sábado, julio 31, 2010

La vida en el Riviera

No os puse nada del segundo día de la Black Hat USA 2010 porque mi participación se limitó a estar en el booth del Arsenal event enseñando la FOCA a todo el que preguntó por ella, lo que me tuvo 3 horas y media haciendo demos. En el booth de al lado estaba la gente de Airtight lo que me permitió poder hablar unos minutos con Shohail Ahmad sobre el famoso hole196. Fue curioso, porque él conocía bien la FOCA y se acordaba de nosotros del año pasado. Mola! El Arsenal Event nos tuvo a los dos muy cansados así que nos citamos para la Defcon, con lo que cogí mi petate y me planté en el bar del Riviera.

El Hotel Riviera no está mal, pero no es el Caesar’s Palace ni mucho menos. Sin embargo, cuando se llena con los miles de asistentes a la Defcon tiene otra vida. Ir al bar a tomar cervezas y ver a la gente tiene su gracia. Más cuando te paseas por el hotel en grupo y todos van con una camiseta blanca con una FOCA Rosa y la gente se ríe al pasar o te dice cosas.

La noche antes de que comience la Defcon y el mismo día que lo hace el hotel se llena de colas interminables de gente que espera comprar la entrada, comprar una camiseta o entrar a una sala. Es increíble. Este año nosotros, como buen equipo, nos apuntamos al torneo hackCup que organizaba Immunity de futbol. Y ha sido genial.

12 equipos de jugadores formados por lo más granado. Allí estábamos los españoles, con el FOCA team más Fermín J. Serna, Moxie y su equipo mixto, David Aitel y Nico Waisman dirigiendo a Immunity, el equipo del Cosmic con los argentinos Mariano Nuñez, Claudio, Ezequiel, Amato y Hernán Racciatti que nos barrieron de la pista con un 5-1, el equipo “americano” [hasta aquí puedo leer de ellos], los brasileños con Rodrigo Branco que no levantaron la actuación de Brasil en el mundial, los Media^2Whores con Charly Miller entre los exploiters y los bloggers, los Sudafricanos, que al final ganaron el torneo, con Marco de Sensepost a la cabeza, etc… una fiesta ver a todo el mundo sudar la camiseta, suplicar por un hueco en el ventilador, tumbarse en el suelo a recoger fuerzas o ponerse hielo.

Como era de esperar hubo lesionados y el peor parado fue el pobre Ero Carrera que se rompió el tendón de Aquiles. Recupérate pronto Ero. Yo, para no ser menos, me jodí la rodilla derecha y tuve que salirme en el último partido. Ahora estoy un poco cojo, pero ha merecido la pena.

Después de la hackCup tocó volver a la realidad y preparar la charla de la FOCA 2.5. Este año decidimos hacer todas las demos con la Casa Blanca y a la gente le hizo mucha gracia. Se acordaban del chiste del “Yes, we Can!” e incluso participaron de él. Hubo que explicar que la FOCA no tiene nada que decir del aborto ni la religión al principio de la charla y luego terminamos haciendo las demos con el US Army.

Al final de la seisón, cachondeos y risas después, apareció John Matherly, el cerebro tras Shodan que resultó ser como esperábamos, un tío genial, divertido y cercano y se prestó a tirarse las fotos pertinentes con el FOCA Team. Por supuesto, también vino personal del gobierno americano a decirnos un par de cositas simpáticas.

Los pasillos del Riviera se vaciaron y llenaron sistemáticamente según la gente se movía de un lugar a otro y yo terminé la noche, como decía Rosendo Mercado en la canción de “Navegando”, naufragando de nuevo en la barra del mismo bar del Riviera, a toma cervezas y reírme un rato.

Hoy toca la última charla, y es el día grande en Las Vegas. Todo estará bien y divertido pero de esta noche no os contaré nada, lo siento, tendrás que venir el año que viene al Riviera a ver lo que se cuece por los pasillos.

Saludos Malignos!



viernes, julio 30, 2010

Al fuego con fuego

¿A cuántos de vosotros os han dicho alguna vez eso de … “¿por qué no dejas el ordenador un ratito?”? Sí, padres, parejas, todos preocupados porque pasas demasiadas horas pegad@ a la pantallica del ordenador y no les haces caso. A veces las frases son más ingeniosas, como “te va a salir chepa”, “te vas a quedar tonto” o “no sé qué le ves a estar todo el día aporreando teclitas”.

Y sin embargo… no solemos hacer ni puto caso. Seguimos pegados al ordenador a todas horas, algunos incluso desde el baño… ¡enfermos, que sois unos enfermos!
Sin embargo, en esta última edición de Black Hat he notado que la gente ha dejado el ordenador. ¡¡¿Cómo?!! ¡¡¿una conferencia de informáticos y no usan el ordenador?!! Si se lo digo a mi madre no me cree.

Lo cierto es que tantas cosas se han visto ya en estos sitios que la mayoría ha/hemos desarrollado un pánico de cojones a usar el ordenador en estas conferencias. Es curioso ver a todo el mundo, libretita y bolígrafo en mano, tomando notitas.

Los ataques a las redes WiFi desde antaño, las archiconocidas y efectivas tools de técnicas de mitm, la muerte el año pasado del SSL con el null byte, los certificados raíz de confianza y la poca confianza en quién firma el certificado, la evolución de los ataques a redes VPN, la implementación masiva de los ataques de client-side con herramientas como the-middler, la aparición de 0-days en estas conferencias, frameworks como evilgrade para “actualizar tu Java o tu lector PDF favorito” o el último Hole196 de este año nos han dejado claro una cosa: “Como me descuide me la meten”

Así, era curioso ver que casi nadie usaba el portátil, que los que lo hacían era con 3G (otros valientes) y que los pocos necesitados como yo, hemos minimizado las conexiones al máximo y sólo tras aprendernos, como en mi caso, los putos hashes de los certificados de los sitios indispensables a los que tenía que conectarme o la MAC de los servidores de la red de fiar (que nos la daban impresa).

Yo he minimizado mis conexiones al Facebook, al correo, el twitter y las aplicaciones corporativas, y me conecto con nocturnidad, alevosía y sufrimiento. Eso sí, tras tampoco tener cojones ni a traerme mi propio ordenador a este país – lo que me ha provocado que me olvidara parte del trabajo en Madrid que estoy repitiendo aquí -.

Al final, la única forma de hacer que un “hax0r” deje la teclita y haga caso al resto de la vida ha sido otro “hax0r”. Al fuego con fuego. No hay mejor cuña que la de la misma madera. Sangre de tu sangre.

Yo, por mi parte, creo que me he arriesgado ya mucho, y dejo este post como esta para volver a mi soledad desconectada. Oye, ¿eso que está fuera con luces es Las Vegas?

Saludos malignos!

jueves, julio 29, 2010

Black Hat USA 2010 Día 1

El primer día de la Black Hat USA ha sido genial. Supongo que habría alrededor de 5.000 personas metidas en el Caesar’s Palace de Las Vegas para ver alguna de las más de cien conferencias que había este año. Yo os voy a contar mi experiencia.

La llegada con Fermín J. Serna al evento nos llevó a fotografiarnos juntos, en amor y armonía en el stand de Microsoft, para luego saltar y hacer exactamente lo mismo en el de Google. Después nos fuimos a pasear por la zona del Black Hat USA Arsenal, donde estaban listos para la batalla el gran Moxie Marlinspike, Deviant Ollam y Claudio Criscione, entre otros, así que aprovechamos para saludarlos.

A la hora señalada, nos dedicamos a buscar los salones de las conferencias, de las que yo opté por ver la de Ben Feinstein y sus compañeros sobre fallos en el software de seguridad. Una de las demos tenía que ver con la aplicación del fallo de TLS-Renegociation para cepillarse firewalls CISCO y otra para ownear Network Security Appliances de McAffe. More Info]

Después de un corto café para ver Vasto, un módulo para Metasploit que está disponible en nibblesec para atacar software vulnerable de administración de virtualización del que Claudio Cciscione nos hizo una demo petándose una consola de VMWare, me encomendé a los dioses para que Nico Waisman fuera un buen speaker que a mí, bajar a las vtables me mata un poco. Y vaya si lo era, la sesión de Nico fue una de las mejores. Didáctico, entretenido, participativo. La charla de Aleatory Perstistent Threat muy buena.

