Mostrando entradas con la etiqueta fail. Mostrar todas las entradas
Mostrando entradas con la etiqueta fail. Mostrar todas las entradas

05 marzo 2014




Si hace unos días nos echábamos las manos a la cabeza con el grandísimo “fail" de Apple, que permitía dar por bueno determinado tipo de certificados, ahora me llega un correo por parte de uno de mis alumnos del curso de Análisis Forense, con un enlace en el que se dice que se ha descubierto una vulnerabilidad similar en la implementación de GNUTLS.

Por ende, todas aquellas aplicaciones que requieran la librería GNUTLS para encapsular las comunicaciones de tráfico de forma cifrada, resulta que existe una forma de circunvalar las comprobaciones de certificados, permitiendo en algunos casos, dar por bueno hasta un certificado autofirmado!!! Lo peor es que el fallo podría estar vigente desde 2005. Parece ser que una auditoría rutinaria por parte de RedHat ha puesto de manifiesto esta vulnerabilidad. Sólo se me ocurre una cosa: WTF!

Por una parte, Apple es una compañía con software hecho de forma cerrada, y sin saberlo de forma oficial, se puede intuir que “ayuda” al gobierno americano, NSAs, y compañía en aquello “que necesiten por la Seguridad Nacional”… Es igualmente, inadmisible que un fallo de esas características se les haya escapado a una empresa que se supone que cumple con auditorías de código, sigue metodologías de desarrollo seguro de software y todo eso, por lo que pinta a que ha alguien dejó caer ahí ese segundo Goto Fail; en un sitio tan crítico.

Lo que me hace llevarme las manos a la cabeza es cómo, desde 2005 hasta 2014, nadie haya auditado secciones tan críticas de código en librerías tan relevantes para la privacidad de las comunicaciones, y en este caso para la autenticación. 

Recordemos que este fallo permite suplantar a un destino haciendo que la verificación criptográfica sea successful,.. aunque sea un fake total. 

Podéis ver el parche publicado en Gitorious. Lo también impactante, es que lo ha descubierto RedHat en un proceso de auditoría…. Desde 2005, señores de RedHat, cada cuánto auditan ustedes el código???

Por otra parte, me viene a la cabeza la entrevista que le hicieron a Linus Torvalds, en la que le preguntaban: "¿Le han propuesto alguna vez, desde alguna entidad gubernamental, introducir un backdoor en el kernel de Linux?" A lo que el creador del kernel contestaba: "Nooooo" con la voz mientras asentía con la cabeza.


Por elucubrar, sólo se me ocurre que algunos gobiernos hayan explotado masivamente estos fallos hasta el día de hoy, y hayan encontrado/implementado alguna otra vulnerabilidad que les siga permitiendo el acceso a las comunicaciones cifradas, pudiendo filtrar que éstas existen y todos felices.

Definitivamente, no sabemos en manos de quién están nuestros datos ni la privacidad de los canales por los que fluyen.   


Leer más...

28 diciembre 2012

Todos conocemos el 'reality' Gran Hermano, amado por muchos, odiado por otros. En cualquier caso los participantes de dicho reality están ahí porque han querido, lo han elegido y son conscientes de que la gente les está observando.

Pero, ¿Qué pasaría si un fabricante de cámaras de vigilancia fuese tan negligente como para dejar expuestos a sus clientes a miradas indiscretas? 

Trendnet, fabricante de dispositivos de red cuyo lema es 'Networks People Trust' ha hecho exactamente eso: Convertir a sus clientes en involuntarios concursantes de Gran Hermano.

Según leo aquí, las cámaras de vigilancia de dicho fabricante adolecen de una seria vulnerabilidad que permite a cualquier atacante remoto acceder a la grabación de la cámara.

El fallo es bastante negligente y denota bastante torpeza, ya que no requiere hacer nada más que apuntar el navegador a una URL para acceder a la cámara. Nada de Kun Fu ni artes Ninjas

A modo de concienciación, se ha creado una cuenta en twitter llamada TRENDnetExposed en la que periódicamente se van publicando enlaces de cámaras IP de clientes que confiaron en TRENDnet. Todo un Gran Hermano al alcance de 'un follow'

Entre otros, podemos ver a la concursante 'oficinista':




A los chicos, sin duda, conspirando para nominar a las chicas:


Y como todo buen Gran Hermano que se precie: El establo con los animales




En la cuenta twitter de TRENDnetExposed podemos conocer al resto de participantes:


Leer más...

23 febrero 2012

Ea Ea Ea, Google se cabrea !

Para poner en antecedentes, el martes pasado presentábamos nuestra prueba de concepto sobre Bouncer, el sistema anti-malware de Google que teóricamente limpiara el market.

