domingo, febrero 28, 2010

Google me tracea... ¿porque tengo Internet Explorer 8?

Desde hace un tiempo estoy un poco mosca con el comportamiento que tiene Google cuando realizo búsquedas. Es un poco coñazo el sistema de traceo que tiene y llega a ser cargante, así que he ido probando diferentes configuraciones y acciones a ver si me lo quitaba de encima, pero ha sido imposible hacerlo… con Microsoft Internet Explorer 8. Aquí va la historia, a ver qué os parece y si me podéis aportar algo de luz.

El asunto radica en que cuando buscas cualquier término en Google, en los resultados, cuando haces clic, navegas a través de un redirector que recoge los datos de navegación. Así, sabe a qué enlace has hecho clic a partir de una cadena de búsqueda. En la imagen siguiente se puede ver como el link es una URL de Google.


Figura 1: Redirección en IE8

En concreto el redirector URL para conseguir las estadísticas tiene este formato:

http://www.google.es/url?sa=t&source=web&ct=res&cd=1&ved=0CAYQFjAA&url=http%3A%2F%2Felladodelmal.blogspot.com%2F&rct=j&q=Chema+Alonso&ei=q-eJS6HMCYT00gSfx7jKCw&usg=AFQjCNErU5asp43AxhWL9twSiF6KOaLNTw&sig2=LbG2cGdyInn-u9RL0IT1Lg

Viendo los parámetros parece claro que Google quiere saber qué resultados mostró, en qué orden y cuál fue la opción elegida. Hasta ahí un traceador de estadísticas para optimizar el motor de resultados.

Algunos de esos parámetros, son para comprobar que ha sido él quién ha hecho la redirección y evitar la alerta de seguridad que sale con cualquier otra redirección:
http://www.google.com/url?=http://elladodelmal.blogspot.com

Harto del retardo que supone navegar a través del redirector, decidí que había que desactivarlo, así que fui tomando las siguientes acciones:

1) Desactivar el histórico de búsquedas: Lo primero que pensé es que este comportamiento es porque Google había activado, como hace, de forma automática el historial de búsquedas. Como no me gusta dejar la lista de porno que ando siempre buscando en ningún sitio, decidí que había que desactivarlo. Esto está bien, que me han contado algún caso de alguno que han detenido y le han sacado en la investigación que leía este blog. La realidad es que tras desactivarlo, el tracking continúa. FAIL.

2) Desconectarme de Google: La segunda prueba que realicé fue basada en un suposición de que tal vez Google, aunque le desactives la búsqueda, mantiene ese comportamiento si estás logado en el sistema. Probé a desconectarme y buscar… Pero también me sigue haciendo tracking. FAIL

3) Cambiar de navegador: Asumiendo que este era el comportamiento por defecto seguí mi vida normal mosqueado por el cambio de funcionamiento de Google, pero, durante la charla que doy sobre navegadores en la gira Up to Secure (AD: Próximamente en Valencia, Murcia y Tenerife) me di cuenta que con Firefox no hace este tracking, como se puede ver en la imagen siguiente.


Figura 2: No hay tracking en los resultados

Lo cierto es que tras flipar un poco con las orejas, decidí probar con Google Chrome y… tampoco realiza el tracking. Curioso.

¿Es que no le interesa la opinión de los usuarios de Firefox? ¿Es que les hace tracking de otra forma?

4) La siguiente prueba que se me vino a la cabeza fue tratar de buscar en Google usando Firefox con mi User-Agent de Microsoft Internet Explorer 8, tal y como veis en la imagen siguiente.


Figura 3: Buscando en Google con Firefox y UserAgent de Internet Explorer 8

Pero Google no hace tracking.

Coño algo raro hay aquí. ¿Qué está haciendo Google? La siguiente prueba fue a la inversa, vamos a quitarle el USER-AGENT a Microsoft Internet Explorer 8 a ver qué pasa…. Y sorprendentemente para el tracking de los resultados.

Esto, como diría mi buen amigo Alex, es muy turbio. Parece claro que si no tienes el USER-AGENT de IE8 (no he probado otras versiones) no te hace el tracking, pero que aunque tengas ese USER-AGENT mira alguna cosa más. ¿Qué es?

¿Estará realizando alguna prueba tipo Wbfingerprinting y guardando algo en la cookie? ¿Realizará alguna detección tipo Panopticlickp? ¿O algo similar al BrowserRecon?

Lo que sí está claro es que el reconocimiento del navegador lo hace al principio de la sesión ya que si le quitas el user-agent a Internet Explorer 8 en la primera petición de búsqueda a Google, ya no te hace el tracking más a esa sesión…

La intrahistoria es: ¿Por qué sólo con IE8? ¿Está traceando el uso que dan a Internet los usuarios de IE8? ¿Podría sacar conocimiento del uso en la empresa de Internet haciendo tracking? ¿Habrá que establecer una política de seguridad en las búsquedas para no dar más información de la necesaria a Google? ¿No es un poco discriminatorio este comportamiento? ¿Está siendo evil Google? ¿Estoy perdiendome algo que ha pasado?

Lo he probado en varios equipos y el comportamiento es similar, pero me gustaría probarlo muchos más y probar distintas versiones de sistema operativo y navegador. Cualquier aporte será bienvenido.

Saludos Malignos!

sábado, febrero 27, 2010

Entrevista a Niko de Nikodemo Animation

Cálico Electrónico entró en mi vida como una ola, y me quedé enamorado con el Amor de Lobo-Hombre. Historia de Amor, donde Cálico perseguía a una ladrona a la que realizaba "el conejito" y le cantaba poesías de amorl... estuvo en muchas de mis conferencias para animar al peronal.

Un día conocí a los autores: Nico y Raúl, y me dije "coño, si tienen más gracia estos que el personaje en sí". Aquella noche de amorl en Sevilla nos unió para siempre en una orgia de sexo loca, que hace que acabemos enterrados tomando copas por Raúl o Nico (que augante tú, no me extraña que los episodios sean como son si ellos ponen los guiones).


Nico preparando el DOS al Hígado de Silverhack en el Asegúr@IT Camp! Se puede ver que ya le ha hecho el fingerprinting y ha descubierto su vulnerabilidad.

Lo cierto es que el trabajo de en Cálico Electrónico es una obra de arte, una maravilla que, para los que no sabemos dibujar pero queremos aprender, hace que se nos caiga la baba. Para mi son parte de la historia viva de la animación y el poder contar con ellos en el próximo Asegúr@IT 7 será un pasote (sólo espero por el alma inmortal de Ardorín que no se me carguen a alguno de los ponentes). Ésta es la entrevista que le he calzado a Nico y que "amablemente" me ha contestado".

Saludos Malignos!

1.- ¿Tú realmente sabías dibujar o te pusiste con el ordenador a ver si era más fácil?

Yo siempre he dibujado, desde chiquitín. Yo era el niño Friki que, mientras todos los demás niños de la guarderías e sacaban los ojos y saltaban por la ventana (lo que hacen todos los niños…) me la pasaba en un rincón, sentadito en un a mesa y dibujando a Lucky Luke… eso sí, cuando venía la “mamma” a buscarme se encontraba con que las profesoras me pedían que se lo firmara porque otra cosa no, pero el Lucky Luke me salía “niquelao”…

Tengo una mala noticia para ti, Chema, el ordenador aún no puede dibujar por ti…


2.- ¿Es fácil ser animador en este país o tienes que seguir de pluriempleado para sobrevivir?

Ser animador en este país no es difícil, es un milagro…Pero me refiero al animador tradicional e, incluso, al de 3D. Yo era animador Flash, y eso es diferente ya que puedes emplear 3 veces menos tiempo y esfuerzo para acabar teniendo el mismo resultado. No es por casualidad que cada vez se anime más en Flash…De todos modos en este país es muy difícil ser animador o emprendedor porque, sencillamente, no lo valora nadie…

3.- ¿Se liga por las noches poniendo la voz de Cálico a las churris?

Para nada. Es más, yo nunca pongo la voz de Cálico si no es en mi estudio de grabación, salvo una vez que el ron con naranja me hizo ponerle la voz a un tipo que no se creía que yo fuera el de Cálico (encima a un tío!). Le puse la voz, se me quedo mirando seriamente y me dijo: “Casi me lo creo!” y yo le respondí: “Casi te engaño, eh? Jejejeje”. No quise romperle la ilusión de no creerme…

4.- Yo he visto como nos colaban en un garito por ser "los de Cálico", ¿cuántos privilegios VIP os ha dado Cálico?

