sus datos podrían haber sido comprometidos.
  15. El 15 de Diciembre de 2013, Target comienza a purgar sus sistemas, y el incidente aparece en los medios tradicionales.
Información pública sobre proveedores, requisitos de seguridad inexistentes para la conexión por parte de terceros a la infraestructura de Target, avisos de seguridad ignorados en multitud de ocasiones, problemas de autorización en cuentas de acceso para proveedores, credenciales con usuario y contraseña y ausencia de segundo factor para autenticación, segmentación insegura... un cúmulo de despropósitos que unidos al "pasotismo" aún habiendo realizado la adquisición y asociación de productos de seguridad en un período tan cercano, han llevado al desastre a Target y a sus clientes.

Leer más...

09 diciembre 2014

Las filtraciones de Sony Pictures Entertainment

Finalmente "GOP" está materializando su amenaza. Ya han liberado hasta en cinco ocasiones decenas de gigas de información de Sony Pictures, Entre estos datos hay ficheros como por ejemplo "Apascal.ost" con un tamaño de 3.78Gb y que contiene el correo electrónico profesional y personal, hasta el 23 de Noviembre de 2014, de Amy Pascal, la Co-Chairman de SPE y Chairman de SPEMPG



Al poco tiempo de que Guardians of Peace efectuara la amenaza se filtraron varias películas en Internet, como "Fury", "Annie", "Mr Turner" y "Still Alice", algo que tampoco es tan anormal teniendo en cuenta que sus estrenos estaban próximos. Después de esto se han publicado en páginas  de descargas directas ficheros internos de la compañía tal y como advirtieron.

La primera publicación se realizó el 1 de diciembre, mediante un anuncio en pastebin.com. Publicaron 26Gb con 33.000 ficheros que contienen datos personales de empleados, contraseñas en texto claro y salarios entre otras cosas.

Sony confirmó que los ficheros son auténticos.

La segunda ocasión fue dos días después, el 3 de diciembre,  1.18Gb de información y dos ficheros: "bonus.rar" y "list.rar", ambos con datos mucho más sensibles como certificados de servidores y unas quinientas contraseñas para administrar los sistemas y sus aplicaciones y bases de datos en texto claro.

Uno de los ficheros con contraseñas.
El día 4 de diciembre,  se empieza a señalar (fuente re/code) como culpable a Corea del Norte, ya que Sony Pictures estrena una película: "The interview" que es considerada como terrorismo por el gobierno norcoreano. Esta noticia coincide con la alerta por el FBI de un malware que coincide con lo ocurrido en Sony.

La tercera publicación ocurre el 5 de diciembre con otro comunicado y más enlaces en pastebin. 22 ficheros y 100Gb de datos financieros como forecasts, cierres de año, presupuestos, contratos, incidentes...

Tercer comunicado en pastebin.


Ese mismo día, un investigador avisa por Twitter de que el FBI le ha ido a buscar a casa por descargarse el contenido publicado.

Toc-Toc

Mientras tanto Los Angeles Times publica una noticia sobre un correo que han recibido los empleados de SPE y que les solicita que se desvinculen de la compañía o ellos y sus familias estarán en peligro.

Bloomberg especula que la primera filtración se hizo desde un hotel en Tailandia.


Torrent servido desde Tailandia


El 8 de diciembre vuelven las filtraciones, la cuarta con 4 ficheros que suman 2.8Gb y otra comunicación distinta con un mensaje que menciona los motivos del ataque y la película "The Interview", aunque se desconoce si es o no real.


En esta última filtración se encuentran los ficheros de correo de Amy Pascal (Apascal1.ost) con más de 5.000 correos distintos y otro fichero aun desconocido (moskos.ost)

Actualmente se siguen analizando ficheros y el malware que se ha utlizado por las compañías antivirus, así que próximamente tendremos más información.

Leer más...

07 diciembre 2014

Enlaces de la SECmana - 253

Leer más...

05 diciembre 2014

#CorreosGate: La tormenta perfecta

El día de ayer fue bastante movido, tal y como sospechábamos, mucha gente se ha visto envuelta en que, tal vez, haya sido la campaña mas dañina, masiva y 'eficaz' de Ransomware acontecida en España.