Como tal, fue una prueba de concepto, simplemente subimos la aplicación al market, dejamos que bouncer hiciese su trabajo y se retiró del market, no estaba accesible para descarga ya que el objetivo, evidentemente, no era 'troyanizar' a nadie.

El caso es durante el día tuvimos una serie de visitas desde Google un tanto extrañas, como nos mostraba statcounter:


Como se puede ver, visitas desde Google directas a nuestro post. Y no, no son del bot-araña de Google por varios motivos:

1- El bot NO se identifica a si mismo como navegador Chrome
2- El bot NO se identifica a si mismo como sistema operativo Mac
3- El bot NO renderiza el javascript de statcounter (que es el que cuenta las visitas)

Hasta aquí nada importante salvo porque al rato, me llega a mi cuenta de correo lo siguiente:

This is a notification that the application, Sexy Girl, with package ID com.kamasutraplus has been removed from Android Market due to a violation of Android Market developer terms. It has come to our attention that this application could be used in a way that is harmful to devices, networks, or users.

For specific policies pertaining to this suspension, please see:
Developer Distribution Agreement:
4.3 Use of the Market by You
4.4 Prohibited Actions
Content Policy:
Malicious Products

Please fully review the Content Policies, Developer Distribution Agreement, and Business and Program Policies before you create or upload additional applications. Please also consult our guidelines on rating your application.

Please be advised that this or additional violations may result in a suspension of your Android Market Publisher account, and may also result in actions, including possible suspension, taken against any associated Android Market Publisher, AdSense, Google Checkout, or AdMob accounts.

To appeal this decision, you may reply to this email, or visit the Android Market Help Center for additional information.

Thanks,
The Android Market Team

Lo que significa que:

1- De entrada eliminan toda evidencia de la aplicación (normalmente cuando se des-publica una aplicación sigue estando en el panel del desarrollador)
2- Bromas las justas, si decido persistir en hacer esa clase de pruebas, mi cuenta será cancelada.

Ya sabéis, a partir de ahora si Google dice que el market es inviolable, ver, oír y callar
Leer más...

03 septiembre 2011

Epic Fail de Ebay

El huracán Irene, catalogado como uno de los peores de los últimos siete años, está causando estragos en EEUU obligando incluso a Nueva York a encontrarse en estado de emergencia.

Como era de esperar, Irene está afectando también a compañías como Ebay, quien ha mandado un email a ciertos usuarios (los que hayan realizado algún pedido durante todo este periodo de "inestabilidad") explicándoles la situación y comentándoles las medidas que van a tomar al respecto.

Cual ha sido mi sorpresa cuando un amigo me ha reenviado el email que ha recibido por parte de Ebay, conteniendo el nombre y apellidos, identificador, nombre de usuario y dirección de correo de 608 usuarios de Ebay (y no hay más porque parece que el sistema ha cortado al alcanzar un determinado tamaño).

Las estadísticas de los datos comprometidos en este email (que habrán sido diferentes en cada uno de los enviados) son:
Yahoo.com : 128
Gmail.com : 104
Aol.com : 62
Hotmail.com : 58
Us.army.mil : 1
Fcc.gov : 1




Ya nos hemos encontrado casos en España en la que se ha multado a personas que han enviado correos "masivos" utilizando CC en vez de CCO, ¿ocurrirá lo mismo en este caso? ¿se tomará alguna medida al respecto? No lo creo, pero deberían dar explicaciones de porqué se ha filtrado tanta información.

Contribución por Luis Delgado
Leer más...

26 julio 2011

¡Nominaciones Pwnie Awards 2011!


Vuelven los premios más divertidos del mundo del hacking y la seguridad. ¿Que qué se premia? Se premia el FAIL, la pericia o el ridículo dentro de la comunidad de la seguridad.

Además de ser unos premios bastante peculiares, son un pequeño resumen de lo mejor de todo el año, especialmente en la comunidad del exploiting.

Este año hay de todo y para todos, y es que la tarta está muy repartida.

Mención especial para Sony, que no ha dejado hueco para más participantes en la categoría "Pwnie for Most Epic FAIL", y es que ocupa ella sola todo el espacio disponible.

El 3 de Agosto en Las Vegas, en BlackHat USA, se celebrará la ceremonia que determinará los vencedores de cada categoría.

Este año las categorías son las siguientes:

- Pwnie for Best Server-Side Bug
- Pwnie for Best Client-Side Bug
- Pwnie for Best Privilege Escalation Bug
- Pwnie for Most Innovative Research
- Pwnie for Lamest Vendor Response
- Pwnie for Best Song
- Pwnie for Most Epic FAIL
- Pwnie for Lifetime Achievement
- Pwnie for Epic Ownage

Y las nominaciones para cada categoría:

Pwnie for Best Server-Side Bug

Premio para la persona que haya descubierto el fallo más sofisticado e interesante tecnicamente en el lado del servidor.