Bueno, la verdad es que no me quejo. Gracias a Cálico tanto Raúl como yo e, incluso en alguna ocasión, todo el equipo, hemos podido viajar por toda España dando conferencias o asistiendo a eventos (incluso a algún campings al que me invitaron unos bándalos…). He descubierto y conocido lugares y gentes estupendas por éste, nuestro país y, lo más importante de todo, su gastronomía! :-D

5.- ¿Y de dónde sacasteis la pasta para pagar las licencias de Flash al inicio?

¿Qué licencias?...jejejeje. Acerca de esto hay una anécdota muy graciosa que nos ocurrió a Raúl y a mi hará unos años: nos habían invitado al primer Adobe Live que se celebraba aquí, en Barcelona, imagínate, en una sala con aforo para unas 400 personas habían como 600, con el presidente de Adobe España presente, Raúl comienza la charla diciendo: “Cuando Adobe nos llamó para asistir al Adobe Live…” y salto yo a pleno pulmón: “Yo le dije a Raúl: ¡¡¡compra licencias!!! ¡¡¡Que nos han pillao!!!” Por supuesto las 600 personas se descojonaron del chiste y hasta el presidente de Adobe sonrió.El lunes por la mañana recibíamos un paquete de licencias de Adobe…

6.- Ahora que el Barsa ha perdido un partido ya podemos hablar de Fútbol.. ¿cuánta caña le dais a Raúl (tu compañero) por ser periquito?

En Nikodemo no hay disputas por el fútbol, tenemos cosas más importantes en las que pensar…de hecho hace un par de años le regalé a Raúl una camiseta firmada por todos los miembros del Español (hasta por Jarque, ¡qué fuerte me parece…!) Por cierto, no se escribe Barsa, se escribe Barça pero eso no tenéis porque saberlo los del MadriZ….jejejejejeje

7.- En el Asegúr@IT Camp compartimos cabaña pero no horarios... ¿Me puedes contar como fue el ataque DOS que le hiciste al hígado de Silverhack mientras yo dormía que casi no se levanta a tiempo de dar la charla?

Qué más quisiera yo acordarme…El problema es que yo le emborraché con mis famosos Chupitos de la Muerte, lo malo es que yo me tomé los mismos que él o más, así que a mi también me tuvieron que acompañar a mi cabaña….:-S

La diferencia es que él tenía la charla a las 9 la mañana y yo me levanté a las 12 y tampoco con demasiadas prisas…;-)


8.- El día 24 de Marzo tenemos el Asegúr@IT 7 y el 23 hay una cena.. ¿Qué podemos organizar para que no me falte ningún ponente ni asistente al día siguiente?

Uuuuuuuuy! Lo que has dicho….Pues un par de cosas e incluso 3:

- El primer capítulo de Cálico Electrónico la serie de la Tele, que estará recién estrenado en la web oficial y, si me apuras, hasta podemos enseñar un extra del capítulo…

- El primer capítulo de un “espin off” que vamos a iniciar con Segundamano.com llamado “Rumbarola” con Don Ramon y Perchitas como protagonistas y al más puro estilo Guy Richie…

- El capítulo piloto de Almorria finalizado. Sin duda alguna, la mejor animación hecha en Nikodemo, técnicamente hablando. Más de uno se va a quedar con la boca abierta…


A todo esto le sumamos la gracia natural de Raúl y mía que, además de ser unos genios, pues somos la mar de campechanos, oye…

9.- ¿Llevaréis camisetas de Cálico Electrónico al Asegúr@IT 7 para que el que quiera las compre allí?

Las camisetas están el la Tienda Oficial de Cálico Electrónico:
http://tienda.calicoelectronico.com/

A las conferencias vamos a lo que vamos….;-)

10.- ¿Habrá película de Cálico Electrónico?

No es descabellado, no. Pero de momento este año tenemos de sobras con la serie de la tele (que se empezará emitiendo en la web) que para empezar cuenta con un total de 20 capítulos (o sea, 20 meses…)

11.- ¿Qué animadores españoles son los que más te gustan?

Españoles sin duda los que están en Pixar: Carlos Baena y Rodrigo Blas. Raúl García (Director de El Lince Perdido) también me parece un crack y Guillermo García (creador de Pocoyó) es sencillamente un genio. Bojan, director de animación de Mariscal que es uno de los grandes animadores tradicionales de este país que ha sabido reciclarse a la animación Flash. Por último mis queridos colegas, los Gallego Bros, son unos fenómenos moviendo muñequetes además de hacer unas animaciones mu frejcas… Seguro que me dejo alguno, pero estos son los que me han venido a la cabeza ahora mismo.

12.- ¿Y dibujante?¿Crees que alguna vez se le reconocerá a Vizcarra todo el arte que tiene?

Vizcarra es el puto amo y punto, no hay nadie igual en este país. También soy fan de Jan, de Fernando de Felipe, de Pere Mejan y de Cels Piñol, pero a este último lo quiero más como persona que como dibujante y, por supuesto, lo prefiero como escritor.

13.- Vizcarra, Jan, Cálico Electrónico, El Jueves... ¿Hay algún café en Cataluña donde os reunáis todos los que os dedicáis a este "negocio"?

Qué va, vamos, que yo sepa no…

14.- ¿Qué chiste es peor, el del pato sin eco del doctor birufilla o el de la madre del topo?

Un momento, un momento, un momento…EL CHISTE DEL PATO ES BUENÍSIMO!!!

15.- Vale, una que seguro que no os han hecho nunca... ¿No vais a hacer nada bueno después de "Historia de Amor"?

Te voy a contar un secreto: el capítulo de “Historia de Amor” no lo hicimos nosotros, se lo encargamos a unos animadores checos que trabajaban en un sótano a 20€ el capítulo…

16.- Y ahora una pregunta de amigo... sabes que tengo los comics, los muñecos de Cálico, los dvds, y todos firmados por ti.. ¿Tienes pensado suicidarte de forma violenta y artística para que se revaloricen mucho y me pueda forrar vendiéndolos por ebay?

Pues no…vamos, esta semana no, por lo menos…

17.- En tu profesión, ¿a quién admiras?

A Pixar en general, por demostrar que la calidad puede ser rentable y puede ser posible…

18.- ¿Por qué las televisiones nos llenan con programas basura de mierda, series cliché americanas y porquerías demás? ¿No hay series de animación de calidad en España?

Pues no lo sé, sólo te puedo decir que llevamos 2 años intentando vender Cálico Electróncio, la serie de la tele, y al final la vamos a estrenar en la web porque ninguna tele nos la ha querido comprar… :(

19.- Lleváis 2 puntos de ventaja al Madrid y aun tenéis que pasar por el Santiago Bernabeu... ¿Crees que ganaréis la liga este año o presientes que algo malo puede pasar?

Guanyarem!

20.- Y la última... ¿Me mandarás una postal de amor con Cálico Electrónico y el Lobo Hombre diciéndome lo mucho que me quieres tú?

Siesque…al final siempre te pones tontorrón…al final te tendré que poner el culico…ya sabes, como un bostezo…;-)

Un saludo, crack!

viernes, febrero 26, 2010

Un poco de Bing Hacking (I de III): Filetype & inurl

***************************************************************************************************
- Un poco de Bing Hacking (I de III): Filetype & inurl
- Un poco de Bing Hacking (II de III): Feed & Contains
- Un poco de Bing Hacking (III de III): Ip & more
***************************************************************************************************

Cuando llevas mucho con una herramienta, el cambio es siempre algo diferente ("¿dónde habré oido yo esto antes?"), pero vamos a ver si vemos algo la luz. Vaya por delante que el post anterior sobre Google Hacking con inurl, ext y filetype NO era una defensa de Bing, al igual que éste tampoco lo es. Ambos estan pensads para aclarar un poco algunas cosas que me descolocan en la fase de Google Hacking y Bing Hacking porque he propuesto un PFC para la UOC sobre esto con la intención de generar una base de conocimiento que añadir a la FOCA.

En el caso de Bing, el funcionamiento es más o menos similar, si entiendes como funciona, así que vamos a ver algunas cosas curisosas de su funcionamiento para que luego puedas sacar tus nuevos "Bing Dorks".

Lo primero que tienes que tener en cuenta es que si no te han salido todos los resultados que esperabas puede ser que no le hayas dado el comando adecuado a Bing. Su base de datos indexada es enorme, así que es probable que algo no haya ido piano.

1) Filetype: Realmente busca sobre el tipo de fichero, así, un fichero .do que devuelve un pdf ¿qué filetype tiene? -> La respuesta, segun Bing es que es un filetype PDF.




Figura 1: Buscando ficheros de Log

Esto quiere decir que si tenemos un fichero con extensión .log escrito en texto plano ...¿Qué filetype hay que buscar? Pues bajo este prisma de lógica hay que buscar por filetype:txt. Bing va a buscar dentro de los archivos .log, no hay que preocuparse.

