domingo, octubre 31, 2010

Nuevo status del Calendario Tórrido 2011

Dando vueltas voy consiguiendo que la gente pose para el Calendario Tórrido 2011 y, ya está casi completada la lista de meses. Os paso un quick update mientras que yo vuelo de regreso a Madrid.

Enero: Quest Team -> FOTO HECHA

Febrero: Marcelo Rivero de InfoSpyware y Diego Ferreiro -> FOTO HECHA

Marzo: RootedCON Staff -> Pendiente esta semana

Abril: Lorena “Burbuja”, Cristian Borghello, Alexav8 & Luciano Bello -> FOTO HECHA

Mayo: Mario Berdonces y Emilio Casbas y Arenino -> Pendiente

Junio: Pendiente de confirmación.

Julio: Nico Castellanos, SeiFreed y Tyler -> FOTO HECHA

Agosto: Rubén Santamarta -> FOTO HECHA

Septiembre: Dragon, de la comunidad DragonJar -> FOTO HECHA

Octubre: Niko "T-1000" -> FOTO HECHA

Noviembre: Pedro Sánchez, Igor y Juan Garrido “Silverhack” -> FOTO HECHA

Diciembre: Frikiñeka (que tiene nuevo blog), Vierito y Andor -> FOTO HECHA

Algunas de las fotos son para verlas. Creo que en alguna se me ha ido la mano, pero... seguro que nos reimos al final de esta historia. Estoy intentando que Ismael Elqudsi, Sebastián Muriel y Héctor Sánchez Montenegro se queden con el mes de Junio. Sebas y Héctor han dado el ok, pero me falta Ismael, así que esta semana voy a presionarle.

Si no consigo ese mes con estos tres pájaros, tendré que pensar alguna otra alternativa... ¿alguien que se quiera apuntar más? De momento la lista de destapes asciende a más de 20, así que va a estar concurrido. Además, tengo que pensar si ponemos portada o no... Le voy a dar una vuelta en la intimidad de la noche a ver que se me ocurre....

Saludos Malignos!

10 Negritos: Segunda Parte

- “Déjame que investigue por aquí y te llamo en unos minutos”, contesté y colgué el teléfono mientras observaba impávido la imagen.

Allí se encontraba más pálido que nunca nuestro amigo P.L., mirándome mientras empalidecía aún más por segundos. Mientras, el otro pobre que se había quedado sin excusa le observaba inquisitivo, con la ceja arqueada y mirándole con una cara de certeza que decía:

- "Si yo no he sido y sólo estamos tú y yo…”

En ese momento la situación ya parecía más que clara. Las señales así lo demostraban y todos habíamos centrado las miradas en él. Con una mirada un tanto nerviosa, nuestro amigo P.L. soltó una de las frases más míticas que aún se recuerdan por el SOCtano.

- “A ver, yo no he borrado nada. Yo sólo le lancé el Acunetix a la página web de David Bisbal porque había encontrado una vulnerabilidad en la web de Chenoa y había pensado que podía ser gracioso poner una noticia en cada página anunciando una reconciliación entre ambos”.

FAIL!

Mi mente pasó de la extrañeza del asunto a la fase 2, en la que tenía que aceptar que nos acabábamos de meter en un marronaco XXL con botas, 580 kilos y morlaco a más no poder. Sí, reconozco que el despido, la horca, la guillotina y el apaleamiento público en la plaza del pueblo también pasaron por mi turbado cerebro, pero rápidamente desestimé las ideas al no parecer útiles para sacarnos del pocito donde, en ese instante, teníamos metido los pies.

- “La madre que te…, ¿y ahora como lo solucionamos?”, dije yo.

Tras elucubrar durante unos infinitos instantes en los que los minutos corrían como si fueran segundos, saqué el teléfono y empecé a pedir favores para intentar que no pasara nada en el caso de que algo pasara. Lo siguiente que hice fue llamar por teléfono al mensajero de las malas nuevas para ver cómo estaban las cosas.

- “Hola, sí, soy yo, ya tengo la info. A ver, ¿cómo te lo explico?...”, empecé diciendo mientras a la velocidad del rayo intentaba urdir la mejor de las estratagemas para que no me matara.

- “… Verás, es tan inverosímil, que mejor te cuento lo que ha pasado y tú decides como podemos arreglarlo. Uno de mis chicos había encontrado un fallo en la web de Chenoa y quería buscar otro en la web de David Bisbal para poner una noticia en cada web con una reconciliación. Para hacerlo, no se le ocurrió la idea más brillante que lanzar Acunetix contra el servidor y… el resto ya te lo sabes...”, canté de plano.

Tras 3 interminables segundos de pausa escuche su respuesta:

- “¿Estás de coña? Jajajajajajajaja”, se descojonaba en mi odio. “Pues es una cagada enorme porque verás, en el log se puede leer que ha seguido todos los links en la web interna, a la que ha entrado el escáner con un ‘or ‘’=’ y los links son todos: noticia.asp?id=1&borrar=true y ha dejado la web límpia. Ni fotos, ni mensajes en el foro, ni noticias, ni nada de nada. ¿Y sabes lo más divertido Chema? Agárrate: ¡No hay copia de seguridad! Jajajaja”

GLUB!

Mientras él se descojonaba yo me ponía azul como un pitufo y miraba a P.L., que había pasado a un rojo ardiente, mientras se frotaba las sudorosas manos. El resto de los negritos, ya más relajados, no podía contener una risilla camuflada sobre la explicación de por qué había pasado esto.