- ASP.NET Framework Padding Oracle
- Microsoft FTP server heap overflow
- ISC dhclient metacharacter injection
- BSD-derived IPComp encapsulation stack overflow
- Exim remote code execution flaw

Pwnie for Best Client-Side Bug

Igual que la categoría anterior, pero en el lado del cliente.

- FreeType vulnerability in iOS
- Google Chrome sandbox bypass
- Java mismatched codebase arbitrary code execution
- Blackberry Pwn2Own exploit
- Android web market XSS

Pwnie for Best Privilege Escalation Bug

Seguimos con el mejor fallo que permita escalada de privilegios.

- Privilege escalation in CSRSS
- Linux kernel set_fs kernel memory overwrite
- Linux $ORIGIN privilege escalation

Pwnie for Most Innovative Research

Persona que haya publicado la investigación, paper, presentación, hilo en lista de correo o herramienta más innovadora e interesante.

- Stackjacking
- Understanding and Exploiting Flash ActionScript Vulnerabilities
- Black Box Auditing Adobe Shockwave
- Securing the Kernel via Static Binary Rewriting and Program Shepherding
- Understanding the LFH heap

Lamest Vendor Response

La peor respuesta por parte del vendedor.

- Remotely exploitable stack overflow in OpenSSH on Novell NetWare
- Magix Music Maker 16 stack overflow
- RSA SecurID token compromise

Pwnie for Best Song

¿Qué ceremonia de entrega de premios no tiene premio para la mejor canción?

- Eatin' Cookies
- Hacker Hacker
- 0-day
- The Light It Up Contest
- Mastering Success And Failure
- Help Yourself To My Flaws
- LIGATT Rap
- gli anni
- #antisec
- My Digital Self

Pwnie for Most Epic FAIL

Parece que aquí hay premio seguro.

- Sony (Fail0verflow y GeoHot)
- Sony (Sony Online Entertainment (SOE) fail)
- Sony (LulzSec)
- Sony (PSN)
- Sony (Despedido su equipo de seguridad de redes)

Pwnie for Epic 0wnage

- Anonymous for hacking HBGary Federal
- LulzSec for hacking everyone
- Bradley Manning and Wikileaks
- Stuxnet

Podéis consultar toda la información y los divertidos comentarios de cada una de las vulnerabilidades en la web del concurso.

Referencias
Leer más...

02 abril 2011

Samsung NO instala Keyloggers en ordenadores portátiles

Dicen que rectificar es de sabios y claramente ante una metedura de pata, es lo mínimo que se puede hacer.

El jueves pasado publicaba la noticia de que Samsung introducía un Keylogger en los equipos que pre-instalaba para su venta. Noticia que, finalmente se demostró errónea, en este punto y dado el tono de algunos comentarios en el anterior post, creo que existe un matiz importante: la noticia no es inventada, no es una divagación. Se sustentaba en el testimonio de un profesional acreditado (al menos formado y titulado) y sobre todo, en el testimonio del servicio técnico de Samsung. Adicionalmente se entregaban una serie de pruebas basadas en un motor AV que confirmaban la existencia.

En ese punto la historia sonaba creíble y probada, al menos fue suficiente para mi. En parte porque tras el affaire Sony y su rootkit, la historia no sonaba en absoluto descabellada.

A toro pasado, con el desenlace de la historia en la mano resulta fácil lanzar sesudos análisis sobre toda la trama.

Particularmente me quito el sombrero ante la gente de F-Secure porque sí se anticiparon a la jugada lanzando una contra-hipótesis en un momento en el que no había datos. Es como una película de misterio, decir 'Era obvio que el asesino es el mayordomo' con la película terminada tiene poco valor, lo interesante es decirlo en el minuto 10.

Personalmente me aplico lo aprendido al respecto, tal vez 'me condenó' el entender que la noticia era lo suficientemente importante como para primar la divulgación frente a la mesura. Lección aprendida, mis disculpas
Leer más...

30 agosto 2010

Ayudando a creadores de malware despistados

Poniéndome al día en un montón de RSS acumulados, encontré una noticia que me abrió los ojos ante cómo funcionan (o no) ciertas mentes humanas.