2) Inurl: NO existe este modificador en Bing. Lo que no quiere decir que Bing no busque en la URL, de hecho, aunque no digas nada está buscando en la URL, así que si quieres encontrar ficheros tnsnames.ora puedes restringir por filetype:txt y buscar tnsnames.ora. Esto devolvería ficheros tnsnames y ficheros txt, de cualquier extensión pero que sean texto plano en los que aparezca una referencia a tnsanames.ora. Este comportamiento es genial, porque te ayuda a encontrar ficheros de configuración .conf, ficheros .back, .sh o .old donde aparezcan referencias. Hacer esto en Google te obligaría a hacer una búsqueda por cada tipo de extensión.




Figura 2: Buscando Ficheros de contraseñas en BING

Como se puede ver en la figura 2, busca dentro de las URLs. En el ejmplo del tnsnames, si ya quieres que sean ficheros tnsnames.ora como tal, tendrías que buscar una firma del tnsnames.ora, como por ejemplo la definición de un listenerer de Oracle.




Figura 3: Tnsnames.ora descubiertos por BING

El comportamiento es distinto al que tiene Google, pero te puede ser útil en caso de querer un pentesting ya que descubre esos ficheros aunque les hayan cambiado la extensión.

***************************************************************************************************
- Un poco de Bing Hacking (I de III): Filetype & inurl
- Un poco de Bing Hacking (II de III): Feed & Contains
- Un poco de Bing Hacking (III de III): Ip & more
***************************************************************************************************

jueves, febrero 25, 2010

Google Hacking, inurl, ext y filetype

Hay gente que cree que Google ha alcanzado la perfección con su buscador, pero la realidad es que tienen que mejorar mucho a varios niveles. El el éxito de la innovación, todo se puede mejorar. A las críticas de Blogoff sobre el funcionamiento del buscador, de las cuales comparto bastantes de ellas, hay alguna cosa que me tenía confundido a la hora de hacer Google Hacking. Tal vez algunos de vosotros ya lo sabíais, pero yo no lo utilizaba bien.

Ya me he quejado varias veces sobre la mala implementación que hace Google del operador Filetype. Mientras que Bing hace, realmente, una búsqueda por el tipoo de fichero, Google no implementa Filetype y todo lo que hace es redirigir al operador ext. Lo que no tiene lógica, más, cuando en los resultados Google te informa del tipo de fichero y la extensión. No tiene ningún sentido.


Figura 1: Tipo de Fichero y extensión

A ese comportamiento, a la hora de hacer Google Hacking, hay que unirle la implementación que realiza del comando inurl. Si miramos en la Wikipedia el artículo dedicado a Google Hacking se puede ver como dice que para buscar un fichero de contraseñas de Frontpage se puede hacer con el comando inurl y el nombre del fichero.


Figura 2: Google Hacking en la Wikipedia

Sin embargo, si buscamos un fichero de histórico de comandos .bash_history, nos comemos los mocos. No importa que pongas el nombre del fichero entre comillas dobles, se la trae al pairo y te quita el puntito del fichero.


Figura 3: Con inurl te comes los mocos

Con este comportamiento me he pegado muchas veces hasta que ayer ví la luz. Sí, supongo que a lo mejor mucho lo sabéis, pero yo funcionaba con el comando filetype e inurl y, no tiene sentido.

Si quieres encontrar un .bash_history basta con buscar filetype:bash_history. Al fin y al cabo, Google sólo busca commo si fuera una extensión ¿no?, pues andando. Ahi tienes todos los que quieras.


Figura 4: .bash_history's a "cholón"

Si quieres un fichero de log con la ubicación de un fichero de contraseñas en texto plano publicadas en la web, pues nada filetype:log (o ext:log) y luego passwd.txt. Con eso te salen todos los sitios que han logeado la ruta donde guardan su fichero de claves.


Figura 5: Ficheros de log con rutas a passwd.txt

Lo curioso es que no tiene ningún filtro de seguridad, así que si quieres ficheros de contraseñas pwd, tal y como explicaba el artículo de la wikipedia, no hay que hacerlo con inurl, hay que hacerlo con ext:pwd y te salen los fichericos que buscabas.


Figura 6: Ficheros tipo .pwd

Además, como buen indexador Google indexa los zips, así que es probable que cuando hagas Google Hacking, si no miras en los ficheros zip no encuentres todo lo que hay, así que ya sabes: filetype:zip y lo que quieras, o filetype:tar y a buscar cuentas en los backups de los web servers basados en Linux, o cualquier cosa que creas que un usuario ha podido utilizar como extensión para un fichero antiguo. ¡¡Google, me confundes y me pierdo!!

Saludos Malignos!

FIST en Barna y Primera Semana de Marzo

El último evento que se va a realizar en este mes de Febrero de 2010 que ya queda para la historia, son las jornadas FIST en Barcelona. En esa jornada, Vicente Aguilera, José Selvi, Raul Siles y la gente de Edge-Security darán una sesión gratuita sobre BlueTooth, OWASP Top Ten 2010 y las téncias Pass the Hash en Windows que no deberías perderte. Después, ya en Marzo continuará la Gira Up To Secure 2010 en Valencia y Murcia, llegará la Azlan D-Link Academy a Barcelona, los Hands On Lab en Madrid estarán dedicados a Windows Server y seguridad [Gestión de actualizaciones, IPSec, WiFi Segura, PowerShell y Seguridad en Windows 7] y los Virtual HOLS a System Center Configuration/Operations Manager. Un mes que comienza fuerte.

Viernes, 26 de Febrero
- FIST en Barcelona

Lunes, 1 de Marzo
- Madrid: HOL - Windows 7 Seguridad
- Barcelona: DL05 - VideoVigilancia IP
- Madrid: HOL windows Server 2k8R2 Server Core

Martes, 2 de Marzo
- Valencia : Gira Up To Secure 2010
- Madrid: HOL - PowerShell 2.0
- Online: Virtual HOL System Center Configuration Manager
- Online: Virtual HOL System Center Operations Manager
- Barcelona: DL04 Tecnologías Wifi

Miércoles, 3 de Marzo
- Murcia: Gira Up To Secure 2010
- Madrid: HOL Windows Server 2k8R2: IPSec
- Madrid: HOL Windows Server Update Services
- Online: Virtual HOL System Center Configuration Manager II
- Barcelona: DL03 Tecnologías Firewalling

Jueves, 4 de Marzo
- Madrid: HOL Windows Server 2k8R2: NAP
- Barcelona: DL02 - Tecnologías Switching
- Online: Virtual HOL - System Center Operations Manager II

Viernes, 5 de Marzo
- Madrid: HOL Windows Server 2k8R2 WiFi Segura

Saludos Malignos!

miércoles, febrero 24, 2010

Google ¿haciendo negocio con el phishing?

Ayer en Barcelona, mientras tenía lugar el Security Day 2010 en Barcelona, me hizo gracia el resultado de una de las demos. La idea es que, en la sesión dedicada a la seguridad en los sistemas de correo, se envía un correo spoofeado con lo servicios de Enviar a un amigo haciendo un ejemplo de Phishing sobre Gmail. Por supuesto, el dominio elegido con SPF -all, para que Gmail se comporte como ya vimos que se comporta.

En este caso, aprovechando que estabamos en Barcelona, decidí hacerlo con La Caixa que tiene perfectamente configurado el registro SPF, no como otros, para ver el resultado, y esto es lo obtenido.


Figura 1: Configuración SPF -all de La Caixa


Figura 2: Phishing de La Caixa en el inbox con Ads de La Caixa

No sólo el correo entra, como era esperado, en el inbox y sin alerta, sino que además, Gmail se lee el correo de phishing, escrito en un "perfecto" castellano y detecta que ese correo tiene que ver con Banca y con La Caixa para poner los anuncios patrocinados de la derecha...y promocionar La Caixa. Esto de que estes patrocinando tu propio ataque de Phishing no deja de ser una paradoja muy divertida. En lugar de quejarte porque no te bloquea los correos que no pasen el filtro SPF -all les patrocinas. A mi me maravilla.

Es sabido hace mucho tiempo que Google lee el correo para ponerte la publicidad, pero a muchos parece no importarles e incluso lo recomiendan para trabajos corporativos y administración pública...

Por supuesto, como Google le cobra a La Caixa por clic en ad, no hice clic en el anuncio. Yo ya soy cliente de La Caixa y no necesito que me vendan lo que ya he comprado a costa de que paguen más a Google, pero... entre lo que les cobren por los ads y entre lo que les roben a los clientes porque Gmail no bloquee los correos que no pasan los filtros SPF -all, a la banca le sale por un pico esta relación, ¿no?