Bien, el final de la historia es el siguiente. Tras 10 llamadas de teléfono, conseguimos que no hubiera ninguna acción judicial de por medio. A cambio, tuvimos que pagar la cagada con una auditoría de seguridad completa y enecientas peticiones de perdón. Por suerte, los datos se pudieron recuperar haciendo uso de herramientas de recovery del sistema y se pudo volver a poner en pie… “casi” todo.

La moraleja de la historia es que hay aplicaciones web tan mal diseñadas, que a veces se caen sin casi tocarlas. En esta historia fue el spidering de links que ser realizó en la zona interna. La aplicación, en lugar de tener las acciones como campos de formulario, que se pueden filtrar fácilmente en las configuraciones de los crawlers (“no seguir formularios”) para poner el modo más friendly posible, eran simples llamadas GET que el motor siguió.

P.L. y todos los presentes aprendieron la lección sobre qué hacer y qué no hacer en el trabajo y sobre cómo usar y cómo no usar un escáner. Como plan B, por si todo fallaba, habíamos pensado en echarle la culpa a un joven negrito que teníamos en prácticas de verano en la empresa, ya que tenía sólo 16 años y tal vez, por eso de ser menor…

Saludos Malignos!

sábado, octubre 30, 2010

10 Negritos: Primera Parte

Esta aventura es real como la vida misma y, en persona, la he contado muchas veces a amigos y conocidos pero, para mantener el anonimato del protagonista de esta historia, me vais a permitir que le llame Pobre Luser (P.L.) en lugar de utilizar su auténtico nombre.

La historia comienza cuando me llevo a una reunión de trabajo de desayuno al equipo del SOCtano, donde en una cafetería, compartiendo cafés, bollos y viandas, solemos organizar la faena y los planes a medio y largo plazo.

Allí andábamos metidos cuando recibo una llamada del director de seguridad de una gran empresa que, tras los cumplidos obligatorios de cómo estás, dónde te metes, a ver si nos vemos, te acuerdas de y esos menesteres, me lanza:

- “Verás Chema, es que te llamo por un asunto un poco raro. No sé qué sucede exactamente, pero David Bisbal es amigo de nuestro jefe, y le hizo la web una empresa a la que, nuestro jefe, por motivos de amistad, ayuda con el tema del nombre, el mantenimiento y eso. Y resulta que me han llamado preocupados porque se les ha borrado todo el contenido de la página web de David Bisbal y no tienen copia de seguridad. Lo extraño es, que mirando el log de conexiones, todas las conexiones vienen de una IP que pertenece a Informática64. ¿Sabes tú algo de esto?”

Sí, ya me imagino lo que estás pensando, pero es peor aún de lo que te estás imaginando. Aguanta un poco con la historia y entenderás la enjundia de esta historia más allá de lo que tienes ahora en mente.

Como podéis suponer, yo me giré, miré a mis compañeros que, automáticamente, y por la forma de mirarles, ya sabían que algo pasaba. Mi primer pensamiento fue más o menos el vuestro:

- “Recuerda Chema, tú no has sido, así que las posibilidades pueden será a) ha sido uno de los nuestros y b) ha sido uno de los nuestros”.

Le pedí que no colgara y le pregunté a mi equipo:

- “¿Por casualidad no se os habrá ocurrido hacer un Bobby tables a la web de Bisbi, no?”

Todos pusieron cara de poker, y se miraron entre sí extrañados.

- “¿Nosotros?” dijo alguno “con el curro que tenemos como para perder el tiempo”.

Pero aun así, como nos conocemos, se empezaron a mirar entre ellos pensando más o menos lo que yo había pensado al principio. “¿Habrá sido alguno de nosotros y no lo dice?”. Yo, proseguí con la llamada.

- “Oye, aquí me dicen que no han roto nada en la web de Bisbi, ¿me puedes dar las fechas del log?”, respondí.

- “Claro, Chema, déjame ver, a ver… las conexiones fueron el miércoles…”

Yo, me giré y les transmití, a los cinco compañeros que allí estaban, la información:

- “Dice que fue el miércoles”.

En ese momento, mis cinco compañeros se duplicaron, y se convirtieron en 10, en 10 negritos que iban borrándose del escenario del crimen.

- “Yo el miércoles no vine”, se apresuró a contestar uno de ellos raudo.

- “Yo tampoco”, contestó otro, que hasta tenía una sonrisa de relax, sabiéndose liberado de un posible marrón Triple-XL.

- “…miércoles… entre las 11:00 y las 11:30”, terminó de decirme, para que yo repitiera la misma información, mirando a los 6 negritos restantes.

A lo que otro saltó como si hemoal hubiera salvado su ciclo intestinal después de un largo periodo de sufrimiento:

- “ El miércoles llegué a las 12 que tuve la reunión con el cliente”

El cerco se estrechaba… (continurá)

Saludos Malignos!

viernes, octubre 29, 2010

Entrevista a Matías Vara: Creador de Toro Kernel

Una de las cosas fantásticas de viajar por las conferencias es conocer a gente genial. Es cierto, os podéis morir de envidia si queréis. En la última en la BugCON, además de charlar con Armin y Carlos, los dos pájaros encargados de mantener al BugCON, tuve la suerte de conocer a Matías Vara, un argentino entrañable, simpático, educado y brillante de 23 que con toda timidez se excusaba y preocupaba por no hablar de seguridad. "Es que yo sólo hice un kernel, y no vengo a hablar de seguridad".