Café, pique con los argentinos sobre la HackCup de futbol, foto con César Cerrudo, saludo a Mariano Nuñez y al papeo con españoles e italianos, para recordar lo de la estrella, el campeonato del mundo de futbol y aprender lecciones de Ero Carrera, el I-pad, el ay!-fon 4, etc…

De ahí me escapo sólo para ver la charla de Dani Mende y René, de ERNW a la que faltó Enno Rey. La gente de ERNW son los organizadores en Alemania de la Troopers, de la cual ya hay fecha oficial para el año que viene, y después de varios años haciendo las charlas de “All your packets are belong to us”, han liberado Loki, una herramienta al estilo de Cain, para hacer ataques a protocolos OSPF, RIP, VRRP, ISIS, etc… La tool funciona en Linux, y, a pesar de que en la charla sacaban una foto de un grabado en un árbol que decía GUI: Girls Uses Interfaces, el interfaz de Loki es chulísimo. Una charla bien organizada, bien contada y con una tool que debéis probada. Ubuntu 10 y GTK. José Selvi, esta es de las que nos tienes que desmigar en Pentester };) Moló verles hablando de Yersinia con tanto amor y respeto.

La siguiente charla, la de Dan Kaminsky. Como era de esperar la charla estaba petada de gente, pero… no dure más de 15 minutos. Este año digamos que no me gustó. A pesar de que ponía que iba a hablar de Web, nos habló del DNSSec y utilizó un discurso radicalmente distinto a su registro habitual. Nada de cervezas, alcohol y demostrar cómo cagarla. No, esta vez había encontrado la solución definitiva con el DNSSec y vino con traje, nos enseñó cómo se monta el DNSSec y como ya lo había visto hace tiempo en el Asegúr@IT V cuando David Carrasco nos lo montó en Zaragoza, pues me fui a ver a amigos. No fui el único que me fui.

Visita al Both del Arsenal de por la tarde aprovechando un poco de tiempo, para ver a Fede y Francisco Amato presentando Evilgrade y petándose Windows con actualizaciones de Java. Allí las pegatinas de la Ekoparty rulaban para la que va a ser la gran fiesta de este año en Buenos Aires. Aproveché el rato para afinar las demos de la FOCA para hoy y… todos juntitos a ver los Pwnie Awards.

La fiesta de los Pwnied Awards es de lo más divertido que he visto en mucho tiempo. Los jueces, H.D. Moore, Alex Sotirov, Mark Dowd y compañía, derrochan sarcasmo, cachondeo, y mala uva. Al final, los ganadores fueron:

- Most Epic Fail: El filtro Anti-XXS de Internet Explorer 8 por hacer vulnerables aplicaciones que no lo eran. La descripción del resto de los nominados fue de lo más cachondo. El tema de Nekario y su intento de encontrar curro en Panda. hizo descojonarse al público. La cagada de IBM en el AusCert dando pendrives con Malware también tuvo su cuota de popularidad y hasta un asistente trajo uno de los pendrives para el que lo quisiera ver. Alex Sotirov instó a la gente de Spectra a ver si se animaba a recoger el caballito, pero… nadie se animó.

- Best Server Side bug: Para Apache Struts2.

- Best Elevation of Privileges: Travis Ormandi. Tenía uno por Linux y otro por Windows y eligió él mismo como ganador el de Windows. Travis estaba nominado en 5 categorías y Alex Sotirov dijo en coña que tendría que buscarse otro hobby.

- Best Client Side bug: Para Java.

- Most Innovative Paper, para Dyonisius por saltarse ASLR y DEP
Lamest Vendor Response, para Absolute Software (aunque creo que era mejor la de ¿Qué es un iframe? que nos dieron desde Chromium)

- Best Song para Pwned.

Después del día, fiestas, fotos, cachondeos y demases. El tercer mojito me acabó matando y cuando llegó Palako, estaba ya muerte. Game Over.

Saludos Malignos!

miércoles, julio 28, 2010

La página envenenada

Al más puro estilo del libro de "El nombre de la rosa", parece que hay una página maldita en el estándar WPA2 publicado por el IEEE que facilita los ataques Man In The Middle para usuarios correctamente autenticados.

Hasta el momento, para hacer un ataque Man In The Middle en una conexión WPA/WPA2 en entornos de clave compartida, es necesario robar las claves unicast que tiene asignadas cada cliente. Para ello, el atacante tendría que hacer un ataque MITM y, con la clave compartida, ir descifrando las claves de cifrado negociadas.

Todo este proceso lo tenéis explicado en los artículos de Crackear WPA/WPA2 PSK y Atacar WPA/WPA2-PSK.

Sin embargo, lo que parece que han descubierto los investigadores de Airtightnetworks es como hacerlo sin saber las claves unicast y en redes WPA/WPA2-Enterprise. El fallo supuestamente está en la página 196 del estándar y Shohail Ahmad, el descubridor, lo explica así:

"WPA2 utiliza dos tipos de claves: 1) Pairwise Transient Key (PTK) que es única para cada cliente y se usa para proteger el tráfico unicast y 2) Group Temporal Key (GTK) que se usa para proteger el tráfico enviado a múltiples clietnes en una red. PTKs pueden detectar el spoofing de direcciones y la manipulación de los datos, GTKs no tienen esa propiedad de acuerdo a la página 196 del estándar IEEE 802.11

Esas palabras comprometen el sistema.

Un cliente que recibe tráfico broadcast con el protocolo GTK puede explotarlo para crear su propio paquete GTK. A partir de ese momento, los clientes responderán a la MAC que envía el paquete con su información privada."


Esto ha llevado a Ahmad a crear MadWiFi, una herramienta que mostrará en la Black Hat USA Arsenal y en la Defcon 18 que aprovechándose de esta característica, suplanta al AP ante los clientes y permite hacer ataques Man In The Middle.

Como le voy a tener cerca, intentaré sacar más información, o obstante, el próximo 4 de Agosto, cuando ya estén pasadas las conferencias, la gente de Airtight va a realizar un webimnar sobre el hole 196 a través de Internet al que te puedes apuntar.

Otro clavo más para la WiFi...

Saludos Malignos!

martes, julio 27, 2010

Presentaciones Pasadas

Para que todo vaya bien, cuando hay que organizar un sarao, contamos siempre con Eventos Creativos. Entre las múltiples gestiones que nos realizan, está la de consolidar todas las referencias al acto y todos los materiales generados. Así, nos han subido a su SlideShare todas las presentaciones del III Curso de Verano de Seguridad Informática de la UEM y del Asegúr@IT 8, que os dejo aquí mismo:

III Curso de Verarno de Seguridad Informática de la UEM

Día 1:

- Dani Kachakil: Serialized SQL Injection
- Javier Moreno: Historias de la Cripta
- Quest Software: Auditoría de sistemas Microsoft
- Chema Alonso: Seguridad en Navegadores
- Rames Sarwat: El e-DNI como herramienta de Seguridad

Día 2:

- Antonio Guzmán: Protección de las infraestructuras Crícticas
- D-Link: Virtual Lans
- Juan Luís G. Rambla: Esquema Nacional de Seguridad
- Bitdefender: Evolución de las soluciones antimalware
- Pedro Sánchez: Análisis de una intrusión

Día 3:

- Sergio de los Santos: Malware Families
- Rubén Satamarta: Ingeniería Inversa
- Gonzalo Álvarez Marañón: ¿Sueñan los crackers con ordenadores cuánticos?
- Alejandro Ramos: Pentesting
- Taddong: Nuevas amenazas en dispositivos móviles

Asegúr@IT 8

- Chema Alonso: FOCA Reporting Tool
- Juan Luís G. Rambla: Forefront Protection 2010 for Exchange/SharePoint
- Alejandro Ramos: Análisis de PDFs
- Rubén Santamarta: Bindiffing Patches
- Sergio de Los Santos: Evolución del Malware
- Taddong: Nuevas amenazas en dispositivos móviles

Además, os dejo aquí algún material más de la Gira Up To Secure y del repositorio de las conferencias Troopers.

Gira Up to Secure 2010

- D-Link: Cámaras de video vigilancia IP
- SmartAccess: Autenticación segura en portátiles Windows
- Microsoft: Forefront Client Security
- Quest Software: Solución contra desastres en AD y Exchange
- Informática 64: Seguridad en navegadores

y por último, el link de los videos de las conferencias Troopers, con algunas conferencias muy interesantes sobre Seguridad en la nube por parte de Marco de Sensepost o las de TLS Reconnecting de Dispensa & Ray.