Saludos Malignos!

martes, febrero 23, 2010

Entrevista a Alejandro Martín Bailón

Hay gente que sin decir nada se hace respetar. Gente que sin aspavientos te demuestra su valía. Ese es Alex. Un tipo de Zamora que conocí en un Master de Seguridad en la Universidad de Salmanca hace ya 7 años. Allí estaba él junto con su compañero. Dos chicos delgaditos (no debían pasar de 55 kilos los dos -sumandolos-) con sus gafas de ingeniero y totalmente aplicados. Uno, que ha sido el empollón de clase durante muchos años sabe reconocer a sus iguales.


Alejandro Martín Bailón, en un kickoff de i64

I64 era otra cosa muy distinta hace 7 años, pero ellos se vinieron a programar. Poco a poco Alex fue tomando responsabilidades, programando las aplicaciones, dando conferencias de seguridad, escribiendo artículos, haciendo auditorías de seguridad. Después empezó a tener gente a su cargo, a programarse los retos hacking, a dirigir proyectos como Mummy, como la FOCA junto a Thor (no te escapas Oca, tendrás que responder a una entrevista también), a crear CSPP Scanner, a escribir un whitepaper, defender las auditorias de seguridad, dar clases en el FTSAI.... ufff.

Alex, hoy en día, es un pulmón y parte del corazón de Informática64. Es la persona técnica a la que yo llamo y pregunto: "¿Operador? Necesito que me arregles {whatever} adhoc!. Porfi, porfi, porfi (esta parte llorando) que estoy a 3 minutos de una presentación y necesito una versión nueva que haga {whatever}". Y él me contesta: "OK, no problemo.." Fiuuuuu!!!!

Es grande este Zamorano. Ahora va a dar un curso en los RootedLab de lo que es un maestro: Las tecnologías WiFi desde un punto de vista profesional. Aquí os dejo una entrevista que he le he hecho para que le conozcáis mejor. Yo me siento orgulloso de haberle contratado y agradecido de que esté trabajando conmigo.

Saludos Malignos!

1.- ¿Es Zamora una capital tecnológica?

Por desgracia no, lo cierto es que ha habido proyectos muy interesantes, como el de la conexión inalámbrica, que nos “convirtió” en la ciudad mejor conectada del mundo allá por el 2002-2003, pero que por diferentes motivos (que no es el caso de tratar aquí) quedó en nada.

Al final, lo de siempre, la gente con pasta la tiene debajo de la cama o invertida en inmuebles, los políticos tienen otras cosas que hacer, y las frase típica: “En Zamora se vive muy bien como está”, me pregunto si opinan lo mismo las familias que ven marchar a sus hijos y nietos en busca de trabajo porque no lo hay en su ciudad…


2.- ¿Es cierto que los donostiarras no saben marcaros penaltis?

Totalmente cierto, me gusta que saques el tema futbolístico, ¿será que os doy mucho la chapa con el Zamora?, lo comprobamos en una gran temporada, la 2005-2006, que eliminamos a la Real Sociedad de primera división en los penaltis, donde fallaron los 4 de la ronda más uno durante el partido y al Éibar, también en los penaltis, y solo el Barça, que gano su segunda copa de Europa ese año, nos aparto de la final… :D

3.- ¿Alex, que has estudiado para acabar trabajando en i64?

Mis estudios los cursé en la Universidad de Salamanca, primero la Ingeniería Técnica en Informática de Sistemas y luego la Ingeniería Superior. Antes de terminarla hice un Máster en Comercio Electrónico (¿lo recuerdas?). Una vez que me vine aquí a Madrid, he realizado el Máster en Tecnologías de la Información y Sistemas Informáticos en la Universidad Rey Juan Carlos para continuar con el doctorado cuando me pongas menos trabajo que hacer…

4- ¿Estás seguro de que fue una buena elección?

Creo que llevo el tiempo suficiente para decir que estoy seguro. La verdad es que me siento muy identificado con el trabajo y los compañeros, que hacen que trabajar aquí sea “diferente”.

5.- MetaShield Protector, CSPP, Mummy, RFDtool, ¿De dónde sacas tiempo para programar todo y aún dejarte ver en conferencias?

Trabajar en lo que te gusta, disfrutar y variar en lo que haces, se traduce en que el tiempo cunde más, una dificultad en el trabajo se suele convertir en un reto, y claro, siempre hay alguien que dice eso de “no hay huevos…”. Las conferencias son una forma de transmitir el trabajo, conocer gente, sitios, y hoy por hoy me gusta.

6.- ¿Te gustó la experiencia de la Defcon en Las Vegas? ¿Repetirás este año?

Fue una pasada, la ciudad, los casinos, la fiesta, ah y la Defcon. Aunque me quedó clavada la espina de mi pobre inglés, que no me permitió seguir las conferencias como debería haber sido, claro que me duele más lo de las irlandesas…{*}
{*} Nota del Entrevistador: En Las Vegas coincidieron él y Miguel Gesteiro con un grupo de simpáticas irlandesas con más ganas de fiesta que nada y no fueron capaces de comunicarse con ellas ni en inglés, español, ni en el idioma del amorrrrlll....

7.- Publicaste el trabajo de Living in the Jungle... ¿Vas a continuar con los estudios de doctorado en esa línea o aun estás decidiendo?

El doctorado es algo que exige mucha dedicación y tiempo, tiene que ser algo que me llene y enganche para sacarlo adelante. Hay algunas ideas sobre esta línea de trabajo que son muy interesantes, pero que deben madurarse todavía para decidirme por ello o no.

8.- ¿Has sido Gamer? ¿Con que juego has perdido más tiempo?

Reconozco que no soy nada jugón. Los dos grandes clásicos que me engancharon en los mis orígenes fueron el Doctor Livingston y el Goody en CGA y discos 5 ¼. Luego vino el gran Príncipe de Persia I y II, Comandos, PC Futbol, FIFA, y luego mi interés por los juegos disminuyo, ahora no paso del Pro con los amigos y el Mario Car en la Nintendo DS.

9.- Ahora una pregunta de las más importantes ¿debe Raúl volver a la Selección Española?

Te contesto con otra pregunta: ¿Debe Windows 2000 volver al CPD?

10.- ¿Te respetan en el Sótano o debes poner orden sacando los galones? ¿Cuántos años llevas en i64?

Llevo ya 6 años aquí, y unas de las cosas que más valoro de I64 son los compañeros y el ambiente que entre todos hemos creado. El sótano es un lugar tranquilo, siempre que no dejes la sesión abierta, no termines ningunas frase en cinco, no pierda tu equipo, no te mencionen a la rana Ruperta, la reportera más dicharachera de Barrio Sésamo, etcétera, etcétera.

11.- Después de venir a vivir a Madrid... ¿has conseguido que la noche madrileña no te confunda?

Me confundía, me confunde y espero que me siga confundiendo durante un tiempo ;).

12.- ¿Liberarás Mummy?

Quiero ajustarle una serie de características y funcionalidades, y sí, creo que será libre…

13.- Has escrito varios artículos de WiFi en el lado del mal... ¿Cuándo será el próximo?

Recientemente se ha publicado la BackTrack 4 Final, quizás sea el momento de sacar un post con las nuevas herramientas que incorpora la suite de Aircrack, sobre todo el nuevo juguete para crear AP sin necesidad de poner la tarjeta en modo máster. ¿Se podrá identificar de alguna manera (y por tanto defenderse) de un punto de acceso creado de este modo?

14.- ¿Se puede tener una WiFi segura en una empresa?

Por supuesto, pero, como todo, requiere conocimiento, tiempo y recursos para ello. Es la misma pregunta que, ¿se puede hacer una web segura? Al final como todo, los problemas vienen después de montarla: mantenla, estate atento a las posibles vulnerabilidades o problemas que aparezcan, gestiona y controla a los usuarios, etcétera.

15.- La pregunta del millón... ¿Qué tarjeta WiFi debes comprarte si quieres aprender a hackear redes WiFi?

Pues la verdad es que los tiempos han cambiado en este tema, antes era necesario gastarse un poquito de pasta. Recuerdo esa Oricono Combo Card Gold 8480-WD (PCMCIA), que funcionaba de maravilla en Linux y Windows, y con la que yo empecé por recomendación de nuestro compi Juan Luis. Pero ahora, si vas a utilizar un distro Wifiway o BackTrack, es más que suficiente contar con un chipset integrado Broadcom o Intel (por ejemplo la 5100) en el portátil. Si además quieres utilizar entornos virtualizados una USB como la DLink DWL-G122 con chipset Railink o una zydass 1211. Todas funcionan muy bien por menos de 20€. Si quieres jugar además en entorno Windows una DLink DWA-643 (PCMCIA Express) con chipset Atheros funciona de maravilla con Commview.

16.- ¿Te dan mucha guerra los participantes en los retos hacking cuando empieza la competición?