Al final, los principios 'Darwinianos' también llegan al mundo del malware y este, evoluciona. Una amenaza que dependía de una mala planificación de actualizaciones o de contraseñas débiles (en el caso de servidores Windows con RDP), ha mutado en algo mucho más sofisticado.

Mucha gente se lleva las manos a la cabeza preguntándose cómo es posible que a día de hoy la gente siga abriendo adjuntos. En mi opinión es una matización realmente simplista. Y la respuesta es: CONFIANZA.

Todo el mundo recibimos SPAM, casi todos esos correos son directamente descartados por los sistemas anti-SPAM, y si no lo son, a primera vista son fácilmente descartables (nombres de empresas con actividad limitada en España, correos mal escritos ...)

Además, ese tipo de correos suelen llegar a cuentas tipo Gmail, Yahoo, etc etc, es lo que se suele ver en bases de datos de correos robados

Pero esta campaña ha sido diferente, de entrada el señuelo estaba realmente bien construido y, el golpe demoledor, ha sido la combinación de:
  1. Correos CORPORATIVOS, sí, de empresas u organizaciones como objetivo
  2. Los correos iban con Nombre+Apellido 
Y esto ha sido, en mi opinión, lo que ha convertido esta campaña en el 'I love You' Español.

Lejos de culpar a los usuarios que han recibido un e-mail con su nombre, de una organización nacional y en sus correos corporativos, nos deberíamos preguntar (parece que esto ha quedado en un segundo plano) ¿QUIÉN HA FILTRADO ESA ENORME BASE DE DATOS DE CORREOS Y DATOS?

Mi apuesta persona es qué, estos datos, vienen de un 'hackeo' a alguien muy pero que muy gordo. Y no creo que sea una red social o un sitio web de recetas de cocina (...)

La gente se suele sentir confiada para apuntarse a algo con ese tipo de cuentas corporativas cuando el sitio web es un sitio de referencia y, en mi opinión, lleva asociado algún tipo de medio de pago. Normalmente no sueles dar tu nombre + apellidos para acceder a sitios intrascendentes. Los das cuando vas a pagar algo, ya sea un viaje, alquilar un coche o adquirir un producto.

Mi investigación personal me ha llevado a la conclusión de que esos correos NO eran accesibles mediante OSINT (no estaban indexados en google, ni se podían localizar en Internet ...) ni formaban parte, a priori, de bases de datos de correos conocidas

Por eso, de una forma totalmente anónima, sería genial que los afectados tratasen de pensar en qué sitios se habían registrado con las cuentas de correo afectadas y a ver si entre todos descubrimos la fuente de la filtración

Y para terminar, añado qué, toda cuenta que haya sido afectada, es seguro que forma parte de una base de datos de usuarios que volverá a ser visitada tarde o temprano. Algo que se debe tener muy en cuenta 
Leer más...

03 diciembre 2014

A lo largo de la tarde no he parado de recibir peticiones de ayudas desde varias organizaciones y empresas debido a una masiva infección mediante 'CryptoLocker'.

La fisonomía del ataque se aleja de los típicos correos mal escritos y que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado.

El dominio que están empleando (al menos en algunos de esos e-mails) es correos24.net 

Como se puede ver en el whois:

 Domain Name: CORREOS24.NET
   Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
   Whois Server: whois.reg.ru
   Referral URL: http://www.reg.ru
   Name Server: NS1.REG.RU
   Name Server: NS2.REG.RU
   Status: clientTransferProhibited
   Updated Date: 03-dec-2014
   Creation Date: 03-dec-2014
   Expiration Date: 03-dec-2015

Es un domino que se ha creado hoy 3 de Diciembre.

Otro de los puntos que convierte esta amenaza en algo muy serio es el hecho de que, tras los correos hay una campaña OSINT previa para dirigir el ataque de forma selectiva a personas a quienes les llegan los correos a su nombre y apellidos

Esto ayuda a dar credibilidad a dichos e-mails y en muchos casos la gente está descargando el Ransomware.