Saludos Malignos!

lunes, julio 26, 2010

Mi pequeño pony

Esta semana en Las Vegas está llena de actos, fiestas, cachondeos y sí, también conferencias de seguridad informática. Todo el mundo está allí para jugar, emborracharse y perder la virg... digo y disfrutrar de un año de seguridad informática.

BlackHAT y Defcon dan el pistoletazo de seguridad al año fiscal amerícano con sus eventos en torno a la seguridad informática y el hacking. Y uno de esos actos más famosos es el Pwnie Award.

El evento en si consiste en premiar a los mejores y a los peores en el mundo de la seguridad informática y el hacking con un bonito Pequeño Pony de colorines desde el año 2007.

- Ganadores PWNIE AWARDS 2007

Nuestro amigo Luciano Bello, el securiy researcher argentino más sexy del planeta, ya tuvo el honor de conceder a Debian el Most Epic Fail del año 2008. Ese mismo año también se le dio al bug del DNS Caché poisoning de Kaminsky el de Most Overhyped y al pobre Windows Vista le daban una mención honorífica por demostrar que la seguridad no vende.

- PWNIE AWARDS 2008

En el año 2009 la fiesta fue casi un monográfico para Linux que consiguió estar en muchos de los apartados importantes como el de Best Server Side Bug, Best Privilege Escalation Bug, por la peor respuesta de seguridad, es decir el Lamest Vendor Response y por el Mass 0wnage que se lo llevó RedHat con la intrusión que les llevó hasta firmar software de SSH con troyanos.

- PWNIE AWARDS 2009

¿Y este año quién? Pues está complicado, pero las nominaciones son buenas. Parece que hay algunos candidatos a llevarse premio casi seguro, como la firma de MacAfee de software de Windows como virus, el fallo del filtro Anti-XSS descubierto por Sirdarkcat en IE8, Adobe y sus ene fallos de seguridad, con el PDF y el FLASH, y, por supuesto, los clásicos con fallos de Windows y Linux.

- PWNIE AWARDS Nominaciones.

Si estuvieras en Las Vegas, y en un esfuerzo supino de suponer que no estuvieras de fiesta borracho con un tigre de bengala en la habitación, ¿cuál sería tu elección?

Saludos Malignos!

PD: También se vota todos los años por la mejor canción y es... bueno, aquí os dejo la ganadora del 2008 dedicada a Kaspersky...

domingo, julio 25, 2010

FOCA 2.5 Free Manual de Usuario [2 de 6]

********************************************************************************************
- FOCA 2.5 Free Manual de Usuario [1 de 6]
- FOCA 2.5 Free Manual de Usuario [2 de 6]
- FOCA 2.5 Free Manual de Usuario [3 de 6]
- FOCA 2.5 Free Manual de Usuario [4 de 6]
- FOCA 2.5 Free Manual de Usuario [5 de 6]
- FOCA 2.5 Free Manual de Usuario [6 de 6]
********************************************************************************************

Descarga de los ficheros

Una vez seleccionados todos los ficheros que van a formar parte del proceso de análisis, se podrá proceder a descargarlos. FOCA 2.5 Free descarga los ficheros uno tras uno. Se puede seleccionar, uno, varios o todos los ficheros para la descarga y, si se quiere saber cuál es el tamaño del archivo antes de descargarlo, se puede utilizar la opción HEAD en las opciones. Esto hará que la FOCA, nada más descubrir un fichero, haga una petición Http HEAD al servidor para obtener su tamaño.


Figura 5: Habilitar HEAD

Si por cualquier motivo se queda bloqueado el hilo de descarga de un fichero, se puede detener la descarga y volver a descargar. Esto suele pasar cuando el servidor deja el hijo de petición de descarga en espera.

Extracción de los Metadatos

Una vez descargados los ficheros, se puede proceder a la extracción. Como en versiones anteriores, FOCA extrae todos los metadatos, datos ocultos e información perdida que puede de los ficheros. Ahora estos se organizan en nodos por tipos de ficheros que permiten encontrar más fácilmente un fichero.


Figura 6: Guía de Instalación de Guadalinex hecha con MS Word

Además, se crean unas listas resúmenes de metadatos que permiten:

a) Exportar a un fichero de texto la lista de información descubierta
b) Trazar el dato hasta el documento en el que aparece dicho dato

En esta última versión, se ha añadido, a las listas existentes de direcciones e-mail, usuarios, software, rutas e impresoras, una opción de sistemas operativos.


Figura 7: Listas de Metadatos

Análisis de Metadatos

Con todos los datos extraídos de todos los ficheros con los que se desea crear el fichero, la FOCA va a unir la información, tratando de reconocer que documentos han sido creados desde el mismo equipo, y qué servidores y clientes se pueden inferir de ellos.

Así, como se ve en la figura siguiente se infiere un equipo cliente a partir de un único documento.


Figura : Cliente Apple inferido de 1 documento

O en este ejemplo, se infiere un servidor, llamado Cadiz en Metrodemadrid.es que comparte varias impresoras y al que se sabe que acceden a imprimir diversos usuarios.


Figura 8: Servidor Cadiz inferido en unallocated

Unallocated Servers

Como se puede ver en la imagen superior, el servidor Cadiz aparece en la lista de unallocated servers. Eso es porque no se ha podido resolver su dirección IP ni su nombre de dominio. Para la resolución de servidores, lo que FOCA hace es intentar el nombre del servidor, en este caso cadiz, con todos los dominios que forman parte del proyecto. Es decir, todos los dominios principales y los dominios alternativos.

Los dominios principales son los que cuelgan del dominio principal, así, si para el domino metrodemadrid.es apareciera ftp.intranet.metrodemadrid.es o xxx.ramalnorte.metro.metrodemadrid.es como servidores descubiertos por la FOCA, entonces, automáticamente se comprobaría el servidor cadiz con todos ellos, es decir, se intentaría resolver:

- Cadiz.metrodemadrid.es
- Cadiz.intranet.metrodemadrid.es
- Cadiz.ramalnorte.metro.metrodemadrid.es
- Cadiz.metro.metrodemadrid.es


Además, se intentará resolver con los dominios alternativos. Estos dominios alternativos se pueden añadir, bien desde la ficha de creación del proyecto, bien desde la opción el menú contextual sobre un nombre de dominio. Así, si en la parte de dominios relacionados apareciera un nombre de dominio que podría ser importante para el dominio del estudio, se podría agregar con las opciones del menú contextual del nombre de dominio. Automáticamente FOCA intentará resolver todos los unallocated servers con ese nuevo dominio.


Figura 9: Alternative domains


********************************************************************************************
- FOCA 2.5 Free Manual de Usuario [1 de 6]
- FOCA 2.5 Free Manual de Usuario [2 de 6]
- FOCA 2.5 Free Manual de Usuario [3 de 6]
- FOCA 2.5 Free Manual de Usuario [4 de 6]
- FOCA 2.5 Free Manual de Usuario [5 de 6]
- FOCA 2.5 Free Manual de Usuario [6 de 6]
********************************************************************************************

sábado, julio 24, 2010

FOCA Free 2.5 Published

Hi FOCA Lover,

It´s time for FOCA to grow up and, right now, there is a new version of it available. This time is a release that you will be able to enjoy and discover deeply in the next Black Hat USA 2010 Arsenal Event and next Defcon 18 where FOCA will show up.

- Defcon 18 Schedule

- Black Hat USA 2010 Arsenal Event

Version 2.5 has new features such as:

- Automatic fingerprinting of Web servers and SMTP Servers
- Web technologies Analyzing in web sites
- Automatic search for open directories in web sites
- Automatic search for insecure HTTP methods in web sites
- Improved metadata extraction (more data from more filetypes)
- DNS Cache snooping
- …and we fixed all the bugs you reported to us :)

You can download FOCA from the official FOCA Site and send us, please, all your feedback to amigosdelafoca@informatica64.com

But that´s not all, FOCA has a new logo designed by one of the best drawers from Spain, Niko, one the Armorria’s Creators. He has designed Mr. Pink FOCA for us and you can buy the original “Fear the FOCA” T-Shirt for just 15 €.

Moreover, we’d like to inform you that we are working in a FOCA Pro version with some special features:

- Reporting features [Domains, metadata, servers and clients, etc...]
- Parallelism in almost the whole engine of FOCA
- Some special Tools for automatic exploiting
- No adds

It´s not ready yet (we don´t want release it after we test it the most) but we hope it will be out at the end of August. No more info right now.