Son horas de tensión, es increíble lo que se les pasa por la cabeza a los participantes del reto y por supuesto, las leyes de Murphy, de las cosas más “increíbles” que he visto es la descarga de una dll de la carpeta bin de ASP.NET de un IIS6, jamás es vuelto a ser capaz de reproducir ese comportamiento.

17.- ¿Sueñas con Dani Kachackil cuando se abre un nuevo reto hacking?

Dani se ha convertido en una leyenda. Casi forma parte de los retos el lograr que tarde más de 24 horas en superarlo, pero eso sí, es un buen tío al que he tenido la suerte de conocer en persona.

18.- Cuando te toca un becario del Barsa... ¿le pones peores tareas que al resto o no se lo tienes en cuenta?

¿Pero no habíamos quedado que nadie del Barça podía trabajar en Informática 64? Ahora en serio, por supuesto que no, pero siempre está bien dar guerra, claro que llevamos un año y pico que como para recordarlo…

19.- Recomiéndanos tres libros técnicos y tres libros no técnicos.

“Redes de computadores” del profesor Tanenbaum, que me llevo a entender y de paso aprobar redes en la Universidad, y luego… ¿puedo promocionar los libros de Análisis forense, LOPD y TMG de los compañeros?

Para la lectura no soy muy aplicado, así de memoria uno moderno “Visiones de Robot” de Isaac Asimov, un clásico “El nombre de la Rosa” de Umberto Eco, y uno poco conocido “El pozo de la muerte” de Douglas Preston y Lincoln Child.

20.- ¿Qué traerá nuevo MetaSHield 1.1?

Somos ambiciosos con este proyecto, y queremos seguir evolucionando, las ideas que tenemos para esta nueva versión, son un mayor control en las opciones de limpieza permitiendo configurar el tamaño máximo del fichero, administración a nivel de carpeta, o soporte a diferentes repositorios para las estadísticas. También estamos trabajando en un algoritmo para optimizar las páginas HTML de respuesta del servidor y dejarla bien limpitas.

lunes, febrero 22, 2010

Firefox, Gmail y el contenido mixto Http/Https

Como muchos ya sabéis, yo soy el confidente de Bil Gates y tengo línea directa con él, así que podéis seguir enviándome todos vuestros problemas con tecnología Microsoft. Será un placer para mí hacer caso a vuestras demandas de información o no. En este caso quiero hacer una rápida respuesta al tema de “No veo las imágenes de Gmail con IE8”.

Sí, supongo que muchos habréis oído eso de “Joder, es que Internet Explorer es una mierda y por eso no se ven las imágenes”. Claro, es porque esos chavalotes de RedMond no deben saber programar.

El caso de la historia se remonta a BlackHat 2008, donde un chavalote rubio con rastas en el pelo de Pittsburg, daba una charla sobre, como él dice: “Puentes”. Sí, sobre los puentes que se construyen entre páginas con contenido transmitido con conexiones seguras https y contenido transmitido con conexiones sin cifrar http.

La idea es que la gente se conecta a un banco por su URL sin especificar su conexión http a la web pública, es decir, con http://www.mibanco.com y espera ser conectado, mediante un link a la parte de login, es decir, a https://www.mibanco.com/login.aspx [.NET, que es más mejor].

Con un juguetito que hizo él, que se llama ssltrip, el objetivo es que, mediante un ataque de Man In The Middle, cuando se reciba el código html de la página, todos los links https son “strippeados”, es decir, se les quita la “s”. De tal forma que el usuario, acostumbrado a conectarse con un link a su conexión segura, no se da cuenta de nada. Además, para que la gracia sea mejor, lo que Moxie propone es no quitar todos los https, es decir, dejar parte del contenido en https y lo que nos interesa en http con lo que algunos navegadores, que admiten contenido mixto http y https no mostrarán ninguna alerta al usuario e incluso mantendrán el candadito de conexión segura https en la barra de título. ¿A que no mola si te lo hacen a ti?

Para eso, en MS Internet Explorer 8, cuando estás en una conexión segura, eres tú el que decide como quieres que se comporte el navegador ante esas situaciones. Basta irse a las opciones de seguridad (¿benditas opciones, verdad?) y elegir el comportamiento deseado. En mi caso he elegido que se me informe.


Figura 1: Configuración de comportamiento ante contenido mixto

En este ejemplo, si yo entro a ver el Tchenews en mi conexión segura de Gmail, obtendré una alerta si lo hago desde Internet Explorer 8 que me informa de que las imágenes se cargan con http (sí, así lo hacemos en el Technews) y yo puedo decidir si me fío o no del contenido pero, está claro, que si alguien me pide una password en esa página ya sé que puedo estar en riesgo.


Figura 2: Alerta de contenido con http en una conexión https


Figura 3: Y se cargan las imágenes

Sin embargo, si hago lo mismo con Firefox, lo que obtengo es que se me cargan las imágenes ipso facto. ¿Qué guay no? Sin avisar ni nada, y en la barra de título el protocolo sigue siendo https por defecto. Así que debes tenerlo presente y configurar las opciones de seguridad.


Figura 4: En Firefox del tirón

Para evitar comportamientos de riesgo en este tipo de navegadores, el Killer MS Outlook Web Access, uses el navegador que uses, si las imagenes se cargan sin ser de forma segura, te avisa él mismo. Eso quiere decir que podría implementarlo Gmail... si le importase de verdad la seguridad, ¿no?


Figura 5: OWA 2k7 bloqueando el contenido inseguro

Saludos Malignos!

ACTUALIZACIÓN:

No me creía que no recordara la opción de FF así que he instalado una nueva copia y el campeón, primero carga el contenido remoto inseguro y luego te avisa. A tutiplén.


Figura: La imagen cargada y encima la alerta de seguridad

Vamos a probar una de Chrome por defecto, que dicen las malas lenguas que tampoco lo hace bien

domingo, febrero 21, 2010

Pequeño Catalogo de Seres y Estares

No son todos los que deberían, pues me falta cazar a muchos aún, pero a lo largo de estos años en el lado del mal he ido capturando a algunos de es@s personajes que me interesan, que me aportan, que me enseñan, o que me impresionan. La lista crecerá, seguro, a lo largo del presente y venideros años, pero hoy, domingo, me ha parecido un buen momento para recopilar la lista completa de las que ya tengo realizadas. Espero no haberme dejado ninguna, que me ha costado encontrarlas entre los miles de posts con chorradas de este blog. Ahí va el pequeño catálogo de Seres y Estares que coleccionado:

- Al Cutter, un londinense bilingue hispano en Google.
- El Auténtico Román Medina "RoMaNSoFt".
- Ivan Castro, de Sybari a Spectra, una de mis víctimas.
- José Palazón "Palako", compañero de batallas.
- Ricardo Varela, el "Chico maravillas".
- Raúl Benito de Google.
- Marco Amoedo, un gallego en Londres.
- Inma, una Oracle DBA en la City.
- Inma, Sysdba, linuxera del demonio y su OpenLdap BSA.
- Marty Willson, un NO informático.
- Dani "The Doctor" Kachakil..
- El gran Bernardo Quintero..
- Iñanki Ayucar, ahora MVP, y su "juguetito" de SIMAX.
- Elena Santacana, La ex-presi de Navarradotnet.
- Andrea, la auténtica Frikiñeka.
- "Sir" Alejandro Ramos, el dab.
- Sergio "mi pajarraco" de los Santos.
- Rubén Santarmarta, de 48bits.
- Ero Carrera, el más sexy de los sexy Pandas.
- El pequeño-gran "Little Buda" Jorge Ramió.
- Moxie Marlinspike, el chico de Pittsburg y su SSL.
- Dreyer, el más ¿panda de los sexy Pandas?.
- Juan Garrido "silverhack". El gran Forense.
- Lu, el debianita del demonio que más quiero: Luciano Bello.
- Andres Riancho y su w3af
- Alexav8, otra linexuera del demonio en la wikipedia.
- Francisco Amato, Ekoparty, Infobyte, Evilgradeando
- David "blue-eyes" Barroso, de S21Sec
- Román "Patowc" de la RootedCon.
- Crispin Cowan, de Inmunix a Spectra, pasando por Novel.
- Alex "Killer" Sotirov. Enseñame tu sw.
- El sr. D. José Antonio Guasch. El Guachi, de SBD y RootedCon.

Saludos Malignos!

sábado, febrero 20, 2010

Shodan & FOCA

La fría semana noruega y el EPIC FAIL de acabar en LONDON, uno de los dos únicos pub de ambiente Gay en Oslo - por culpa de una Honey Pot rubia que estaba en la puerta y que nos atrajo como corderitos - nos ha llevado a que Palako y yo hayamos pasado mucho tiempo dándole al tarro sobre cosas que se pueden hacer.