Los correos lucen tal que así




Como se aprecia, van PERSONALIZADOS con nombres y apellidos de las personas a las que pertenecen los correos.

Desde aquí instamos a bloquear el dominio correos24.net y recomendamos instalar Anti Ransom para prevenir infecciones.

Si se hace click en el enlace que propone el correo, llegamos a una URL tal que así:

http://correos24.net/login.php?id=76264463456

Y, si se cumple la máxima de que la IP sea Española (he probado con variantes de varios países) llegamos a una URL tal que así:

http://correos-online.org/5a99b6186605843b7fdbc19400439af4

Y luce de esta forma:


En caso de que la IP sea de otro país, nos lleva a Google.

Y al rellenar dicho captcha, se descarga al equipo un fichero ZIP que contiene el troyano.

El dominio correos-online.org se ha registrado igualmente el 2 de Diciembre:

Domain Name:CORREOS-ONLINE.ORG
Domain ID: D174700842-LROR
Creation Date: 2014-12-02T13:28:53Z
Updated Date: 2014-12-02T13:28:54Z
Registry Expiry Date: 2015-12-02T13:28:53Z
Sponsoring Registrar:null (R2011-LROR)
Sponsoring Registrar IANA ID: 1564


UPDATE: Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker. Reporte VT aquí


UPDATE II: David Reguera de buguroo me ha facilitado unas URLs con las muestras analizadas en malwr.com



UPDATE III: Tal y como decía Marc Rivero, el cifrado se puede revertir empleando la herramienta 'TorrentUnlocker' que se puede descargar aquí   pero para poder realizar el descifrado es necesario disponer al menos de un fichero sin cifrar y el mismo fichero cifrado.

UPDATE IV: Según puede leerse en los comentarios, la herramienta antes mencionada, realiza bien el primer paso (deducir la clave entre fichero cifrado / descifrado) pero parece que NO es capaz luego de descifrar el resto de ficheros. De hecho, si se le pide descifrar y que elimine los .encrypted, el resultado puede ser catastrófico (se borran los .encrypted y los originales NO están descifrados), perdiendo la posibilidad de descifrar

UPDATE V: He colgado una muestra del malware aquí  

UPDATE VI: Mucha gente, ante la desesperación y urgencia por volver a la normalidad, está planteándose pagar el rescate pero tiene dudas sobre Bitcoin. Mi consejo es evitar en la medida de lo posible sitios como localbitcoins.com debido a que la tasa de conversión es MUY MALA. Donde más fácil y mejor tasa se encuentra, es en el cajero de Bitcoins del Centro comercial de Madrid 'ABC Serrano'  

UPDATE VII: Israel Córdoba de Aiuken nos hace llegar capturas de cómo usar el cajero de Bitcoins mencionado anteriormente.

Recomendamos NO PAGAR y tratar de esperar, ya que en muchas ocasiones se encuentra remedio, no obstante, entendemos qué, la criticidad de ciertos datos, pueda llevar a alguien a realizar el pago. No nos hacemos responsables de si luego esa transacción resulta fallida o hay más problemas

En primer lugar hay que hacerse con un Wallet, un Wallet es una billetera electrónica que reside en tu móvil o PC. Para usar el cajero lo ideal es crear una en el móvil. Hay muchos programas para Android o Iphone, en Iphone uno que funciona bastante bien es 'bitWallet' que permite recibir y enviar dinero.

Una vez se tenga ese u otro programa instalado en el móvil, hay que ir con dinero físico (no acepta tarjeta, solo billetes) al cajero y seguir unos sencillos pasos


El primer paso es poner el código QR de la aplicación que hayamos instalado. Este código es la representación de nuestra billetera


El siguiente paso es introducir por la ranura de billetes el dinero


Aceptamos para que se produzca la transacción


Y con eso ya tendríamos los Bitcoins en el móvil


UPDATE VIII: He escrito otro post en el que solicito colaboración a los afectados para descubrir la fuente de la que hayan podido salir los correos de los afectados. 

UPDATE IX: Vía Maite Moreno llegamos a este post de bleepingcomputer donde, malas noticias, indican que esta variante no es posible acceder a los documentos sin pagar
Leer más...