Finally, just few quick reminders:

- You can use FOCA Online to extract metadata from a single file. We updated the engine behind the scene to extract more data - and even graphic files -.

- You can try (or buy) MetaShield Protector, our plug-in for IIS to clean metadata and hidden info of published files before they are downloaded.

- You can use OOMetaextractor to clean Open Office Files for free

That´s all FOCA lovers, we will have you posted with latest news.

FOCA Team

PS: As good Spaniards, we are going to try to win the World Championship Hack Cup in Las Vegas, so… if you dare, try to defeat us!

viernes, julio 23, 2010

FOCA 2.5 Free Manual de Usuario [1 de 6]

********************************************************************************************
- FOCA 2.5 Free Manual de Usuario [1 de 6]
- FOCA 2.5 Free Manual de Usuario [2 de 6]
- FOCA 2.5 Free Manual de Usuario [3 de 6]
- FOCA 2.5 Free Manual de Usuario [4 de 6]
- FOCA 2.5 Free Manual de Usuario [5 de 6]
- FOCA 2.5 Free Manual de Usuario [6 de 6]
********************************************************************************************

Mucho ha ido creciendo la FOCA desde que comenzó siendo una herramienta de análisis de metadatos para dibujar una red a partir de los metadatos. En este manual se intentará realizar un recorrido de todas las opciones y el funcionamiento de la herramienta en cada momento.

Panel de Documentos

Esta es la parte que para muchos de vosotros será mucho más familiar, en ella se descargan y se busca información de los siguientes tipos de ficheros:

- MS Office: doc, docx, xls, xlsx, ppt, pptx, ppsx y pps
- Open Office: odf, ods, odt, odp, sxw, swi y sxc
- Adobe: pdf, indd
- Otros: wpd, svg y svgz

Para que se habilite esta opción, es necesario crear un proyecto.


Figura 1: Creación de un proeyecto con la FOCA 2.5

Estos documentos se buscan utilizando tres posibles buscadores que son Google, Bing y Exalead. La suma de los tres buscadores, en muchos casos, consigue un gran número de documentos. Ninguno de los buscadores ofrece el 100% de los documentos en la mayoría de los casos, y, ni la suma de los 3 garantiza ese objetivo, pero sí que se máxima el resultado.

En cualquier búsqueda se puede elegir el tipo de ficheros y el motor a utilizar. Hay que tener en cuenta que Exalead no ofrece comandos como Google, que buscar por extensión o que BING no reconoce todos los filetypes, por lo que, la mejor opción es seleccionar el tipo de documento y dejar que la FOCA realice la búsqueda por los tres motores.


Figura 2: Búsqueda de ficheros FOCA 2.5

Si se realizan muchas búsquedas con Google, es posible que aparezca un captcha de Google, la FOCA mostrará entonces el Captcha para que el usuario introduzca el valor correcto y pueda continuar buscando documentos.

Añadir ficheros Manualmente

FOCA no sólo trabaja con ficheros buscados a través de los motores, y es posible añadir una carpeta o un fichero, simplemente arrastrando la carpeta o el fichero a FOCA o, usando las opciones de menú contextual del botón derecho del ratón.
Si se añaden ficheros locales de esta forma, es posible también extraer la información EXIF de archivos gráficos. En la versión Online de la FOCA es posible subir ficheros ofimáticos o ficheros gráficos para analizar sus metadatos.

También se pueden añadir ficheros remotos, utilizando la opción de añadir URL de tal manera que la FOCA descargará también ese fichero.

Personalizar la búsqueda de ficheros

Por defecto la FOCA busca ficheros que tienen que ver sólo con el dominio principal del proyecto y sin poner ninguna otra restricción que el tipo de ficheros. En el caso de querer añadir más ficheros al análisis, por ejemplo de más de un dominio, es posible cambiar los parámetros de búsqueda de ficheros de la FOCA, para eso es suficiente con apretar sobre la opción custom search y se desplegará un cuadro de texto donde se podrá cambiar la configuración de búsqueda a utilizar en los motores.

Análisis de la URL

Una vez generada esa lista de enlaces, y previamente a descargar los ficheros, la FOCA ya ha empezado a trabajar. Esta es una de las novedades que trae la nueva versión. La URL va a ser descompuesta en las siguientes partes:

- Si es encontrado por buscadores Web, entonces se asume que es un servidor web.

- Se extrae el nombre de dominio.

- Se busca su dirección IP.

- Si está seleccionada la opción de fingerprinting pasivo, se intenta averiguar la tecnología del servidor web a través de:
o El banner del puerto 80.
o El error 404
o El error de Aspx


- La ruta al documento se descompone en todos los posibles directorios, así algo como http://www.uno.com/directorio1/docs/pdf/fichero.pdf se descompondría en:
o http://www.uno.com/
o http://www.uno.com/directorio1/
o http://www.uno.com/directorio1/docs/
o http://www.uno.com/directorio1/docs/pdf/


Y se darían de alta asociados como directorios al nombre de dominio de www.uno.com.

- En cada directorio se prueba si tiene el listado de directorios abiertos, mediante una petición de la ruta y una búsqueda de la cadena Index of. Esta cadena pueda cambiarse en las opciones. Si la página tiene esa cadena entonces se asocia a cada dominio esa ruta dentro de la opción Open Folders.


Figura 3: Opciones de FOCA 2.5

- En cada directorio se hace una petición Options buscando los métodos inseguros. Estos métodos inseguros se definen en las opciones y, por defecto son PUT y DELETE. Si uno de estos métodos existe, entonces esas rutas se meten en la parte de Methods on Folders.

Luego, antes incluso de descargar el fichero se ha realizado un análisis completo de la información descubierta a través de la URL.


Figura 4: Resultado inicial del mapa de red tras buscar documentos

********************************************************************************************
- FOCA 2.5 Free Manual de Usuario [1 de 6]
- FOCA 2.5 Free Manual de Usuario [2 de 6]
- FOCA 2.5 Free Manual de Usuario [3 de 6]
- FOCA 2.5 Free Manual de Usuario [4 de 6]
- FOCA 2.5 Free Manual de Usuario [5 de 6]
- FOCA 2.5 Free Manual de Usuario [6 de 6]
********************************************************************************************

jueves, julio 22, 2010

El post del LNK, porque tú lo has pedido

Cuando sale una noticia de una vulnerabilidad gorda en Windows siempre estoy esperando a ese anónimo cariñoso que me va a poner algo como “… y hahora porke no dices nada de la mierda de Window$” o algo parecido con más o menos faltas de ortografía, que hay algunos anónimos que escriben mejor que yo.

En el fondo me halaga mucho recibir ese comentario. Ya sea porque consideran mi opinión tan importante para ellos que les lleva de estados de jolgorio a dolor penoso, ya sea porque realmente quieren mi opinión o ya sea porque han descubierto que soy familia de Bill Gates.

En cualquiera de los casos, en español hay otros muchos sitios donde leer información de seguridad y, aunque parezca mentira, muchas veces tratamos de no repetirnos entre nosotros ya que el mundo de la seguridad es tan amplio que hay temas para todos cada día. Así, a veces incluso, le pregunto a Sergio de los Santos, que junto a Antonio Ropero y Bernardo Quintero, dirigen la línea editorial de Una al Día si va a hablar de un tema en concreto o a Alejandro Ramos de SecurityByDefault si va a tocar tal noticia. De hecho, muchas veces he desechado cosas que tenía escritas porque ellos lo han contado mucho mejor que yo.

En el caso del lnk, cuando vi en mi RSS la noticia en Packet Storm Security sabía, por descontado, que esta noticia iba a estar en Una-al-día y en SecurityByDefault bien explicado.

Sergio de los Santos lo sacó inmediatamente y con su estilo. Después de años leyéndole, sé que su estilo de preparar una noticia es muy cuidadoso. Primero se informa bien, luego intenta asimilar e interiorizar la time-line de la noticia y por último lo describe todo cronológicamente para que lo entienda todo el mundo, añadiendo referencias cruzadas a hechos anteriores. Me gusta mucho porque resume en sus noticas todo lo relativo al tema. Suelo quejarme más de sus finos comentarios de editorial que pone en las partes finales. Como era de esperar, al día siguiente estaba detallada la información que había salido en The Register y algo más.