En Windows, cuando una aplicación ha ejecutado alguna instrucción no autorizada, el sistema operativo reacciona cerrando la aplicación mostrando una ventana con un mensaje que permite notificar a Microsoft sobre qué ha sucedido en dicha aplicación. La idea es ayudar al equipos de desarrolladores de Microsoft para mejorar las capacidades del sistema operativo y de la integración con las aplicaciones (ya las desarrollen ellos mismos también o por parte de terceros), así como sugerir a los usuarios si algún parche corrige la causa del "cuelgue".

Gracias a esto, según Rocky Heckman, arquitecto senior de seguridad de Microsoft, a lo largo del día, reciben un montón de estas notificaciones, con parte del código (un dump de cierta porción de memoria) que generó el error. El tema está en que muchas de estas notificaciones corresponden a acciones por parte de desarrolladores de virus/malware (con prisa, -podríamos añadir-) que en fase de creación de sus nuevas obras de arte, lógicamente hacen pruebas sobre sus propias máquinas. Al no estar depurado el comportamiento del software, lo normal es que se generen "crashes" de aplicación sobre el sistema operativo y al pulsar el botón "Enviar Informe" de la ventana que se abre (sin leer el texto de la misma), se enviará información preciosa de la creatividad del revolucionario troyano beta directamente a Microsoft. ¿Paradójico no? Precisamente el fabricante del sistema operativo de cuyas vulnerabilidades se quieren aprovechar, reciben información de primera mano directamente de parte de su creador.

Y es que estas cosas pasan cuando no "escuchamos" TODO lo que nuestro sistema operativo nos dice… Pero venga va, ¿quién se lee siempre el texto completo de un EULA cuando lo está instalando? Si el mensaje es muy largo o muy "repleto de letras y líneas" directamente buscamos el botón "Aceptar" y que continúe lo antes posible.

Y pensar que el propio Windows proporciona la posibilidad de deshabilitar la solicitud y envío de informe de errores a Microsoft... Cuántos leaks podrían haberse evitado por parte de estos despistados desarrolladores de malware sobrados de creatividad e ilusión si, en Windows 2000/2003 o XP, hubieran ido al menú contextual de "Mi PC" -> "Propiedades" -> "Informe de Errores" y hubieran configurado convenientemente esta opción para evitar la notificación de errores a los de Redmond.


En caso de que nuestros desarrolladores despistados de malware usen Windows Vista o Windows 7, la forma de deshabilitar la notificación de errores es diferente.
Para ello, ejecutaremos "gpedit.msc" en Inicio -> Ejecutar para abrir la "Configuración de Políticas Locales". En "Administración de Plantillas" -> "Componentes de Windows", modificaremos "Deshabilitar Informes de Error de Windows" a "Habilitado"






Leer más...

11 junio 2010

¿Buscas 114.000 correos de gente influyente? Razón: AT&T

Ahí es nada! Gracias al modo de registro de los Ipad con 3G comprados en Estados Unidos, un grupo de hackers llamado Goatse Security han podido extraer, los correos electrónicos de, atención!!, hasta 114.000 personas...

Además, dado lo novedoso del gadget de la marca de la manzana mordida, los correos obtenidos son de personas relevantes en el mundo tecnológico y los negocios, es decir, aquellos "privilegiados" que han recibido un Ipad de forma anticipada, antes de su lanzamiento público, generalmente usuarios VIP. ¿Estará el de Enrique Dans entre ellos?

Pero ¿cómo es esto posible?

Fundamentalmente, gracias a un pobre diseño en la web del operador en exclusiva en el país del tío Sam para vender el Ipad 3G: AT&T. No es la primera vez que la compañía de comunicaciones tiene algún desliz conocido en sus páginas PHP.

En este caso, resulta que mediante la web del citado operador, es/era posible, enviando el ICC-ID (número de serie de cada Ipad), obtener en la respuesta, el nombre y correo electrónico del dueño del famoso gadget:

En realidad, una página redirigía a la otra mediante Javascript, pero podía simularse haciendo dos peticiones consecutivas, obteniendo finalmente los datos.

La URL inicial que lo que pedías tenía este formato:
https://dcp2.att.com/OEPClient/openPage?ICCID=<aqui_va_el_numero_de_serie>&IMEI=0
La URL a la que se redirigía era:
https://dcp2.att.com/OEPClient/Customer
Así pues, para generar números de serie válidos, se basaron en aquellos publicados por los geeks que hacían fotos o capturas de pantalla (tan comunes entre gente que quieren mostrar al mundo que tiene un IPad), de sus dispositivos o la pantalla "Ajustes -> General" para generar la base de un número de serie válido.

A partir de ahí, crearon un script en PHP que, a partir de esa base, generaba números de serie y preguntaba al servidor de AT&T quien era su dueño y su correo.