Matías Vara, creador de Toro Kernel

Sí, la cara que se me quedó es la que podéis imaginar, así que, aparte de querer traérmelo para España al SOCtano, pasamos unas buenas horas tomando cervezas y habladon del kernel, de la comunidad, de los procesos de desarrollo, de como poder ganarse la vida haciendo el kernel, etc... Fue un descubrimiento, por lo que no pude resistirme a hacerle esta entrevista. Matías, eres un cráck!.

Saludos Malignos!


1.- Vale, esto tiene que tener algo de patológico… ¿cómo se acaba programando un kernel?

Bueno yo comencé programando desde muy chico, luego de pasar por muchos lenguajes y realizar aplicaciones simples llegué a una pregunta fundamental, ¿cómo funcionaba un S.O.?, eso me llevo a comenzar a estudiar acerca de Sistemas Operativos, cómo funcionaba internamente un micro, etc... Así me fue llevando mi curiosidad.

2.- Cuando te pregunté que si lo estabas haciendo en C y me dijiste que estabas hecho en Pascal, casi me caigo redondo. Cuéntanos ¿por qué Pascal?

Bueno, no tiene mucha explicación. Cuando se me ocurrió la idea de programar el kernel estaba utilizando Freepascal (compilador de Pascal), luego me dije: “Nadie ha escrito un S.O. en pascal, por qué no probar?”. Resultó que sin querer (como ocurren la mayoría de las cosas en la ciencia) PASCAL resultó ser un excelente lenguaje para el desarrollo del kernel. Primero desde el punto de vista académico, los algoritmos son fáciles de testear y esto es fundamental en un proyecto de estas magnitudes. Segundo, el compilador Freepascal no tiene nada que envidiarle al gcc. El resto queda en manos del programador, no vas a echarle la culpa al lenguaje porque hiciste un kernel que no funciona ;).

3.- ¿Qué has estudiado para llegar a construir un kernel?

Fundamental los manuales de desarrollo de Intel y AMD. Son unos librazos pero tienen todo lo necesario para conocer en profundidad los microprocesadores. Por otro lado, un terrible libro es el de Tanenbaum: “Sistemas Operativos, diseño e implementación”. Ese usa como ejemplo a Minix y al final incluye todo el código fuente. Otro lugar interesante es el código fuente de Linux. Su lectura es un poco tediosa pero se pueden obtener buenas ideas de allí.

4.- ¿Recibes apoyo económico por parte de alguna empresa interesada en tu kernel?

He recibido algún souvenir, pero nada importante. Es difícil transmitir la idea de TORO a la comunidad.

5.- ¿Por qué el nombre de Toro?

Hace un par de años te hubiera dicho porque quería algún animal que identificara mi país. Ahora me doy cuenta que eso es una justificación muy estúpida. Digamos que es porque sí.

6.- Siendo de la Plata y de Estudiantes, este año estarás feliz por ver al equipo puntero, pero… ¿ganará el torneo o habrá una caída al final?

Este año el león (así se llama a Estudiantes de La Plata) va a festejar!

7.- Compilas tu kernel en Windows, ¿por qué te decantaste por este sistema operativo para trabajar?

Bueno, no pensé mucho en el SO. Simplemente busqué la manera más simple de compilar el núcleo fácilmente. Actualmente toda la plataforma de desarrollo está sobre Windows Server 2003 x64.

8.- Y ahora… ya has acabado la ingeniería y Toro funciona pero, como siempre, es ampliable y mejorable… ¿vas a seguir con él o te vas a buscar otra ocupación?

Tengo muchas ganas de dedicarle el 100% de mi tiempo a TORO como lo había hecho antes de comenzar la Universidad. Nada mejor que hacer lo que uno le gusta.

9.- ¿Qué libros hay que leerse sí o sí para aprender a construir un kernel from scratch?

Fundamental el de Tanembaum, te abre la cabeza. Después es mucha imaginación y creatividad. Creo que eso es lo más divertido, el poder inventar métodos.

10.- ¿Te basaste en minix, Linux, hurd u otro kernel o como definiste la arquitectura?

Basicamente, saqué ideas de todos. Luego con papel y lápiz fui diseñando cada algoritmo, y finalmente lo pase a código.

11.- ¿Es compatible jugar al ordenador con programar a tan bajo nivel?

Creo que es perfectamente compatible, siempre y cuando no te pases 23hs por día jugando. Tienes que dedicar 4 o 5 horas por día al kernel para lograr avances. Particularmente no me gustan los juegos, no sé si tendrá que ver.

12.- Matías, este año no viniste a la Ekoparty, lo que es para matarte, ¿te animarás a enviar un paper para la del año que viene?

Prometido! no me dedico tanto a la seguridad así que no se si les gustará la idea de que arme una charla. De todos modos creo que podemos negociar el tema de conferencia. Me encantaría exponer allí.

13.- Y aparte de kernelear ¿qué libros de lectura no técnica te han gustado?

Bueno me gusta “El señor de los anillos”, de Filosofía, de Física. Últimamente estaba leyendo la correspondencia entre Einstein y Besso, ambos Físicos, muy interesante.

14.- ¿Crees que hay mercado en Argentina para el desarrollo de kernels?

No estoy seguro acerca del mercado. Creo que TORO puede cubrir una veta que actualmente está vacia, sin compentencia.

15.- ¿Y no ves factible, con el conocimiento de kernels que tienes, caer en el “lado chungo” y acabar haciendo exploits para Inmunity o Core?

Mmmmm, nunca se sabe. De todos modos no funciono en un entorno rutinario, terminaría no haciendo nada y yéndome.

16.- A ver, ahora algo serio… ¿qué hizo mal Argentina en el mundial para no ganar?