Hablando por teléfono tras la publicación comentamos el hecho de que ya la había publicado y que no habían salido los detalles técnicos: “Pishita, acaba de salir en exploit-db la POC para lusers como tú y voy a publicarlo.

En el caso de SecurityByDefault su estilo es distinto. No les gusta poner noticias, sino añadir valor técnico a ellas. Así que, si hay un tema ellos lo completan técnicamente, es decir, si hay un fallo de PDF ellos dan soluciones, herramientas de análisis y ejemplos de uso. Si el tema es de relativo al DNS, ellos hacen una comparativa, prueban las diferentes soluciones y dejan la información al estudio, y, con el caso del exploit LNK, de nuevo Alejandro hizo otra pasada de artículo. Saco su Windows y ale, a mitigar el exploit. Tanto nos gustó que lo pusimos en Windows Técnico.

Con esto de por medio, Leonardo Pigñer, otro de esos Argentinos locos que os tendré que presentar este blog, miembro del team de la Ekoparty y escritor de otro buen blog de seguridad llamado Kungfoosion, publicó cómo explotarlo con Metasploit.

Pero.. a pesar de toda esta información, muchos amigos todavía esperan que yo ponga algo del fallo del lnk que no haya dicho Sergio, Alex, Leo o la propia Spectra. ¿Por qué? Pues porque me adoran y yo lo sé.

Pues nada, este es tu post, para que pongas cosas como “Widnows$ no mola” o “M$ ZuckS” o lo que te apetezca, ya sabes que a pesar de todo, yo te seguiré aloviando.

Saludos Malignos!

miércoles, julio 21, 2010

Fear the FOCA: Official T-Shirt

Hace tiempo que nos pedían que cambiaramos el logo de nuestra FOCA por algo así como más bonico. Al final, para mantener el espíritu bronxtolita de la FOCA, he "engañado" a Niko, Nikotxan, T-1000 (y si quieres pruebas a tumbarlo una noche de copas y me dices si no es un T-1000), el gran creador de Cálico Electrónico para que nos hiciera un logo de la FOCA, a nuestra medida, y aquí está el logo nuevo.


Fear the FOCA en negro

Hay que reconocer que la FOCA tiene cara de tener malas pulgas. Seguro que muchos os preguntaréis "¿Rosa? ¿Por qué Rosa?", pero es que si os hubieramos dado a elegir todos hubieráis querido el color NEGRO [Si no has pillado este chiste malo revisa la filmografía de tu vida que te que mucho por descubrir].



Fear the FOCA en blanco

Este logo lo va a lucir la versión 2.5 de la FOCA que está cerrandose en estos momentos para que se publique ...muy pronto }:)) y nosotros, vamos a llevar unas bonitas camisetas de Fear the FOCA en Las Vegas.

Manu "The Sur" con Fear The FOCA

Como sé que muchos de vosotros amais a la FOCA, Niko ha preparado camisetas de ella en la Tienda Cálico y las podéis comprar por 15 € en blanco o en negro o en el color que te guste. ¿A que es adorable la nueva FOCA? ¡Cómprate la camiseta ya!

Saludos Malignos!

martes, julio 20, 2010

Espía informático ruso trabajando en Microsoft, quiero decir, Spectra

La historia tiene tintes hollywoodienses pero cuanto más leo de ella más me atrapa. Que soy un fan de las pelis de espías se ve en cuanto miras hacia una estantería y están todas las películas edición coleccionista de James Bond, las tiras de prensa originales, los libros e incluso los manuales de juego de Rol de James Bond.

Sí, los espías me atrapan. Estos que son capaces de inmiscuirse en las misiones más peligrosas con los ingenios más sofisticados. Esos que se construyen una doble identidad cada cierto día. Aun me acuerdo de mi gran “cagada” con ellos. Las misiones molan. Alias me atrapó tanto que hasta le dedicamos un Reto Hacking a la serie de espías.

Por eso, cuando apareció la historia en las noticias, me dejó cautivado. Muchos habréis visto en las noticias el intercambio de espías apresados que se hizo entre la antigua URSS y los USA. De película. Sin dar ninguna información extra del proceso negociador, se bajan unos tipos de un avión, se suben a otro y cada uno a su casa.

Hasta ese momento se sabía que 10 agentes rusos habían sido capturados, desenmascarados y deportados por espionaje, pero luego han aparecido algunos más. Entre ellos un ex empleado de Spectra que había sido Software Tester en la central de la compañía del Windows en Seattle. Al parecer, los rusos habían metido un equipo en los USA que querían instalar software con capacidades de espionaje, tal y como comenta Business Week en su artículo.

El agente que trabajaba en Spectra, según su página personal en Facebook (¿Será este el mismo Alexey Karetnikov?) había trabajado en una empresa llamada OOO Neobit que lista entre sus partners al Federal Security Service, ex KGB. Más tema para las redes sociales y los espías.
El caso es que el Andrey Bezrukov, uno de los miembros de la red de espías, estaba intentando colocar su software en empresas americanas para, según se sospecha, permitir el acceso a sus servidores desde Moscú. La historia tiene tintes dramáticos y recuerda a los episodios APT (Advance Permanent Threat) de Google con el gobierno Chino.

En medio de toda esta vorágine de noticas entre espionaje ruso y americano, Spectra ha llegado a un acuerdo con el gobierno ruso de compartición de código. Este acuerdo le permite a los miembros del gobierno de la antigua URSS inspeccionar el código de Windows 7 y Windows Server 2008. Este programa ya tienen entre sus miembros a muchos de los países “socios” de los Estados Unidos, tales como España, que disfruta de acceso al código de Windows, de Office y del software de virtualización.

La compartición de código con los rusos, para los más conspiranoicos es una atrocidad, pero Spectra hace primar la confianza de sus clientes a la paranoia. ¿Se sentirán cómodos muchos sectores militares del gobierno sabiendo que el código que corre en muchos de sus sistemas está en manos de los rusos? ¿A que suena a película de Bond?

Saludos Malignos!

lunes, julio 19, 2010

MITM https con Certificados Falsos a nivel de usuario en Firefox (3 de 3)

*********************************************************************************************
- MITM https con Certificados Falsos a nivel de usuario en Firefox (1 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (3 de 3)
Autor: Enrique Rando
*********************************************************************************************

Paso 3: Replicando el comportamiento (continuación)

Y ahora editemos el fichero prefs.js y añadamos o modifiquemos las líneas que configuran el Proxy:

user_pref("network.proxy.backup.ftp", "");
user_pref("network.proxy.backup.ftp_port", 0);
user_pref("network.proxy.backup.gopher", "");
user_pref("network.proxy.backup.gopher_port", 0);
user_pref("network.proxy.backup.socks", "");
user_pref("network.proxy.backup.socks_port", 0);
user_pref("network.proxy.backup.ssl", "");
user_pref("network.proxy.backup.ssl_port", 0);
user_pref("network.proxy.ftp", "192.168.192.168");
user_pref("network.proxy.ftp_port", 3128);
user_pref("network.proxy.gopher", "192.168.192.168");
user_pref("network.proxy.gopher_port", 3128);
user_pref("network.proxy.http", "192.168.192.168");
user_pref("network.proxy.http_port", 3128);
user_pref("network.proxy.share_proxy_settings", true);
user_pref("network.proxy.socks", "192.168.192.168");
user_pref("network.proxy.socks_port", 3128);
user_pref("network.proxy.ssl", "192.168.192.168");
user_pref("network.proxy.ssl_port", 3128);
user_pref("network.proxy.type", 1);


NOTA: habría que cambiar 192.168.192.168 por la IP del servidor proxy configurado en el Paso 1.


Figura 10: Cambios en prefs.js

Con estos cambios se modificaría la configuración del acceso a Internet de Firefox para que se conecte a través de nuestro proxy malvado y así podamos redirigirlo a nuestro sitio malicioso.

Y ahora sólo queda esperar a que el usuario infectado trate de visitar https://www.hotmail.com y, como era de esperar, Firefox acepta el certificado sin quejarse y permite que el proxy lleve al usuario a nuestro sitio malicioso a la primera.


Figura 11: Hotmail certificado mediante una excepción añadida manualmente

El usuario, confiado, no tiene razones para sospechar que ha sido engañado. Al fin y al cabo, está usando HTTPS y el navegador acepta el certificado. ¿No es eso lo que los “expertos” en seguridad (con y sin comillas) nos han venido diciendo desde hace años que hay que comprobar?