Aquí tenéis la función que generaba números de serie:

function genluhn($number){ //Crappy home-made Luhn checkdigit generator
    $i = strlen($number)-1;
    do {
        $array[] = $number[$i];
        $i--;
    } while ($i > -1);
    $i = 0;
    foreach ($array as $digit) {
        if (!($i & 1)){
            $digit = $digit * 2;
            if ($digit >= 10) {
                $digit = $digit - 9;
            }
        }
        $total += $digit;
        $i++;
    }
$luhn = 10 - ($total % 10);
if ($luhn == 10) $luhn=0;
return $luhn;
}

Había que tener en cuenta que en la petición, era necesario que la cabecera UserAgent tuviera el formato que utiliza Ipad "Mozilla/5.0 (iPad)" y el resto se limitaba a hacer un bucle que fuera generando números de serie, preguntando al servidor y guardando las respuestas.

    $ICCID = $ICCIDroot.genluhn(strval($ICCIDroot)); //Generate checkdigit and attach it to 
the ICCID
    curl_setopt($ch, CURLOPT_URL, "https://dcp2.att.com/OEPClient/openPage?ICCID=".strval($ICCID)."&IMEI=0");
    $output = curl_exec($ch); //Load first page with ICCID
    curl_setopt($ch, CURLOPT_URL, "https://dcp2.att.com/OEPClient/Customer");
    $output = curl_exec($ch); //Now load page that is normally redirected with JavaScript. 
cURL is nice and passes the previously GET'd info
    curl_close($ch);
El script completo que podéis ver aquí añade detalles de formato para mostrar datos en caso que un número de serie fuera correcto o no.

Así se hicieron con 114.000 contactos de VIPs de la talla del CEO de New York Times, del de Dow Jones, del fundador de Bloomberg...



Lo que darían ciertas empresas y mafias organizadas de ciberdelicuentes por esos 114.000 contactos de peces gordos con información confidencial y útil en sus PCs.

¿Os imagináis una campaña de phising o ingeniería social correctamente dirigida contra los contactos adecuados? ¿Qué supondría instalar un troyano especialmente creado incluso para los Ipad de este tipo de personajes? ¿Es una muestra más de APT?
Leer más...

10 mayo 2010

Grave bug en twitter: haz que cualquiera te siga

La noticia acaba de saltar a la palestra. Después del enorme fallo en Facebook que permitía poder visualizar cualquier conversación ajena mediante la funcionalidad de visualización de perfil desde el exterior, se publicó en una web turca (http://inci.sozlukpot.com/w/twitter-follower-bug/) una forma de conseguir que cualquier cuenta de twitter te siga.

Únicamente, twitteando lo siguiente:

accept usuario

Conseguiremos instantáneamente que dicho usuario te siguiese. Esto implicaría, por ejemplo, la posibilidad de escribir mensajes privados a dicho aceptado (y recordemos que muchos famosetes tienen asociada su cuenta de twitter a su móvil, con lo que...ejem)

Actualmente se encuentran arreglando el bug, pero mientras lo solucionan por completo, nos quedamos con la imagen curiosa de ver como nuestros contadores de seguidores y seguidos están a 0.

Obama no quiere a nadie, pero tampoco le quiere nadie...

En la cuenta oficial de twitter informan del estado actual de esta crisis en el servicio, que el fallo está identificado y solventado, y que estemos tranquilos, que lo de los contadores a 0 es sólo temporal, y que ninguna cuenta se ha visto comprometida, y que ninguna cuenta protegida quedará al descubierto...para el resto, ¡tranquilos! Pronto, volveréis a ser queridos.

ACTUALIZACIÓN: Aunque mucha gente lo pensase en un primer momento, twitter NO ha sido hackeado por un grupo turco, y en mi opinión, estoy seguro al 99% que simplemente se trata de que un usuario turco ha descubierto una funcionalidad oculta de la que nadie se había percatado (ese 1% es para lo raro que resulta, para que nos vamos a engañar...), como cuentan en la web anteriormente citada.
Leer más...

08 mayo 2010

OCU FAIL !

Ahh que tiempos aquellos a principios / mediados de los 90 en los que yo era un vivaraz mozuelo y únicamente existían las famosas BBS y el increíblemente caro IBERTEXT.

Recuerdo de esa época como en mi casa siempre y casi 'de toda la vida' llegaba la revista de la OCU y su hermanita OCU Compra maestra. Esos análisis sesudos sobre productos en los que supuestamente se guiaban por patrones independientes. Cuantos y cuantos productos fueron descartados / abrazados en casa gracias a esa revista ..