Jajjajajajja, más de uno me va a criticar, pero creo que tuvimos un DT pésimo. Y encima ese pulpo de mierda alemán!

17.- Eres de ingeniería y no de informática, ¿hay pique en la plata entre las facultades?

No hay pica directamente, pongámoslo así: Dos facultades que no realizan tareas independientes debido a que la ingeniería se complementa con la informática, en La Plata no existe ningún tipo de colaboración. No sé por qué es, creo que hay que dejar los egos de lado.

18.- Con la de dispositivos empotrados que hay… ¿te ves creando una empresa para intentar comercializar soluciones a medida?

Sí, creo que ese es el futuro de TORO. Hacer versiones del kernel TORO a medida. Estoy pensando portar TORO a arquitecturas ARM y a dispositivos como el BifferBoard.

19.- ¿Cuántas horas has invertido en la creación de Toro?

Comencé en el 2003 y hasta que empecé la facultad en el 2005 le dedicaba de 4 a 5 horas por día. Luego dedique cada vez menos tiempo por los estudios, ahora que egresé quiero ponerme a tiro de nuevo!

20.- Y la última, ¿recibes colaboración o hace falta gente que se anime a colaborar con Toro?

Bueno, siempre busqué colaboración, pero el desarrollo de un kernel no es una tarea muy gratificante. En general pasas mucho tiempo hasta que logras resultados y el proceso de compilación+debug resulta bastante tedioso (estoy trabajando en este momento para que sea mucho más rápido y simple). Esto ha provocado que el desarrollo del kernel no sea una tarea muy popular. De todas formas hay otras actividades relacionadas con el proyecto como: el sitio web, escritura de manuales, traducción del blog al inglés, etc… Cualquier interesado se puede poner en contacto conmigo a través del sitio de TORO: http://www.torokernel.org

Siempre estoy escuchando y prestando atención a los comentarios de la comunidad. En general me encuentro bastante solo en el desarrollo por eso cualquier duda siempre es muy bien recibida.

jueves, octubre 28, 2010

Un XSS en Tuenti que permitía hacer hijacking

Existía un fallo de Cross-Site Scripting (XSS) en la web de tuenti dentro del módulo de reto de juegos a través del chat con el que se podían realizar ataques de Hijacking para robarle la cookie de sesión, y por tanto la cuenta a los usuarios con que estuvieras chateando. Como nosotros somos tipos buenos, les avisamos y nos invitaron a tomar un bonito café en sus instalaciones para que se lo contasemos. Tras una rápida reunión, que esto es bastante sencillo de entender, lo arreglaron. Como ya está resuelto, os dejamos aquí la explicación del fallo que tenía.

XSS en Tuenti

Tuenti dispone de un sistema de juegos entre usuarios, los cuales pueden ‘retarse’ a través de un sistema de chat, como se ve en la siguiente captura donde un usuario reta a otro a jugar a ‘Poolstastic’.


Figura 1: Reto de juegos por chat

Para la explotación de esta vulnerabilidad utilizaremos el navegador Chrome, debido a que permite la modificación del código en runtime. Para ello debemos expandir el menú de juegos, seleccionar uno, en este ejemplo Poolstastic, y hacer botón derecho sobre el botón jugar, pulsando posteriormente sobre ‘Inspeccionar elemento’.


Figura 2: Inspeccionar elemento

Analizando el código, vemos que el botón ‘Jugar’ contiene un atributo llamado ‘gamename’ el cual almacena el nombre del juego al cual se quiere retar.


Figura 3: Nombre del juego en el elemento

Si existe la posibilidad de modificar el nombre del juego, nos permitirá realizar la inclusión de código javascript en el dominio de tuenti.com, pudiendo de este podo tomar el control total de la cuenta a atacar. Para probarlo modificaremos el atributo gamename inyectando el siguiente código:

[div style='top:0px;left:0px;height:100%;position:fixed;width:100%;'
onmouseover='alert(document.cookie);'[/div]”



Figura 4: Inyección de XSS en el atributo nombre

En cuanto el usuario atacado reciba el mensaje, se le ejecutará dicho código javascript, mostrando en este caso su cookie por pantalla.


Figura 5: Ejecución de código XSS sin interacción con el usuario

Esta prueba de concepto, que descubrió el gran Manu "The Sur", permitía tomar el control total de la cuenta. El resto era sencillo, inyectar un código que capture la cookie de sesión, la envíe a un servidor controlado, ponerte la cookie robada y acceder a la cuenta logeada del usuario. Un Hijacking clásico. Por suerte para todos, la gente de Tuenti, que se portó muy bien con nosotros, arregló ya este fallo.

Saludos Malignos!

miércoles, octubre 27, 2010

Noviembre 2010

Antes de que acabe el mes de Octubre, todavía quedan pediente mis charlas en México y la realización el jueves de ForoSI online de Segu-Info. Sin embargo, ya toca ir pensando en el calendario de actividades de Noviembre, así que aquí os pongo las cosas que tenemos por delante.