Y, si se desea, se pueden poner más líneas de excepciones con el mismo certificado en el cert_override.txt. Tantas como se desee y a nombre de los sitios que nos plazca. Basta con ir cambiando el nombre de equipo con el que comienza la línea.

Como virus, me siento más que realizado. Mi amo puede ahora realizar ataques de MITM para interceptar y descifrar el tráfico cifrado de su víctima. También puede realizar ataques de phishing a mansalva. Y todo ello sin ocasionar demasiadas molestias a sus víctimas.

Conclusiones

En nuestro ejemplo hemos añadido una excepción, pero sería cosa de probar y ver cómo añadir, por ejemplo, una entidad emisora raíz de confianza que ayudaría a hacer el ataque mucho más permanente.

Por otro lado las pruebas se han realizado usando Firefox sobre Windows, pero no debe existir demasiadas diferencias a la hora de atacar a víctimas con Linux o Mac y, posiblemente, también otros navegadores puedan sufrir de este tipo de sencillos ataques.

Finalmente, hay que tener en cuenta y recordar siempre que para estar a salvo no basta con usar cuentas sin privilegios. Eso sí, si consigues los de un administrador, tienes más fácil la redirección al sitio web falso: bastaría con modificar el fichero hosts de la víctima al old-fashined style. También te sería todo más sencillo si estás en condiciones de hacer un ARP-Poisoning. Todo ello, suponiendo que estás pensando en hacer cosas malas, que no creo que sea el caso.

En cuanto a la seguridad que nos ofrece SSL y HTTPS, sus garantías para la privacidad, etcétera, si es que confiáis aún en ellas.. mejor ¡Que tengáis suerte!

*********************************************************************************************
- MITM https con Certificados Falsos a nivel de usuario en Firefox (1 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (3 de 3)
*********************************************************************************************

domingo, julio 18, 2010

2 Semanas para Agosto y aún hay agenda

Estas dos semanas para Agosto dejan aun tiempo para seguir aprendiendo cosas. Así que, como yo no voy a estar parado, os paso la agenda de cosas de estos quince días que hay por delante.

El gran Silverhack, D. Juan Garrido Caballero, forense donde los haya, escritor del libro de "Análisis Forense en entornos Windows", después de rescatarle de su última misión, en la que ha estado 3 semanas a saco con hacking, vuelve a su redil para impartir, dos Virtual Hols de Análisis Forense a través de Internet. Si te gusta este tema y quieres aprender las técnicas de Análisis Forense, las tardes de esta semana son perfectas, porque desde tu casa u oficina, a través de Internet, recibirás a Silverhack en tu ordenador y podrás acceder a los equipos que ha montado a través de Escritorio Remoto para ir haciendo todas las prácticas. Tienes más información en los VHOLS: Análisis Forense I y Análsis Forense III

Switching, Firewalling & WiFi Seguras. El lunes por la tarde comienza en Valencia la semana de certificación D-Link en la UEM. Hay tres cursos en los que podrás montar V-Lans, configurar FW, ver las vulnerabilidades de las redes WiFi y montar sistemas seguos con RADIUS. Los partners D-Link, alumnos de la UEM o del III Curso de Verano tienen una subvención del 50% de descuento. Tienes más información en Azlan D-Link Academy Valencia.

Rubén Alonso, MVP de SharePoint 2010, escritor del blog Punto Compartido, impartirá un webcast dedicado a las novedades de SharePoint 2010 el jueves 22 por la mañana. Dura 1 hora y es totalmente gratuito, así que si trabajas con MOSS 2007 y quieres saber lo que se viene encima con MOSS 2010, este es tu momento. Tienes más info en la siguiente URL: Webcast Novedades MOSS 2010.

El Webcast de MOSS 2010 se completará con un Hands On Lab en Madrid, durante las tardes del día 21 y 22, sobre la implementación de soluciones de colaboración con MOSS 2010 y con dos Virtual HOLS la última semana de Julio sobre Workflow & procesos de negocio y sobre Desarrollo de Webparts.

Las últimas actividades en Julio a nivel profesional, antes de que comience el FTSAI 6 el día 10 de Septiembre, estarán destinadas en dos Hands On Lab en las oficinas de Spectra sobre Certificate Services y Servicios de escritorio remoto. Toda una despedida de Julio que completaremos con los posts en WindowsTécnico y Seguros con Forefront.

Mi agenda personal me llevará el Jueves 22 a la Euskal Encounter para dar una charla sobre Identidad en el correo electrónico y el día 24, Sábado, bajaré a la Tenerife Lan Party a dar una charleta con la FOCA. Ya en los USA, el día 28 llevaremos a la foquita al Arsenal event de la BlackHat USA 2010, el 30 y 31 tocará estar en la Defcon 18 y después ganar la HackCup con el FOCA Team para España.

Saludos Malignos!

sábado, julio 17, 2010

MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)

*********************************************************************************************
- MITM https con Certificados Falsos a nivel de usuario en Firefox (1 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (3 de 3)
Autor: Enrique Rando
*********************************************************************************************

Paso 2: Analizar los cambios en el equipo

La excepción que acabamos de añadir se almacena en el fichero de texto “cert_override.txt” que, en Windows XP, se almacena en:

%USERPROFILE%\Datos de programa\Mozilla\Firefox\Profiles\

En Windows 7, este fichero se encuentra situado en la ruta:

c:\users\\appdata\roaming\mozilla\firefox\profiles\


Figura 5: Fichero cert_override.txt en Windows 7

Si se desea obtener la información sobre los perfiles, se puede consultar el fichero:

%USERPROFILE%\Datos de programa\Mozilla\Firefox\profiles.ini

En el caso que nos ocupa, el fichero cert_override.txt quedó así:


Figura 6: cert_override.txt con excepción añadida

Si alguien desea saber qué campos componen las líneas del fichero, cómo se codifican, etc., puede obtener información en la web de Mozilla: Cert_Override.txt

De todos modos, para lo que vamos a hacer no necesitamos saber más, ya que será suficiente con clonar el comportamiento en la máquina víctima suponiendo el comportamiento que podría tener un malware. Exactamente. Imagina que eres un virus. O un programa que se ejecuta gracias a una vulnerabilidad del lector de PDF de turno. ¿Qué harías?

Paso 3: Replicando el comportamiento

Para poner las cosas aún más difíciles, supongamos que tienes que arreglártelas sin privilegios de administrador del sistema. O sea, como si fueras un usuario “pelao y mondao”. ¡Tú que en otros tiempos tenías los privilegios de un admin!

Con estos privilegios no puedes modificar los ficheros del sistema operativo, pero siempre podrás alterar los del perfil del usuario que pilló el malware. Y entre esos ficheros se encuentran los que configuran su perfil de Firefox.

En primer lugar, un malware podría consultar el fichero:

%USERPROFILE%\Datos de programa\Mozilla\Firefox\profiles.ini


Figura 7: Profiles.ini

Y ahora sabría que los ficheros de configuración del perfil de Firefox están en:

%USERPROFILE%\Datos de programa\Mozilla\Firefox\Profiles\98qmynwh.default

En esa carpeta hay muchos ficheros, pero dee ellos, al virus sólo le interesarían dos:

- cert_override.txt
- prefs.js

Vayamos por partes. En primer lugar, editemos el fichero cert_override.txt de nuestra víctima, de forma que acepte el certificado falso cuando visite https://www.hotmail.com.

Como ya vimos, en las pruebas que hicimos en el ordenador del atacante teníamos el siguiente fichero cert_override.txt


Figura 8: cert_override.txt. Se debe anotar el contenido de la tercera línea

En este ejemplo, la tercera línea es la que almacena la información de la excepción relativa al certificado utilizado por nuestro sitio, que queremos asociar al nombre de dominio www.hotmail.com, para completar algún bonito ataque MITM con suplantación de DNS, por ejemplo. Mientras que ese certificado no se cambie, esta línea habilita la conexión como de confianza debido a la excepción generada.

Si la víctima no tiene el fichero cert_override en su perfil, entonces deberá ser creado. Y ahora se añade al final de este archivo el contenido de nuestra línea de excepción, todo igual que la que obtuvimos antes, pero modificando el nombre del host de forma que nos valga para Hotmail:


Figura 9: cert_override.txt editado

*********************************************************************************************
- MITM https con Certificados Falsos a nivel de usuario en Firefox (1 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (3 de 3)
*********************************************************************************************

viernes, julio 16, 2010

Te han tangao

En un traslado en coche, por esas casualidades de la vida, llegó a mis odios una canción que tiene más de 10 años del grupo Tam Tam Go.