Lo cierto es que hacía ya bastante tiempo que le tenía perdida la pista a esa revista hasta que hoy, en una de mis cuentas de correo, me encuentro este super-SPAM NO solicitado (Click para agrandar):


Evidentemente no daba crédito a lo que veía, la OCU, el referente moral del ciudadano consumidor, el adalid de la defensa ... haciendo SPAM descarado !

En la parte final del correo se podía apreciar un link para 'darse de baja'


Bueno, como tengo claro que NO me interesa en absoluto ni esa oferta ni seguir recibiendo mas SPAM, decido darme de baja y dar el incidente por 'no sucedido' (quien sabe, igual ha sido un error, un fallo... evidentemente jamas en la vida he usado ese servicio de nombre tan sospechoso... No, de la OCU no me puedo esperar semejante felonía ...)

y ZAS !

A-CO-JO-NAN-TE resulta que para darme de baja tengo que meter mi correo en una de esas web 'quien te bloquea en el MSN'. Esto ya si es para caerse al suelo, la OCU SPAMEANDO y de regalo, una de esas webs que, no olvidemos, por denunciarlas se llevaron por delante Meneame y Genbeta. Vamos los 'socios ideales' para promocionarse.

Sin duda alguna, OCU FAIL / OCU DEAD

PD: Tal y como no se cansan de decir en SpamLoco, ya NO se puede saber ni siquiera quien te ha borrado debido a un cambio en el protocolo MSN
Leer más...

07 mayo 2010

Experiencias graciosas de un consultor de seguridad

En los años que llevo trabajando, me ha tocado interactuar en un montón de proyectos, unos más de seguridad, otros más de administración de sistemas, en otros se me requería para apagar algún fuego o simplemente para hacer bulto. Hoy quiero contar algunas de las escenas que me han hecho más gracia en dichos entornos.

Por ejemplo, en mi primer trabajo (allá por el 2001), una incidencia tremenda en un Ministerio impide que el correo electrónico funcione correctamente. Me mandan para allá a hacer bulto y a aprender de ese tipo de situaciones (mis conocimientos en esas épocas eran muy limitados). Total que se delimita que el problema se debía a que la comunicación entre el gateway con un servidor que analizaba los correos ante virus era por protocolo CVP e iba muy lento. Me encomiendan la importante misión de ir moviendo de un directorio con un montón de correos encolados a otro más pequeño desde donde se irían procesando en menor número. Según la cola principal se vaciaba, tenía que ir moviendo nuevos correos para ser despachados. A eso de las 3AM, aparece el director de operaciones de mi empresa, un tipo con mucho sentido del humor (que ya sabía de la <ironic> grandísima responsabilidad e importancia de mi misión</ironic> ) y me pregunta, con una sonrisa en la boca y esperándose alguna respuesta divertida:

- "Qué tal? Cómo llevas la cola?"
Me empiezo a reir y le pregunto yo:
-"¿Has visto la película Mentiroso Compulsivo de Jim Carrey en la que se supone que el tipo no podía mentir en 24 horas? Resulta que le preguntan en el ascensor "¿Cómo lo llevas?" y él contesta "Pequeña, morcillona y cargada a la izquierda"...

Las risas de mis compañeros, mía, del propio director de operaciones, de personal del cliente que estaba allí etc,.. amenizaron y aliviaron los momentos de tensión sucedidos hasta la madrugada de ese viernes. De hecho, el nombre de máquina del mail relay de esa organización se llamó durante algún tiempo "pmci" en honor a aquel momento.

En otro cliente posterior, tuvimos que investigar en modo forense un ataque que había comprometido un servidor Windows. Nos pusimos a mirar logs varios en la consola de la máquina, etc,... hasta que un chico del departamento de seguridad del cliente dice: "Ya sé lo que ha pasado. La máquina tenía una carpeta compartida y accesible desde Internet. Además tenia permisos de ejecución, así que la han mapeado, han copiado un troyano ejecutable en ella y claro, al ejecutarlo ha comprometido el servidor!!!" Nuestra cara fue :O (Si ejecutas algo "desde" una unidad mapeada, se ejecuta en tu PC local, no en el remoto! Supongo que la presión y las prisas de intentar solucionarlo cuanto antes, le llevaron a pensar en voz alta algo así).

En ese mismo departamento de seguridad, se hizo una guía de securización de máquinas Solaris, en las que se recomendaba deshabilitar el demonio "echo" puesto que las necesidades de la organización no lo requerían activo. Anonadados nos quedamos cuando vino una persona del departamento de desarrollo para decirnos que se había leido la guía y que claro, ellos utilizaban el comando "echo" en algunos scripts para mostrar cosas... mi compañero hizo lo mejor que pudo para indicarle que ambos "echos" hacían cosas diferentes...