Semana 1

03 - Madrid: C.E.U.S. VI [G]
03 - Madrid: Análisis Forense: Windows Logs
03 - UEM: Jornadas de Ciberamenazas y ciberdefensa [G]
04 - Madrid: Quest Tecno-Heroes [G] Con visita al Bernabeu
04 - UEM: Jornadas de Ciberamenazas y ciberdefensa [*] [G]
04 - Madrid: Análisis Forense: Prepara tu empresa

Semana 2

10 - Online: Análisis Forense correo electrónico Exchange
10 - Madrid: Análisis Forense: Malware
10-11 - Online: Exchange Server 2010 Service Pack 1
10-11 - Madrid: Análisis Forense: Red
11 - Online: Hardening Exchange Server 2010
12 - Madrid: Análisis Forense: Memoria RAM

Semana 3

15 - Madrid: Seguridad de los menores en las redes sociales [G]
15 - Madrid: Sharepoint 2010: Arquitectura e implementación
15-16 - Madrid: Sharepoint 2010: Servicios de Búsqueda e indexación
16 - Madrid: Sharepoint 2010: Hardening
16 - Online: Learning FOCA & Get FOCA PRO 2.5.5 (Español) [*]
17 - Madrid: Sharepoint 2010: Colaboración
17 - Madrid: Identidad en el correo electrónico [G] [*]
17-18 - Madrid: Sharepoint 2010: Business Intelligence
18 - Madrid: Sharepoint 2010: Content Management
18 - Pamplona: Ciberseguridad [*]
19 - Madrid: Sharepoint 2010: Workflow y procesos de negocio
19 - Móstoles: FTSAI 6: Web Security [*]

Semana 4

22 - Madrid: D-Link Academy: DL01 - Networking
22 - Madrid: D-Link Academy: DL05 - Videovigilancia IP
23 - Online: Enterprise Security con Forefront Technologies
23 - Madrid: D-Link Academy: DL04 - Tecnología WiFi
23-24 - Online: Forefront Endpoint Protection 2010 (beta)
24 - Online: Forefront Protection 2010 for Exchange
24 - Madrid: D-Link Academy: DL03 - Tecnología Switching
25 - Online: Forefront Protection 2010 for SharePoint
25 - Online: Learning FOCA & Get FOCA PRO 2.5.5 (inglés) [*]
25-26 - Madrid: D-Link Academy: DL02 - Tecnología Firewalling

Semana 5

29 - Madrid: Windows Server 2008 R2: Implementing
29 - Madrid: Windows Server 2008 R2: Network Services
29-30 - Praga CoNfiDence 2.0 [*]
30 - Madrid: Windows Server 2008 R2: Active Directory
30 - Madrid: DISI 2010 [G]

Os he puesto [*] en las que voy a estar yo y [G] en las que son gratuitas.

Saludos Malignos!

martes, octubre 26, 2010

Version.bind: ¿All o TXT?

En el post dedicado a Version.bind, el proceso de acceder a la información de este registro se basa en una consulta a registros tipo TXT y parece que funciona correctamente, pero sin embargo, nuestro amgio @CyberSeQrity nos alertaba de que no le funcionaba bien con TXT y que iba mejor con tipo ALL.

Lo cierto es que el registro debería ser tipo TXT pero haciendo pruebas en múltiples servidores DNS se puede acceder a que las consultas tipo TXT están bloqueadas haciendo que no se pueda obtener, a priori ese valor. Sin embargo, basta con solicitar el registro con un consulta tipo All y se obtiene el valor del registro. En la siguiente captura se puede ver como al consultar por el registro version.bind en el servidor ns1.renfe.es se obtiene un bonito time-out.


Figura 1: Con queries TXT se obtiene un time-out

Sin embargo, con cambiar a la consulta a tipo ALL se obtiene el valor del registro.


Figura 2: Con una query tipo ALL se accede al valor

Sencillo, pero eficaz. Así suelen ser estas cosas.

Saludos Malignos!

lunes, octubre 25, 2010

Enterprise Spoofing para captar mulas

En los tiempos de crisis que corren las ofertas para trabajar de muleros para las mafias se multiplican. Esto podría significar un incremento en el número de personas que están dispuestas a realizar este tipo de trabajos pero lo cierto es que el volumen de información de que disponen las personas ha aumentado mucho. El trabajo de mulero ya es muy conocido y las consecuencias también, por lo que debe estar costando conseguir a "nuevos empleados".

Debido a esta situación, es curioso este e-mail que se está enviando con una oferta de empleo a tiempo parcial. No es la primera vez que recibo una oferta de trabajo para el extranjero, así que la leí y rápidamente me di cuenta de que algo no encajaba. Sí, ya lo habéis visto, el mail es de geocities es bastante sospechoso.


Lo cierto es que el mail es aparente y además la empresa existe, con lo que el engaño es un poco más elaborado. En la mayoría de los ejemplos de muleros la empresa suele ser más falsa que un euro de madera, pero en este caso la empresa existe, y es cierto, se dedica a buscar gente que quiera trabajar a tiempo parcial.


Por el contrario, la dirección del email, acabada en .kg te lleva a un dominio más falso que judas que sólo sirve para dar cobertura a esta campaña de captación de muleros.


Lo siento, la cosa sigue mal.

Saludos Malignos!

domingo, octubre 24, 2010

Asegúr@IT Camp 2 is over

Se acabó el Asegúr@IT Camp 2 y casi acaba conmigo. El viernes me castigué un poco con el "Tochuelo" y el sábado no me dejó mucho tiempo libre tras tener que comenzar como "traductor de libre traducción" en la primera charla de la mañana, dar una charla con la FOCA sobre 3G y otra sobre XSS Google persistentes baneados, además de ceder mi portátil a Niko.... pero me ha molado mucho, mucho.

El tener que estar tan ocupado con todo me dejó un poco desconcentrado y es por eso, y sólo por eso, que no gané el campeonato de futbolín internacional. Sin embargo, fue un detalle por parte de uno de los campeones el regalarme 3 litros de orujo de café casero (Manu... iloviu!!).