Así, aprovechando el tiempo, hemos estado revisando como ir añadiéndolo nuevos retoques a la FOCA, para que ella se haga más atractiva y no tenga que violar pingüinos. Desde hacía tiempo quería ver como usar FOCA con SHODAN, así que estuve probando a ver si la herramienta ofrecia la información de tal manera que nos pudiera ser útil... y vaya que si lo hace.

Tras hablar con John Matherly, responsable del proyecto SHODAN, estuvimos discutiendo lo que queríamos hacer con FOCA, como funcionaba SHODAN, y si podíamos unirlo, cómo y de qué manera.

Ahora mismo SHODAN, para la FOCA, ofrece buena información si estás logado ya que, con la versión 2 de FOCA obtenemos mucha informaciónd de servidores, y la idea es ofrecer un scaneo de software tanto de los servidores internos como externos.

Para reconocer el software de los servidores internos vamos a añadir un reconocimiento de software por el título de los documentos, las rutas de instalación y los própios metadatos. Para el software externo lo mejor es Google Hacking/Bing Hacking y SHODAN. Todo ello juntito para Digi-Mega-Evolucionar la FOCA.

Si te logas con una cuenta de usuario de Shodan.Surtri.com, puedes utilizar el comando net. Este comando te permite preguntar por los resultados que el buscador tiene cacheados de una IP. Así, por ejemplo, bastaría con descubrir una IP con la FOCA 2, como ésta:


Figura 1: IP descubierta

Y preguntarle a SHODAN por la información que tiene indexada de esa dirección IP. En este caso, como se puede ver, nos muestra la información de un Netcaché con IIS 6.


Figura 2: Resuldatos con SHODAN

Lo bueno es que permite el formato json, con lo que es perfecto para indexarlo de forma rápida con la FOCA.


Figura 3: Formato json

Y, además, añadiendo la máscara de red al comando net se puede buscar por todo un segmento, facilitando el descubrimiento de software mediante los banners de servicio.


Figura 4: Formato json en un segmento de red

John nos ha ofrecido liberarnos el login de la cuenta para usar el comando net en la FOCA, pero no tengo claro como hacerlo para no romper su sistema, ya que, al ofrecernos la ayuda para la FOCA tan amablemente, quiero hacerlo lo menos problemático para él. En fin, seguiremos alimentando a la FOCA.

Saludos Malignos!

viernes, febrero 19, 2010

Mashups para ladrones que usan twitel

Desde que me enredo con esto del tuittel estoy descubriendo muchas cosas nuevas divertidas con este servicio y, ésta en concreto, me ha hecho mucha gracia.

Se trata del servicio de alertas creado para los ladrones que desean saber que casas están vacías. Para ello, utilizando la web "Please, Rob me" puedes estar a la última de todas aquellas casas que se han quedado vacías porque sus propietarios se han ido y han tuiteado que están en otro lugar usando la web de http://foursquare.com/.


Así, basta con esperar las nuevas actualizaciones de las búsquedas para que lleguen las nuevas oportunidades. Estas oportunidades hay que atraparlas al vuelo, no vaya a ser que otro llegue y se adelante.


Pero no te preocupes, esto aun se puede mejorar, ¿qué os parece si hacemos un mashup que cuando aparezca la nueva oportunidad, busque en el perfíl del usuario la localización del mismo, nos pinte la casa en Google Maps, intente descubri la posición en la que se encuentra situado este twitteador, por ejemplo, si tiene el servicio de Google Latitude instalado en su ay!fon y extraiga datos de business intelligence?

No se, por ejemplo:

- Que busque la distancia a la que se encuentra de su casa.
- Que geoposicione las comisarias más cercanas.
- Que calcule lo que tardaría el usuario en volver a su casa utilizando el servicio de cálculo de rutas de Google Maps y nos diga el margen de tiempo.
- Que se conecte a su perfil en Linkedin mire su situación profesional para estimar su nivel económico.
- Que se conecte a su perfil en facebook y sepamos si está soltero, casado o vive con sus padres.

Una vez analizados todos esos datos, con los servicios de Business Intelligence se pueden establecer unos KPI que ayuden a saber que probabilidades hay de éxito o no.

Me encanta el twitel... y yo en Oslo... EPIC FAIL!!

Saludos Malignos!

jueves, febrero 18, 2010

RootedCON & RootedLAbs

Dentro del post de Próximas Citas de hace un rato, he dejado sin poner la RootedCON y los RootedLABs para poder contaros algo más.

Sobre la RootedCON:

Las entradas se acabaron, están todas vendidas y algunos ya han recibido su regalito. Además ya hay una lista más detallada de las ponencias y la estructura que tendrá la conferencia, aunque no hay horario definitivo. Si no tienes tu entrada, ya no podrás ir }:(. (¿Habrá reventas como en los partidos de futbol?)

Sobre los RootedLABs:

Las plazas que quedan son bastante pocas, el status de plazas disponibles a día de hoy es el siguiente:

15 de Marzo 2010

- Reverse Engineering con Rubén Santamarta = 1 plaza.
- Digital Forensics con Juan Garrido "Silverhack" = 4 plazas.
- Técnicas de Inyección en Aplicaciones Web con Chema Alonso = 8 plazas.

16 de Marzo 2010

- Malware Analysis con Ero Carrera = 5 plazas.
- Secure Enterprise WiFi Networks con Alejandro Martín = 5 plazas.
- Pentesting con Alejandro Ramos = Sin plazas

17 de Marzo de 2010

- Pentesting = Sin plazas
- Técnicas de Inyección en Aplicaciones Web con Chema Alonso y Pedro Laguna = 4 plazas.
- Reverse Engineering = Sin plazas

Así que, si quieres asistir a alguno, más vale que te animes a reservar tu plaza cuanto antes.

Saludos Malignos!

Próximas citas

Una vez que arrasamos ya con todas las pizzas y las cervezas que pudimos ayer es hora de pensar ya en los próximos compromisos y en los próximos trabajos, así que aquí va la lista de cosas a las que te puedes apuntar.

Certificación D-Link en A Coruña y Barcelona

Si te pilla cerca de A Coruña, esta semana que viene, es una buena ocasión para que apuntes a los cursos oficiales de la D-Link Academy de Switching, WiFi, Firewalling y Video Vigilancia IP. Todo de la mano de INIBE y Caixanova. No será hasta 2011 que vuelva a realizarse allí esta acción y los cursos te permitirán tocar bien el hardware para conocer bien las tecnologías. En Barcelona, la D-Link Academy llegará la primera semana de Marzo.

Hands On Lab en Madrid

Durante esta semana que viene los Hands On Lab de Madrid van a estar centrados en Windows 7, Windows Server 2008 R2, migraciones de XP, SBS y EBS. Si quieres empezar a conocer bien los conceptos de las redes Windows, estos son los HOLs que debes realizar.

Virtual Hands On Lab, a través de Internet

Tras las pruebas iniciales, arranca ya definitivamente el calendario estable de Virtual Hands On Lab. Cada semana habrá entre 3 y 4 VHOLs que podrás seguir con LiveMeeting y conectándote a los servidores virtualizados a través de Internet. Las próximas cuatro semanas estarán dedicados a SQL Server 2008, System Center, MOSS 2010 y Tecnologías Forefront.

Gira Up to Secure en Zaragoza, Valencia, Murcia y Tenerife

La próxima semana se reanuda la Gira Up to Secure 2010 con la llegada a Zaragoza el próximo día 24 de Febrero, a Valencia el día 2 de Marzo, Murcia el día 3 de Marzo y Tenerife, para cerrar capítulo, el día 16 de Marzo. Los eventos son gratuitos y podrás ver 5 charlas dedicadas todas ellas a Seguridad Informática.

Connection String Parameter Pollution con Gusenet en Murcia

Aprovechando que el día 3 de Marzo estoy en Murcia con la Gira Up To Secure, voy a quedarme para dar la charla de CSPP que dimos en BlackHat DC sobre CSPP. Será de la mano de GUSENET en la Universidad de Murcia a partir de las 19:30 horas y es totalmente gratuito.

Troopers 2010 en Heidelberg

Después de contar la charla de CSPP, agarraré el avión y me iré a Hilderberg a participar en la Troopers 2010 y repetir la charla allí. Será un paseo rápido vía FrankFurt. Regresaré para ir justito del aeropuerto al MVP Day y dar una charlita de..."Momentus Ridiculous" ... o algo.

Technet Security Day en Madrid y Barcelona

La semana que viene estaremos en Madrid y Barcelona los días 23 y 25 de Febrero con el Security Day. Hablando de VPNs, Correo Electrónico, Firewalls, Antivirus, etc… Todo for free. Incluido el café del desayuno.