Después de escuchar la letra, no me estraña que las estafas por Internet - llamadas 911 [Nigeriano, Te aloviu, Tatocao la loto, etc...] - sigan siendo las número 1 en el mercado del Spam ni que la industria del malware lo siga teniendo tan fácil. Estos tíos vieron el vídeo de los Tam Tam Go y fueron unos visionarios del mercado.

Saludos Malignos!

jueves, julio 15, 2010

Te quiero como amig@

Sé que ninguno de vosotr@s ha oído nunca esta frase, pero se cuenta que cuando alguien te abandona se suele decir algo como eso. En mi época, esa justificación aun tenía un poco más de valor, pero hoy en día, con la gran cantidad de amigos que alguien tiene en su facebook, la pregunta que yo haría sería ¿y en qué lista me vas a meter? ¿podré seguir viendo las fotos de leopardesa que tienes en tus álbumes?

Pero no, no quería hablar hoy de Feisbuk y sus enecientos topics de seguridad que todos los días genera en los activos RSS de todo el mundo. Esta frase me la dijo José Antonio Bermejo, profesor de la Universidad de Almería - al que quiero agradecerle infinitamente que me invitara al Curso de Verano de la UAL -, a colación a un interesante debate interior que siente cuando un alumno le pregunta:

“¿Y cómo puedo yo aprender bien seguridad informática?”

Como él mismo dice, cuando les contesta: "Estudia y lee todo lo que puedas – además de las asignaturas de la universidad-" dice que la sensación que le queda es esa, que le está diciendo una frase del estilo a “te quiero como amigo”. Y nos preguntó: “¿Cómo se les puede ayudar mejor a todos esos jóvenes estudiantes que un día descubren que quieren aprender más de seguridad informática?”

Y… ahí está el debate. ¿Cómo orientar bien a alguien que empieza de cero?

Para contestar a esta pregunta he tenido que reflexionar durante horas y no he conseguido llegar a una respuesta clara. He revisado las respuestas que me dieron todos aquellos que sufrieron la misma pregunta en las entrevistas malignas y he repasado las actitudes de mis compañeros y amigos que se dedican a esto profesionalmente para ver si podía inferir algún patrón y la respuesta es…

..que si buscas un trabajo de 8 horas olvídate de la seguridad informática. Si ya has asumido que para trabajar de informático es necesario reciclarse continuamente para no quedarse en riesgo de exclusión de social, en el tema de la seguridad informática – a no ser que llegues a ser un CSO – te va a tocar currar muchas horas. Lo que pasa es que, para muchos de nosotros, estas horas no son trabajo, son hobby, y no nos damos cuenta de que estamos dedicándole más de 25 horas al día a esto.

Seguimos lo que hacen los amigos, leemos lo que escriben en las noticias y los trabajos de los compañeros, cuando comemos juntos comentamos anécdotas de lo que estamos haciendo, nos vamos de fiesta a conferencias de seguridad informática o cursos, dedicamos las vacaciones para aprender algo de seguridad informática y nos ponemos retos personales que tienen que ver con certificaciones, estudios, realización de herramientas, papers, blogs o pruebas técnicas.

Así que, sí, si quieres trabajar en seguridad informática asume que es un compromiso mayor y tendrás que vivir en seguridad informática y si no, ya sabes, quiere a la seguridad informática sólo como amiga.

¿Alguien quiere compartir su respuesta a esa pregunta?

Saludos Malignos!

miércoles, julio 14, 2010

MITM https con Certificados Falsos a nivel de usuario en Firefox (1 de 3)

*********************************************************************************************
- MITM https con Certificados Falsos a nivel de usuario en Firefox (1 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (3 de 3)
Autor: Enrique Rando
*********************************************************************************************

Estaba el otro día oyendo hablar sobre cómo los gobiernos pueden interceptar y descifrar el tráfico SSL y, en particular, el Http-S. Resumiendo, todo se trata de que llega el gobierno de turno a una Autoridad Emisora Raíz de Confianza y le dice "o me das un Certificado de Entidad Intermedia Emisora de Certificados o se te va a caer el pelo". Y, claro, cuando tu gobierno te pide las cosas con educación, hay que ser muy poco patriota para negarse.

Al final, ese gobierno podría emitir certificados a nombre de cualquier sitio web que se le ocurra. Y los navegadores aceptarían dichos certificados como válidos. El resto del ataque sería un MITM de los de toda la vida.

Pero como me cuesta mucho mantener la atención fija en una sola cosa, mientras escuchaba el programa mi cabeza se fue por los cerros de Úbeda. Y pensé en algo de lo que me extraña no haber oído antes en relación con los virus y el phishing:

Supongamos que tu ordenador ha pillado un virus. Y que el virus te modifica la configuración del navegador para que acepte un certificado falso para un banco. ¿Es posible que esto ocurra?. Esta técnica sería el complemento ideal para el malware que sigue realizando ataques a los ficheros hosts del sistema. Es decir, redirigir un dominio a otra IP y además certificarlo digitalmente.

Pues sí. Y no es necesario que el usuario atacado disponga de privilegios de administrador. En las siguientes pruebas se usó Firefox, que usa ficheros de texto plano para su configuración de excepciones ante errores de certificados, si bien las conclusiones que se obtengan posiblemente puedan aplicarse también al resto de los navegadores.

Para hacer la prueba, primero vamos a montar un entorno completo. En segundo lugar vamos a añadir una excepción al certificado en Firefox manualmente para, en tercer luegar, manipular el fichero de excepciones de la víctima y ver su funcionamiento. Como se podrá ver, el cliente usa Windows XP y las rutas a ficheros cambian en otros sistemas operativos, pero en esencia el funcioamiento es similar.

Paso 1: Preparar un servidor Web falso con http-s

Pueden encontrarse las instrucciones detalladas de cómo hacerlo con WampServer aquí. Como puede observarse en la imagen, el certificado que vamos a utilizar para certificar a este sitio es más falso que unos auriculares de todo a cien:


Figura 1: Certificado digital del sitio

Ni está firmado por ninguna autoridad reconocida ni se corresponde con ningún equipo ni dominio válido. Vamos, como para confiar en él.

Posteriormente se configura un servidor proxy que, cuando el usuario intenta acceder a www.hotmail.com le redirije al servidor web malicioso. Para ello se usa en este caso Squid. Resumiendo, en el fichero hosts de este servidor se asocia a www.hotmail.com la IP de nuestra web maliciosa. Después se indica al squid la ubicación del fichero hosts con una línea como sigue:

hosts_file c:/windows/system32/drivers/etc/hosts

Si el servidor squid sale a Internet a través de otro proxy, será necesario configurarlo mediante la directiva cache_peer. Después, será necesario indicarle que debe hacer una excepción con el sitio web a suplantar:

acl directamente dstdomain www.hotmail.com
always_direct allow directamente


En el equipo con el servidor web falso, arrancamos Firefox y navegamos a la URL https://localhost de la máquina para ver la excepción que se genera. Como es natural, Firefox se queja. Pero como toda queja merece atención, hacemos clic en "Entiendo los riesgos" y, después, en “Añadir excepción”.


Figura 2: Excepción de certificado digital

Puede observarse la causa de la queja: El certificado se corresponde con otro sitio web y, además no ha sido verificado por una autoridad reconocida. Poca cosa.


Figura 3: Error en el certificado digital

Ahora que hemos oído sus quejas, llegó el momento de decirle a Firefox: “Si no te fías, te aguantas”. Asegurándonos de tener activada la opción “Guardar esta excepción de manera permanente”, hacemos clic en “Confirmar excepción de Seguridad”. Y ya podemos ver el contenido de la web con https usando un certificado de palo malo. Hasta aquí nada nuevo bajo el sol.


Figura 4: Sitio web con https

La pregunta es, ¿qué ha cambiado por debajo Firefox para que ya no dé ningún mensaje de error más con este sitio? ¿dónde están los cambios? ¿Qué podría hacer un malware para conseguir el mismo objetivo con un ataque de pharming? ¿Se podrán hacer esos cambios sin ser administrador en el equipo?