Además, la noche del sábado, con la llegada de Yago (SbD), la actuación estelar de Silverhack contando un chiste, engrandecido, en el restaurante, y las copas varias en las cabañas y discoteca, dejaron un "nightworking" (como dicen los Community Managers) muy salvaje.

En fin, que ha molado, y que nos vemos en el Asegúr@IT Camp 3!, pero yo ahora me voy a hacer un napworking que necesito reconstituyente en vena.

Saludos Malignos!

sábado, octubre 23, 2010

DISI 2010: Resérvate el 30 de Noviembre

El próximo 30 de Noviembre, como el 30 de Noviembre de los últimos 5 años hacia atrás, tendrá lugar el Día Internacional de la Seguridad Informática con la presencia de el criptógrafo Taher Elgamal, que creó los principios de lo que se convertiría en el DSA (Digital Signature Algorithm) adoptado por el NIST como el DSS (Digital Signature Standar).

Además, la conferencia contará con dos coloquios, dedicados a:

Esquema Nacional de Seguridad

- Chelo Malagón de IRIS, CERT.
- Eduardo Carozo de CSIRT ANTEL.
- Javier Candau de CCN CERT.
- Marcos Gómez Hidalgo de INTECO CERT.

Ataques a Infraestructuras Críticas

- Héctor Sánchez Montenegro,de Microsoft.
- Juan Luís G. Rambla de Informática64.
- David Barroso de S21Sec.
- Rubén Santamarta de Wintercore.


Aquí tienes el cartel, y puedes registrarte en la web de Capdesi.

Saludos Malignos!

viernes, octubre 22, 2010

Loki está libre

Una de las charlas que más me gustó en Black Hat USA 2010 fue la de los ataques Man in The Middle en protocolos de comunicaciones por medio de Loki. Esta herramienta es hija de Dani Mende, miembro de ENRW, la empresa que hostea la fantástica conferencia Troopers en Alemania.


La herramienta es un entorno de ataques mitm para algunos protocolos de red muy comunes, como OSPF, RIP, VRRP o EIGRP. En ella, una de las cosas que más se ha depurado ha sido el interfaz de usuario. A pesar de que en la presentación usaron un chiste con GUI (Girls Use Interfaces), la tool, que sólo está disponible para sistemas Linux (Ubuntu, Gentoo), tiene un cuidado y organizado interfaz para que su utilización sea muy cómoda.

Ahora ya está disponible y es posible acceder a la presentación, los ejecutables y el código fuente de la herramienta desde la página web de ENRW. Dentro de la página web hay publicados unos vídeos con las demos de ataques a OSPF, VRRP y EIGRP que os he subido a Youtube para que podáis verlos de un plumazo.






Saludos Malignos!

jueves, octubre 21, 2010

Reutilización de contraseñas

En una de las listas de correo que monitorizo por RSS sobre seguridad web se montó un buen debate recientemente a raíz de la tira XKCD que ironizaba sobre lo fácil que es conquistar el mundo a partir de la incapacidad de los usuarios de recordar passwords nuevas o passwords distintas.

La idea es que muchos usuarios, especialmente los menos avezados técnicamente, en muchos servicios, especialmente en aquellos en los que se solicita un correo electrónico como usuario, introducen contraseñas que son:

a) Predecibles: Como el famoso fuck.facebook, fuck.twitter, fuck.gmail del no menos famoso Dan Kaminsky.

b) Reutilizadas: Que ya se ha usado en otro servicio o en otra cuenta. Es un single sign-on creado por el propio usuario.

c) La del correo: Algunos usuarios, especialmente en los servicios que usan la dirección de correo como usuario, al solicitar la página de creación de cuenta el correo electronico y la contraseña, asumen que la contraseña que deben poner es la de su correo y la ponen.

La tira xkcd explicaba como ser el amo del mundo a base de estos fallos. La idea es tan tonta como crear algún servicio molón en el que se pida usuario y contraseña. Símplemente, probando estas contraseñas en los servicios más populares podrías conseguir acceder a un montón de identidades. Un robo, sencillo pero eficaz.



A evitar este problema no ayudan, para nada, todas esas herramientas 2.0 que conectan tu twitter con tu facebook con tu linkedin con tu granja de animales con tu club de fans en el periodico de tu barrido, donde "realmente" se pide tu contraseña.

La alternativa que se ofrece a esto es el uso de sistemas Single-sign on con sistemas centralizados de autenticación. Y a mí esto me acojona también un poco ya que, basta con perder la contraseña de tu cuenta de Google y cae todo lo asociado a ella pero no lo de Windows Live. Pero si usamos una password que autentique en Google, Windows Live, correo corporativo, etc... Alguien te la roba... y adiós identidad en Internet. Además,... ¿estamos seguros de que los sistemas de autenticación descentralizados en Internet ofrecen suficientes garantías a la privacidad de mis cuentas o cuando alguien se enfade en las altas esferas perderé mi "avatar"?

Al final, a día de hoy, en la gestión de la identidad, y con la proliferación de servicios en Internet que tenemos, estamos jodidos....

Saludos Malignos!

miércoles, octubre 20, 2010

Version.bind

Con la nueva vista clasificación orientada a roles que se está poniendo a la FOCA PRO 2.5.5, y que en breve estará en la FOCA FREE 2.5.5, estamos añadiendo pruebas de fingerpriting por roles de servidores. Una de las pruebas que se va a poner nueva es la de consultar el registro de la versión de BIND en los servidores DNS.

Este registro, de tipo TXT guarda información sobre la última actualización aplicacada en el famoso servidor DNS de Bind. Para acceder a ella es suficiente con conectarse al servidor y preguntar por el registro tal y como se ve en la siguiente imagen.