Asegúr@IT 7 en Barcelona

Con una cena previa el día 23 de Marzo con los “hackers del humor” Nico y Raúl, “el auténtico” Dani Kachakil, “Los hackers del aire” Leo Nve y el sr. Martorella, y los que se apunten, nos iremos a Barcelona. Tendré que cuidar mucho que no se me pasen con la fiesta, que el día 24 tendrán que cantar todos en el Asegúr@IT 7 y tendrán que estar disponibles. El evento es gratuito, así que te puedes apuntar ya, que la sala no es muy grande.

De todas formas, si quieres estar enterado de que estamos organizando en tu ciudad, en la página de Informática64 hemos puesto un calendario de “colorines”. Basta con que selecciones tu ciudad y se pondrán de color los días dónde hay algo allí. Después, haciendo clic en el día coloreadito, te lleva a la visualización de las acciones de ese día e incluso te puedes descargar el recordatorio para tu agenda personal.

También puedes suscribirte al RSS de Eventos

Saludos Malignos!

miércoles, febrero 17, 2010

Odín, el dios de Asgard

Sí, como esperabas este post no va a tener nada que ver con la mitología nórdica, ni tan siquiera con los comics de Marvel. Sí, como tal vez imaginas tiene que ver con metadatos y con nuestra participación en la HackCon 5 y la presentación de la FOCA aquí.

El caso es un caso curioso que demuestra el impacto de los metadatos en las fases de pentesting. Esta es la historia de Odin.dep.no, un nombre de un servidor y que espero que os gusten los matices de la historia.

Vaya por delante el final de la historia. Odin.dep.no es un nombre de domino que apunta a una dirección IP por el que se está ofreciendo algún tipo de servicio, del que desconocemos todo. Viendo la ficha de Robtex del servidor es fácil saber todo, pero… para ello tienes que saber previamente que Odin.dep.no es un nombre de un servidor que existe, la pregunta es… ¿cómo lo encuentras? Supongamos que tienes que hacer un análisis del dominio dep.no y que tienes que descubrir el máximo de información… ¿Cómo encuentras ese nombre de servicio?


Figura 1: Información de Odin.dep.no en Robtex

Aproximación 1: FOCA

El dominio dep.no redirige a regjeringen.no (signifique esto lo que quiera que signfique) así que nos bajamos los documentos con la FOCA.


Figura 2:Configurando el proyecto con la FOCA 3.0.1

De un Excel, justo el que se puede ver en la imagen siguiente, extraemos los metadatos para ver que existe un servidor que se llama Balder.


Figura 3: Metadatos, información oculta y datos perdidos extraídos con FOCA

Le damos a Analizar Metadata y vemos como resuelve el nombre de Balder en el dominio.


Figura 4: Balder.dep.no está en el rango de red 148.122.210.x.

Como el nombre es muy significativo, hay que probar una búsqueda por Google Sets, a ver que sale, y … ahí tenemos a Odín.


Figura 5: Odin.dep. no descubierto a través de Balder

Aproximación 2: Google, Bing y DNS

En este caso, utilizando el algoritmo que va a ser añadido a la FOCA 2 alpha, en el que se hace una búsqueda intensiva de servidores en Google, Bing, y después se aplica escaneo de DNS con su PTR Scanning y todo, resulta que el algoritmo, tras comenzar a las 14:25.


Figura 6: Hora de incio

Y terminar casi 2 horas después.


Figura 7: Hora de finalización

Es capaz de sacar más de 200 equipos del dominio dep.no, pero no salen ni Balder, ni Odin.


Figura 8: Más de 200 dominios, pero ni Balder ni Odin

Este caso, es un ejemplo más, de la importancia de los metadatos a la hora de realizar un mapa de red en un proceso de pentesting. ¿Será útil conocer a Balder o a Odin en una explotación posterior?

Saludos Malignos!

PD: Bájate la versión 3.0.1 publicada ayer si quieres usar la función de Google Sets, que habían cambiado un parámetro y hubo que parchearla de urgencia

martes, febrero 16, 2010

Semi-Trues

Matando unos minutos por ahí en el twittel de otros, un link, en plan caja de bombones, me llevó a un proyecto llamado "No more And 1=1". El proyecto es una herramienta que han creado para intentar no tener que teclear una tras otra vez las mismas pruebas en los ataques de SQLI, XSS, etc... La diferencia con respecto a un scanner automatizado es que aquí eliges tú cuando lo quieres probar. No tiene mala pinta. Funciona en Java y se integra con WebScarab, con lo que si eres aficionado a esa herramienta te completará sus funciones.

Pero no venía a hablaros de ella, sino de un concepto que me hizo pensar por lo interesante de la aproximación y lo aplicable que puede ser a otros entornos que lei en un post que me paso Pedro Laguna y que tiene que ver con el And 1=1. Es el concepto de las Quasi-tautologías.

En muchas ocasiones, cuando se está produciendo un ataque de SQL Injection, se usan las tautologías, es decir, comparaciones que siempre dan True. Los ejemplos más típicos los tenemos en los OR 1=1 en los procesos de login o los AND 1=1 en los ataques de Blind SQL Injection. Existen Sistemas de Detección de Intrusiones y Firewalls a nivel de Applicación que buscan estas tautologías y funcionan. Son capaces de detectar estos ataques. Pero.... ¿qué sucede si se utiliza algo que es semi-true?


Pongamos por ejemplo estas dos fotos. En ellas salen dos buenos mozos };D. Si pusieramos a elegir a las mujeres de este blog sobre que rapaz es mejor mozo, lo más probable es que casi todas seleccionaran al chico rubio con mucha pasta y guapetón, pero... seguro que algún alma perdida prefiere al que sabe arreglar ordenadores, tal y como se vio claramente en el vídeo de "I fell great".

Sin embargo, se podría construir la lógica de AND Rubio is selected casi como si fuera una tautología que saltaría todas las detecciones de IDS y WAF basadas en flujos de comandos. La explotación de un ataque basado en esta quasi-tautología daría los errores basados en la probabilidad de fallo. Así, si se utilizan sistemas con quasi-tautologías como RAND() > 0.01, estaríamos hablando de una probabilidad de error menor del 1 %.Lógicamente, si se usa RAND() > 0.01 y si se repite el test dos veces, estaríamos hablando de una probabilidad de que no funcione la prueba como una tautología de 1 por 10.000.

Por supuesto, si el IDS o el WAF se basan en sistemas de entrenamiento y aprendizaje, este sistema de ataque sería bloqueado, pero el concepto de "quasi-tautología" abre posibilidades. Esto solventa un problema: las protecciones basadas en tautologías, ahora ha que pensar dónde se usan....

Saludos Malignos!

lunes, febrero 15, 2010

Bailando con Lobos

Periódicamente le echo un ojo a las estadísticas del blog, pero he de reconocer que sin mucha profundidad. Las miro, más que nada, intentando descubrir algo que ya me pregunté tiempo atrás: ¿Tú por qué vienes?. Así que reviso que post son los que más visita la gente, y esas cosas.

Me sigue pareciendo curioso, que un blog tan Anti-SEO como éste, en el que los títulos no suelen tener nada que ver con el contenido, siga teniendo muchas visitas desde los buscadores, pero tras analizar las cadenas de búsqueda, todo encaja. Las palábras por las que la gente llega a este blog son "El lado del mal", "informático en el lado del mal", "Maligno", etc... es decir, el que suele llegar aquí desde Google es que iba buscando este blog.

Esta vez, con el agitado mes dedicado a los navegadores, he ido a ver las estadíticas de las versiones que usan los que se conectan. He mirado nada más que los últimos 30 días atrás, y de los 41 mil usuarios... más del 50% usan Firefox. Nooooooooooooooooo.


Figura 1: Distribución por familias de navegadores

Tras ver estas estadísticas sólo me quedan varias opciones que pensar:

a) Ese 50% usan el navegador cargado de hacking tools para pentesting.
b) Me tienen rodeado y me están vigilando con lo que nunca conseguiré entrar a trabajar en Mozilla.
c) Lo hacen sólo para llevarme la contraria.

Además, echando un ojo a las versiones de Internet Explorer de los usuarios que navegan por aquí, aunque la mayoría son de IE7 e IE8, no es este último el más usado, es decir, todavía se ve mucha versión 7 y....mil y pico con versionees IE6.


Figura 2: Versiones de Internet Explorer

Por suerte, mirando los sistemas operativos, la mayoría de los visitantes usa Windows, pero, la cuota de Linux que se ve en este sitio es muy superior a la cuota de Linux que hay en Internet en desktops navegando. Más de un 13 % usan Linux.