A un compañero de este blog le pasó algo muy divertido también. El escenario son dos abogados socios de una empresa que discuten y quieren dividirla. Tienen un Active Directory en Windows 2000 y ambos discuten sobre quien debe ejercer la administración. Se acuerda que cada uno tendrá un usuario administrador sobre la máquina. Uno de ellos indica que determinadas carpetas compartidas son suyas y le pide (de no muy buenas formas por cierto) al compañero que revoque determinados permisos al otro usuario. Éste le responde que al ser el otro usuario administrador también, puede volver a darse permisos y acceder igualmente. Lo que se le vino a la cabeza con mucha sorna fue... "mira, si quieres haremos algo más útil, renombro la carpeta a NO-TOCAR y ya está eh?".... (donde las dan, las toman ;D)

Un amigo me contó que estando en otro marrón, en el que el rendimiento de un cortafuegos era muy malo y el tráfico de red iba muy muy lento, un empleado del departamento de sistemas del cliente dice exultante: "Quietos todos. Ya sé dónde está el problema: Este cable que sale del cortafuegos, en el rack está muy tirante y doblado pegado con la puerta del mismo, seguro que los paquetes no pueden pasar bien por eso!!!" (y se quedó tan ancho, a mi amigo le tocó morderse las encías para no estallar de risa en ese mismo momento)

Seguro que tenéis mil historias más graciosas que estas... ¿Os animáis a contar alguna en los comentarios?

Leer más...

06 abril 2010

Top Fails de seguridad informática en el cine

Son varias las películas en las que se mencionan términos informáticos, que muchas veces por mala traducción, o por mala documentación de los guionistas, hace que la gente que aparte de disfrutar de la película, durante la semana trabaja con direcciones IP, bugs, exploits y tecnología variada, digan... menudo gazapo, o simplemente Fail!

Hace un mes ví en el cine la tercera entrega de Millenium 3. En este caso, la protagonista, una persona con altos conocimientos informáticos, que está encarcelada y aislada de los ordenadores, para ser juzgada, pide como favor a otro avezado amigo que acceda al portátil de un individuo. La finalidad es obtener pruebas que puedan ayudarle a ganar el juicio. El amigo le dice que es difícil porque tiene una conexión 3G y que "son difíciles de romper". Finalmente el fulano se va a la recepción del hotel donde está alojada la víctima y espera a que se conecte vía wireless, tres pases de magia y ya tiene acceso al PC del colega. A efectos de público no-informático, el amigo friki ha sido capaz de comprometer el PC a través de la conexión 3G.

En la Jungla de Cristal 4, casi al final, otro informático "ayuda" a Bruce Willis mostrándole un cartel con lo que se supone que es la IP desde la que se están conectando unos individuos. La IP que se muestra es privada (del rango 10.X.X.X, clase A si no recuerdo mal) y se supone que debería ser pública, puesto que se trataba de una conexión desde Internet. En algún otro punto de esta película aparece una dirección IP con un octeto mayor de 255, lo cuál también es imposible para el routing de IPv4.

Ya en The Net (de Sandra Bullock) se veía este tipo de error de direcciones IP con octetos mayores de 255 o una conexión mediante telnet a una dirección de correo electrónico en vez de a una dirección IP/nombre de host.

En Independence Day (ID4) el protagonista programa en un Mac de los antiguos, un virus para inhabilitar el escudo protector de todas las naves introduciéndolo en la red de las naves extraterrestres: y funciona a la primera!!! Me preguntó que flags usó en el compilador para que se ejecutase ¿¿--cpu=ETs? ?

En Matrix Reloaded, Trinity primero lanza un nmap contra una IP (que no se sabe cómo la obtuvo) con -O para intentar además identificar el sistema operativo (de hecho nmap dice que no es capaz de identificarlo, pero que encuentra el puerto 22 TCP abierto). Acto seguido ejecuta "sshnuke" (un exploit ficticio para explotar una vulnerabilidad de SSHv1) para resetear la contraseña de root a "Z10N0101" y luego acceder remotamente y deshabilitar un montón de nodos de energía eléctrica (que es lo que necesitaba Neo). Si el administrador de esa máquina hubiera leido los consejos que dimos (1 y 2) en SbD para configurar de forma más segura SSH, Neo no habría hablado con el arquitecto y Zion habría sido destruida (igual que las siete veces anteriores). Aquí se puede ver la secuencia en Youtube.

Nmap ha sido protagonista en los monitores de las películas de Hollywood varias veces, como podéis ver aquí.