Figura 1: Información de versión de Bind en Realidadfutura.com

Este registro puede ser útil para conocer si un determinado servidor se encuentra desactualizado o, como en el caso de menéame, para descubrir una política de versiones descordinada. En la que los servidores tienen diferentes niveles de actualización.


Figura 2: Version Bind en ns0.meneame.net


Figura 3: Version Bind en ns0.meneame.net

O también sirve para descubrir que los chicos de RedHat tienen un buen sentido del humor:


Figura 4: Información en RedHat. Ahora vas y lo cuentas

Saludos Malignos!

martes, octubre 19, 2010

Próxima Estación: México

Sí, la próxima semana, el mismo día que acaba el Asegúr@IT Camp 2, y si nada se interpone (y el amigo Hugo Teso no pasa cerca de Barajas) pondré rumbo a México. Esta es la agenda de mi estancia allí.

27 de Octubre: BugCON en México D.F.

Las conferencias duran 3 días, pero yo sólo estaré allí el primero, junto con Pedro Sánchez. Impartiré la misma charla que di en la Ekoparty: "Pentesting Driven by FOCA". Página oficial de BugCON.

28 de Octubre: XV Simposium de Informática en Toluca

Exactamente al mismo tiempo que la BugCON, tiene lugar en la Universidad de Toluca el XV Simposium de Informática donde, entre otros, estarán Marcelo Rivero de InfoSpyware, Pedro Sánchez de Conexión Inversa y Diego Ferreiro, este gallego único que es capaz de ganar un campeonato de poker en Las Vegas, tocar la trompeta en un pub un miércoles en A Coruña, matarme con una furgoneta, intentar suicidarse con ella, meter la pierna para trabajar en Yahoo! o salir en "Españoles por el mundo" en un reportaje sobre las becas Erasmus. Vamos, un cráck. Página oficial del XV Simposium de Toluca.

29 de Octubre: Taller de PenTesting with FOCA

Este último día daré un training de la FOCA en Toluca igual que el que impartí en la Ekoparty. Será de una jornada de duración y será mi último día de trabajo en México. Depués tocará retornar a la "Tierra prometida". Página del Training de Pentesting with FOCA.

Si vas a estar en alguna de estas actividades nos veremos. ¡¡¡Hugo Sánchez Rulez!!!

Saludos Malignos!

Premios Bitácoras 2010: Blog de Seguridad

Quedan unos pocos días, y ya no puedo resistirme más a escribir un post sobre esto. Además, sé que muchos lo estabais deseando. Antes de empezar a dar guerra y echar “mala baba” al asunto, voy a dejar claro que si hay un premio, sea de lo que sea, me lo merezco yo. Ahora que ha quedado claro que no hay segundas intenciones ya que las primeras están a la vista, vamos con lo que quería decir.

En la cuarta y última lista previa, antes de que salga la lista de ganadores, este blog está en tercera posición. La misma posición en la que estaba en la lista previa anterior, sólo que por detrás de otro blog, ya que es el segundo es el único que ha cambiado. Lo cierto es que esta votación se hace con votos de la gente, con lo que no tienes ni que presentarte, así que muy bien. Ya que estamos en la lista, vamos al grano.

Lo curioso de esta lista es que se supone que es de blogs de seguridad, así que, nada más mirar a los 10 primeros está claro que algo falla, pues están Genbeta y La Ciudad de los Krispis. No voy a hacer el chiste fácil de Genpeta, a pesar de la peta que tuve con Víctor Pimentel sobre un post en el que demostró sus "puntos de fuerza" para estar en la categoría de seguridad (y de que no aprendiera nada del debate y mira que yo insistí, pero nada), pero hay más gente currando allí y no voy a decir nada más. Sólo dejo el comentario éste de twitter que me hizo mucha gracia.

En cuanto a la Kriptopolimorfondulitis, la cosa me sorprende aún más, ya que primero no quiso participar y luego querían que les votaran, tal y como representa este twitt para enamarcar que hizo que me comprara las compresas esas que anunciaba la Concha Velasco para perdidas esporádicas.


Ese blog, que debió haber pegado el pelotazo en la época en que un portal de toros o uno de vinos se vendían por un potosí y no lo hizo, no ha dejado de hacer “hamijos” a lo largo del tiempo, entre profesionales de la seguridad, con los que va dejando buenos recuerdos, con sus antiguos colaboradores, que no hacen más que hablar “maravillas” o los gigantes como Google que le llevaron a llorar por las esquinas y con el que, después de tantos devaneos, insultos y actos de insurgencia para la galería a los César Alierta, acabó abriendo los brazos a su publicidad (¿no quieres que te ayudemos a poner un robots.txt en tu bló?).

Lo cierto es que Kripto¿qué? y su admin, que por el bien de la comunidad hace mucho que no comparte esos maravillosos scripts que creaba para descargar ISOS, esas fortificaciones de sistemas, ni brillantes estudios (este también es bueno y vamos, ni contaros cuando perdió el Ctrl+Alt+Supr), ni los comentarios manipulados (es gracioso, si no le gustaba el link que ponías, cambiaba el link y mantenía el comentario reformulado, que conozco a dos personas a las que se lo hizo), ni comentarios borrados (un hax0r me contó el truco para poder publicar comentarios en kriptopolis): “Por el bien de la comunidad y el libre pensamiento”.