Figura 3: Versiones de sistemas operativos

¿Querrá decir ésto que aquí viene a verme mucha gente sólo para discutir conmigo? ¿Qué estoy bajo vigilancia? ¿Qué muchos de los que vienen se dedican a auditoría y lo hacen con Firefox? ¿Que estoy bailando con lobos?

Empiezo a asustarme....

Saludos Malignos!

domingo, febrero 14, 2010

La Editorial Maligna

Aunque parezca que llevamos poco tiempo con esto de los libros, lo cierto es que antes de que se editaran los primeros libros de i64 ya habíamos empezado a hacer unos manuales técnicos bastante chulos. Los primeros de ellos fueron, aunque a muchos os soprenda, de Oracle. Allá, por principios del siglo XXI habíamos hecho tres manuales de Oracle, que llamamos Oracle 9i: Administración I, Oracle 9i: Administración II y Oracle 9i: Tunning. A estos, un compañero añadió uno de Linux y luego HTML, SQL, Java, etc... Aún se pueden ver en la web esos manuales, que eran y algunos aún son entregados en muchos cursos.

En septiembre de 2008, con la presumible llegada de la crisis a España, decidimos tener una reunión "en la cumbre", es decir, nos fuimos a tomar un café al bar con un boli BIC y unos folios usados para tomar notas por la parte de atras - nosotros reusamos las hojas de una cara para estos menesteres - y apuntamos cosas que podíamos hacer para ampliar la oferta de servicios, completar los ya existentes y aprovechar la eventual reducción de trabajo.

De ahí surgieron varias ideas, y entre ellas, la de evolucionar de los manuales técnicos a algo mejor acabado como los libros técnicos, con lo que en Septiembre de 2008 nacieron los Libros de Análisis Forense Digital en Entornos Windows de Juan Garrido "Silverhack" y el de "Aplicación de la LOPD en la empresa".

Al final los libros salieron a la venta en Julio de 2009, casi un año después y, debido a que habíamos conseguido un precio bastante asequible del libro, quedamos muy satisfechos con el resultado. Así que decidimos continuar con el proyecto.

Hemos de decir que durante los meses de Octubre y Noviembre de 2009 nos vimos muy saturados de trabajo y no pudimos pensar en continuar con el proyecto editorial, pero a finales de año, en otra de las reuniones en la cumbre, con un té con limón y sacarina, decidimos que para 2010 debíamos continuar con el proyecto.

Decidimos que para que los libros tengan éxito, deben ser escritos por alguien que realmente sepa especialmente de esa temática, con lo que comencé con la operación jaula que me ha llevado a "cazar" y conseguir el compromiso de los pájaros que más me gustan a mi de cada una de las materias.

Ya es público que Alejandro Ramos "dab" se ha comprometido, a escribir el libro de PenTesting, pero espero poderos avanzar una lista muy jugosa de escritores que ya he liado y han confirmado verbalmente su compromiso - con fecha de entrega y todo - que ampliarán la colección.

De momento, estoy supercontento, porque ya tenemos a la venta el tercer ejemplar dedicado a seguridad, aunque en este caso a un producto: El libro de MS Forefront TMG 2010 en Español. Aprovechando que la versión final en Español salió en Diciembre de 2009, tenemos el primer libro en castellano escrito en Febrero de 2010. Lo que es guay. Este libro ya está a la venta y los que se apunten a los Hands On Lab en Barcelona de Forefront TMG o a los Virtual HOLs de MS Forefront TMG tendrán un ejemplar.


Libro de MS Forefront TMG 2010 escrito por Juan Luís G. Rambla

Este libro, para ayudar a la gente a reducir en lo posible los gastos de envío, también estará disponible para su adquisición en el evento de MS Technet Security Day en Barcelona y Madrid así como en la Gira Up to Secure de Zaragoza.

Para completar esta afición a la editorial, no me gustaría terminar este proyecto, que tal vez dure un par de años más, sin haber dejado escrito uno yo así que intentaré tener uno sobre Técnicas de Inyección en Aplicaciones web para poder usarlo en mis clases.

Saludos Malignos!

sábado, febrero 13, 2010

Inyección de código en ensamblados .NET por The Sur

Durante este articulo se verá cómo es posible modificar los ensamblados en .NET de modo que se pueda inyectar tanto código .NET o código no manejado en este tipo de aplicaciones, pudiendo dotarlas de nuevas características, tales como plugins (o malware) sin que la aplicación original disponga de soporte para ello.

Para realizar éste ejemplo es necesario un decompilador de .NET (Reflector), un plugin con el que inyectar código IL (Reflexil) y un mínimo de conocimientos del lenguaje .NET y IL.

Antes de comenzar, se debe instalar el plugin ‘Reflexil’ para ‘Reflector’. Para agregarlo, basta con ir a ‘View -> Add-ins -> Add’ y cargar la librería ‘reflexil.dll’. Una vez cargado, es posible acceder a su menú haciendo clic en ‘Tools -> Reflexil’.


Figura 1: Cargando plugin Reflexil

Como segundo paso se crea una pequeña librería en .NET que será la que la aplicación cargará, consiguiendo así la ejecución de código y accesibilidad a sus componentes internos a través de reflexión.

La Liberia, en esta caso es muy sencilla, únicamente cargará un formulario con una imagen y mostrará un mensaje.


Figura 2: Código que se cargará en la aplicación como DLL

Una vez hecha la librería, es necesaria la decompilación de la aplicación sobre la cual se quiere realizar la inyección de código. En éste caso se ha escogido, como ejemplo Notepad.NET. Basta con arrastrar el ejecutable sobre el panel de ‘Reflector’, y se mostrará un árbol con todas sus métodos, propiedades, etc...


Figura 3: Código que se cargará en la aplicación como DLL

Para saber donde realizar la inclusión del código se debe localizar el punto de entrada de la aplicación, o el método en el que se desée que se ejecute el código. En este caso se va a realizar sobre la entrada a la aplicación, en Main(String[]).

Una vez llegado a éste punto, es hora de usar ‘Reflexil’ para la inclusión de código IL. Unicamente se deben inyectar las instrucciones necesarias para que realice la carga de forma dinámica de la librería que se ha creado anteriormente.

No os asustéis si no sois expertos en reversing, únicamente son cinco instrucciones. Una vez la aplicación esté parcheada no será necesaria volver a modificarlas. Basta con hacer clic derecho sobre el panel de ‘Instructions’ del plugin y clic sobre ‘Create new’ para agregar las siguientes instrucciones:

· LDSTR ‘c:\ruta\libreria.dll’

· CALL System.Reflection.Assembly::LoadFile(System.String)

· LDSTR ‘namespace.class’

· CALLVIRT System.Reflection.Assembly::CreateInstance(System.String)

· POP



Figura 4: LDSTR ‘c:\ruta\libreria.dll’


Figura 5: CALL System.Reflection.Assembly::LoadFile(System.String)


Figura 6: LDSTR ‘namespace.class’


Figura 7: CALLVIRT System.Reflection.Assembly::CreateInstance(System.String)


Figura 8:POP

Cuando se busque el método CreateInstance() o LoadFile() en las instrucciones CALL y CALLVIRT hay que tener en cuenta que éstas se encontrarán dentro del nodo ‘mscorlib -> CommonLanguajeRuntimeLibrary -> System.Reflection -> Assembly’.


Figura 9: Ubicación método LoadFile()

Una vez finalizado, el método modificado debería quedar de forma similar a la siguiente captura de pantalla. En azul está el código inyectado que realiza la carga de la librería:


Figura 10: Código inyectado

Tras todo este proceso, basta con guardar el ensamblado modificado haciendo clic en el nodo del ensamblado en Reflector, y a continuación en ‘Save As’.


Figura 11: Guardando el ensamblado modificado

Si todo se ha realizado correctamente, al ejecutar la aplicación se cargará y ejecutará la nueva librería, consiguiendo así el objetivo de inyectar código en un compila .NET tal y como se puede ver en la siguiente captura de pantalla, donde, junto con la ejecución de la aplicación, también se ha ejecutado el formulario que desarrollado en la librería.


Figura 12: Ejecución de código inyectado

Si se hace uso de ProcessExplorer se puede observar como la aplicación tiene cargada en memoria la librería ‘dll.dll’.


Figura 13: dll.dll vista en Process Explorer

Éste ha sido un sencillo ejemplo de los pasos necesarios para la posibilidad de ejecución de código por una aplicación. Ésto, junto con conocimientos de reflexión en .NET abre un gran número de posibilidades, donde se puede obtener un gran control sobre la aplicación, ofreciendo la posibilidad de crear o agregar nuevas características a las mismas.

Por supuesto, en Black Hat Europe 2009 alguien pensó que estas posibilidades se podían utilizar para crear Rootkits directamente el .NET framework.

¡Hasta otra!

El artículo original en Windows-Técnico.

Entradas populares