En Operación Swordfish otro especialista en seguridad informática es sometido a la prueba de acceder a la NSA en menos de 1 minuto, mientras le apuntan con una pistola en la cabeza y para darle un poco más de complicación una chica le intenta desconcentrar provocándole una "distracción". No sé por qué, pero no me termino de creer que al final acceda eh?
Leer más...

15 marzo 2010

Partidos políticos y nuevas tecnologías (Caso de estudio)

Parafraseando al Agente Smith de Matrix 'Era inevitable'. Según algo se va popularizando entre la sociedad, elementos mas tradicionales van entrando en ello.

En el caso de Internet y los partidos políticos, estos han ido poco a poco 'modernizándose', primero fueron las paginas web, luego se introdujeron en las redes sociales, mas tarde vino Twitter, y finalmente: los blogs

Hace relativamente poco, el Partido Popular ha estrenado su nueva 'red de blogs' donde presuntamente los miembros mas destacados del partido van a escribir reflexiones, leer comentarios, interactuar con la gente. Genial

Verdaderamente un acierto esto del 2.0-cerismo en los partidos políticos, yo puedo por ejemplo, compartir una gran idea que ayude a 'levantar el país' con tan solo poner un mensaje en Twitter a @cuenta-de-algun-partido. O también puedo ilustrarme leyendo las sesudas reflexiones de, por ejemplo, Luisa Fernanda Rudi, persona que me cae muy cerca ya que viví sus 'años dorados' cuando era alcaldesa de Zaragoza (Y no se porqué, me vuelve a venir a la cabeza otra escena de Matrix, en este caso el final de la III).

El problema de todo esto es que para que funcione, para que tenga valor, los políticos han de estar verdaderamente involucrados, prestar atención y comprender que esto es BI-direccional y no un mero juguete propagandístico.

A modo de 'Caso de estudio' tomaremos un ejemplo vivido en primera persona con el PP y su red de Blogs. Me hallaba yo saltando de blog-en-blog, escudriñando puntos de vista, ideas, recreándome con la particular visión de los altos cargos del PP, cuando por algún tipo de torpeza mía debí escribir mal una URL y no se bien de que forma llegué a esto:



En esta situación me pareció una idea interesante poner a prueba todo el 'mundo 2.0' que tiene montado el Partido Popular, así que le envié un mensaje vía Twitter a @PPopular contándole que había algo que pretendía reportar. De inicio genial, @PPopular me respondió con una dirección de correo de contacto, acto seguido puse un mail con la información ¡¡Parece que esto marcha!! Pero no, el problema es que hace ya unos cuantos días de ese e-mail y ya no es que no lo hayan solucionado, es que ni siquiera he obtenido respuesta al correo. Si para el PP no es importante su novísima red de blogs, permítanme que ocupe mi tiempo en otros menesteres 
Leer más...

03 febrero 2010

Kaspersky monta revuelo en la industria del malware

Esta historia se la estaba contando a un conocido cuando he caido en la cuenta de que seguramente sea interesante para muchos de nuestros lectores.

A modo introductorio y para todos los que no lo sepan, recordar que VirusTotal.com es un portal público que permite a usuarios de todo el mundo subir archivos sospechosos de virus a su página web, para que varias decenas de motores distintos y sus propias firmas compruebe si es un virus o no y muestre una tabla con los resultados según la aplicación. Bien. Virustotal adicionalmente envía estos archivos a las compañías para que analicen si realmente lo es o no y lo agreguen a sus archivos de firma. Algo que beneficia a los usuarios de estos productos y a las compañías antivirus. 

Ahora es cuando Kaspersky decide jugar con el resto la competencia Crean veinte ficheros inocentes y añaden diez de ellos como si fueran malware en sus motores. Suben todos a VirustTotal y comprueban (evidentemente) que ellos son los únicos que detectan estos ficheros como malware..

¿Qué ocurre? Las muestras detectadas son enviadas a las compañías y al poco tiempo reportadas por el resto como malware, cuando realmente no lo son. Esto demuestra que no han analizado realmente el bicho, limitándose únicamente a generar una firma y añadirla a su base de datos. Es más barato.

Kaspersky contó lo sucedido en una rueda de prensa y facilito el código fuente de las pruebas al blog de PcMag que ha publicado la noticia.

Entre las compañías que más me ha sorprendido: F-Secure, McAfee, Symantec y Fortinet. Amigos. FAIL.

Tampoco hay que alarmarse, ya se sabía que las compañías se copiaban firmas sin analizar  y Hispasec nos lo contó: en su boletín de uno-al-dia

Algunas compañías (aunque en principio NO están afectadas) ya están empezando a dar explicaciones y a hacer comentarios sobre lo sucedido en sus respectivos blogs
Los resultados de algunas muestras en VirusTotal:
Leer más...