*********************************************************************************************
- MITM https con Certificados Falsos a nivel de usuario en Firefox (1 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (3 de 3)
*********************************************************************************************

martes, julio 13, 2010

La muerte social de SSL en la banca

Moxie Marlinkspike, con SSLtrip demostró al mundo entero que era muy sencillo engañar a casi cualquier usuario que confía en https. No hacía falta ni a día de hoy la hace, que el exista un fallo en la evaluación de los certificados con un /0 tal y como presentó en la BlackHat del 2009, basta con utilizar algunas de las debilidades sociales del mismo.

¿Dónde está el cifrado?

Moxie presentaba muchos casos en los que el usuario debía confiar en que, tras pulsar un link que lleva a un javascript, se lanzase una conexión SSL. Vamos todo un salto de confianza al más puro Indiana Jones en “La última cruzada”. Es fácil encontrar casos así en la banca, pero, para llevarnos todos bien, sólo lo he puesto con un banco extranjero.


Figura 1: Salto de Fe con HSBC

Como se puede ver, la conexión es HTTP, cuando haces clic en logon salta un javascript que, posteriormente, llama a un Https. Vamos, que hay que hacer una auditoría a la web antes de jugársela. Algo que no hará, como dice Sergio de los Santos en el Curso de Verano, su madre.

¿Por qué este fallo es malo y el otro no?

La alerta de seguridad que se recibe cuando falla una de las tres comprobaciones del certificado de seguridad está pensada para técnicos pero no para mamás. Sergio nos hizo una sencilla demo, basta con pedir en algún banco legítimo la conexión https://mibanco.com. Lo curioso es que, aunque la mayoría de los bancos atienden cuando se solicita http://mibanco.com – sin poner un www - cuando recibe la petición por https generan un error. Esto es porque el certificado que están usando no soporta el wildcard.


Figura 2: Bank of America sin soporte para el dominio principal

El mensaje de error que se recibe es “Este certificado no está emitido para este nombre”. Un mensaje de error que no debería salir y que confunde a los usuarios, que recibirán la misma alerta, pero con el mensaje “este certificado está emitido por una entidad en la que no se confía”.

Las relaciones de confianza

Dan Kaminsky, el año pasado, hablaba del problema de la confianza. ¿Qué pasa si el certificado raíz de confianza es inseguro y puede suplantarse? Esto lo hizo Alex Sotirov con un certificado que estaba en MD5 y el mismo Dan mostraba como uno de los certificados de una de las entidades raíz de confianza permanecía en MD2.

La segunda pregunta es ¿qué le impide a una entidad de confianza intermedia firmar un dominio? La pregunta viene a colación de la censura en ciertos países. ¿Y si una entidad de confianza del gobierno chino firma www.gooogle.com/? Pues que el usuario no recibirá ninguna alerta pese a que el gobierno chino estuviera haciendo un man in the middle, ya que ellos tienen el certificado. Así que si te conectas a tu correo podrían leerlo. ¿Quién se sabe cuál es la entidad de certificación que eligió Google sin mirar el certificado ahora mismo?


Figura 3: Certificado sin validación extendida en American Bank

Y la última es, ¿y si un malware te instala un certificado de una entidad de confianza raíz en tu sistema? A partir de ese momento tus comunicaciones son texto plano. Enrique Rando se ha currado esta demo y os la pondré por aquí en breve.

El uso de certificados de validación extendida ayudaría un poco, sólo un poco más, a dar información al usuario para reconocer mejor si está en la conexión adecuada o no. Sin embargo aun no es masiva la proliferación de certificados de validación extendida en el mundo de la banca.

Sé que es difícil solventar todos estos problemas pero algunos bancos conocidos por casi todos, no se toman en serio esto de la seguridad y lo arreglan, en algunos casos, cargándoselo al usuario por “descuidado”, al mismo tiempo que algunos de ellos aun no tienen ni el registro SPF. Échale un ojo a tu banco, a ver que encuentras.

Todo esto, como decía Sergio de los Santos, le da ventaja al malware contra los usuarios.

Saludos Malignos!

PD: Os recuerdo que en Valencia todavía continuan las acciones hasta la semana que viene.

lunes, julio 12, 2010

Cerrado por Celebración

Hoy no hay post en El Lado Del Mal. Este blog hoy permanece cerrado por celebración. Ahí te quedan unas fotos que reflejan el sentir hoy.










Saludos Malignos!

domingo, julio 11, 2010

Mirando las cartas del poker con troyanos

Los bancos fueron los primeros objetivos en el uso de troyanos, pero desde hace ya algún tiempo no son los únicos. Hay un montón de otros servicios en Internet que pueden generar dinero, así que no es raro que la gente utilice los troyanos hasta para robar los personajes del WOW.

En este caso, la noticia es de una botnet utilizada para mirarle las cartas a los pobres jugadores que tenían la mala suerte de conectarse a jugar desde un ordenador infectado.

El grupo, que ya ha sido detenido, se dedicó a desplegar una botnet de 11.000 equipos por Korea del Sur. Parece ser que el software utilizado, llamado Netbot Attacker, había sido comprado a un hacker chino. Me congratula ver como los paises se hermanan y olvidan cualquier diferencia para hacer comercio juntos.

Los "piezas" detectaban que jugadores se estában conectando a alguno de los 700 casinos que controlaban para conectarse y jugar en la misma mesa que la víctima, pero, al mismo tiempo, viéndole las cartas. El día que se metan con los pobres compradores de comics online va a haber que ponerse serio, que ya no se respeta nada, ¡coño!

Al final, el negociete les reportó unos 45.000 dolares, pero el equipo de South Korea's Cyber Terror Response Center - ahí es nada el nombrecito - les ha puesto a la sombra. Tienes más información en Gaming Supermarket - Korean Poker Hackers Arrested. Viendo el panorama en le que primero fue un fallo criptográfico en el sistema de envío de cartas y ahora toca la llegada de las botnets, parece que la mejor opción para jugar al poker va a ser con los colegas mientras se fuma, bebe y se dicen tacos: Old-fashined way!

Saludos Malignos!

sábado, julio 10, 2010

Metasploit con Adobe Flash Player: Un ejemplo (3 de 3)

**********************************************************************************************
- Metasploit con Adobe Flash Player: Un ejemplo (I de III)
- Metasploit con Adobe Flash Player: Un ejemplo (II de III)
- Metasploit con Adobe Flash Player: Un ejemplo (III de III)
Autor: Bernabé Muñoz
**********************************************************************************************

Ahora se pueden aproverchar las características de meterpreter para por ejemplos hacer un volcado de las cuentas de usuario almacenadas en la maquina local junto con sus hashes. Para ello se puede mover el control al proceso de Winlogon en Windows XP para volcarlas así que, primero, tal y como se ve en la figura 12, con el comando ps se puede localizar el PID asociado al proceso winlogon.exe para saltar hacia él.


Figura 12: Listado de procesos con meterpreter

Con el comando migrate 952 se mueve el control de meterpreter al proceso de winlogon y, ejecutando el comando de dumpeado de hash se obtienen los hashes de las cuentas.


Figura 13: Migración al proceso de winlogon y volcado de hashes

El resto, es usar Ophcrak y crackear los hashes para obtener las contraseñas. Como se puede ver en la Figura 14, el coste en tiempo de sacar la password del administrador ha sido de 15 segundos y la contraseña no era demasiado sencilla, pero el almacenamiento de los hashes LM simplifican la tarea.


Figura 14: Crackeando los hashes con Ophcrack

Sin embargo, una vez dentro, con meterpreter se pueden hacer múltiples acciones, ya que ofrece un gran número herramientas. En este ejemplo se puede ver como se puede activar el sniffer en la red interna para capturar el tráfico que por allí circula.


Figura 15: Opciones de Sniffing

Como podéis observar nos permite volcar el resultado de las capturas a formato pcap, para posteriormente analizarlo con whireshark, xplico, etc… No es el propósito de este artículo explicar todas la funcionalidades de metasploit o meterpreter. El objetivo es solamente poner un granito de arena para que los administradores no bajéis la guardia. Está bien tener actualizado el sistema operativo, al antivirus, activo el firewall, etcétera, pero hoy es día no es suficiente con esto y hay que catalogar y planificar todas las actualizaciones de seguridad de las utilerías cargadas en las plataformas.

**********************************************************************************************
- Metasploit con Adobe Flash Player: Un ejemplo (I de III)
- Metasploit con Adobe Flash Player: Un ejemplo (II de III)
- Metasploit con Adobe Flash Player: Un ejemplo (III de III)
Autor: Bernabé Muñoz
**********************************************************************************************

Entradas populares