En fin, que si queréis mi opinión debéis votar a El lado del Mal, por supuesto, que yo también voy a compartir el premio con la comunidad… de alguna manera, en cuanto me entere cuál es el jodido premio que va a compartir el hamijo. Eso sí, asumiendo que queréis votar, DE VERDAD, a buenos blogs de seguridad en lugar de a Kriptopoalgo, aquí van mis recomendaciones (He tenido que esforzarme para hacer una lista de SÓLO 10 blogs de seguridad mejores que Kriptopolis hoy en día):

- Security By Default
- Comunidad DragonJar
- InfoSpyware
- SpamLoco
- Conexión Inversa
- SecurityArtWork
- 48 bits
- S21Sec
- Laboratorio de Hispasec


Y para el 10, con dos cojones, creo que son mejor hasta los nuestros de Seguridad Apple o Seguros con Forefront.

En fin, que VOTA si crees que hay que poner las cosas en su sitio.

Saludos Malignos!

lunes, octubre 18, 2010

Calendario Tórrido 2011: Algunas fotos

Sé que estáis impacientes por el ver a los hax0rs tecnológicos de la lista (más @areino que me lo dejé fuera en la planificación anterior) en paños menores para ir pasando mes a mes las páginas del año 2011 con una sonrisa. No os preocupéis, la cosa va avanzando.

Aquí tenéis 3 fotos reducidas (¡comprad el calendario cuando esté listo) para que veías como va a quedar:

Con Internet Viajo ligero de equipaje
DargonJAR


¿Es o no es Firefox más sexy para Hax0rs?
ANDOR, Frikiñeka, Vierito5


Debian P0wning Maligno
Luciano Bello, Alexav8, Christian Borghello, Lorena aka "Burbuja"


El resto de las fotos se están haciendo. Preparaos para este miércoles los chicos de Barna para la foto y este fin de semana los que venís al Asegúr@IT Camp 2.

Saludos Malignos!

PD: La artístia que deja las fotos así es @Kuasar. 1 Gb de gracias!

domingo, octubre 17, 2010

Lectores inesperados

Cuando me levanto por las mañanas, o me meto en la cama por las noches, pensando en qué voy a escribir en El lado del mal siempre lo hago pensando en mí. Sí, soy un egoísta que piensa realmente en qué me gustaría leer. Si no me divierte leerlo, entonces no me divierte escribirlo.

No sé si esa sensación de que me lo estoy pasando bien escribiendo traspasa el corto espacio que hay entre mi equipo y yo, y os llega en forma de etiqueta HTML o emoticón o, simplemente, sois capaces de imaginarme según leéis el texto del post, pero os juro que me lo estoy pasando bien cuando escribo.

Es por eso que, cuando conozco a alguien que me dice: “me encanta leer tu blog por las mañanas, me divierto mucho”, lo primero que pienso es: “¡Mira tú!, ¡un freak como yo al que le molan estas cosas de dar por saco!”. Sí, rápidamente proyecto la imagen que tengo de mí mismo para poner en el cuerpo de esa persona mis inquietudes. Sin demora le busco las aficiones geek, sci-fi, el mundo del comic o la crapulez mundana que me invade. En muchas ocasiones acierto, y es una alma gemela en alguno o muchos aspectos. Pero no siempre es así.

Con el tiempo me he encontrado en el camino con personas que me han dicho “te leo porque le diste caña a mi novio públicamente y me hizo mucha gracia como lo hiciste, desde entonces te leo siempre” o “no te lo vas a creer, pero mi madre, todos los días, lee tu blog mientras desayuna” (Manu está bien, está durmiendo conmigo que compartimos habitación esta noche) o la última de ayer “le dije a mi hijo que quería conocer al Maligno, que junto con 48bits son los dos blogs con los que más me divierto”.

Ninguna de esas personas son personas de fuertes destrezas técnicas, ninguna de esas personas viene a leer este blog por que un día me dé un arrebato de cólera y me cepille una cosa, ponga algo técnico o explique las novedades de la FOCA.

Todas ellas leen este blog porque, según ellas, “les entretiene y les divierte”. Ellos deben ser capaces de leer esas metatags que no están en el código HTML y que transmiten que yo me lo paso genial escribiendo y haciendo mis cosas. Las perciben de alguna manera, como cuando yo leo a mis amigos, que soy capaz de imaginarlos mientras lo escribian.

A todos esos lectores inesperados, a ti, que me lees desde hace años sin decir nada, a ti, que me lees para saber cómo estoy porque doy pocas señales de vida, a ti, que me lees porque de vez en cuando hablo de tu hijo, a ti, que me lees porque te hacen gracia las apiroladas que se me pasan por la cabeza, a ti, que me lees porque un día me encontraste por casualidad y te “enganchaste”, a ti, que sigues ahí después de 10 años, sólo puedo decirte gracias. Me llena aún más este blog al saber que estás ahí.

Saludos Malignos!

sábado, octubre 16, 2010

Cámaras de Seguridad por Oscuridad

Dicen que si el sistema de protección de tu activo se basa sólo en que otros no conocen dónde está la puerta o cómo está hecho estás jodido. Eso es a lo que se denomina como "Seguridad por Oscuridad".

En nuestro mundo informático, se suele utilizar el término de seguridad por oscuridad a proteger tu software por no dar el código fuente o cambiar las configuraciones por defecto para ocultar un servicio.

Es cierto que sí tu sistema de seguridad se basa SÓLO en la oscuridad es una mierda, pero yo creo que ocultar el puerto de un servicio puede ayudar a evitar los ataques masivos o a los visitantes curiosos, tal y como recomendaba la Guía para securizar casas cuando las dejas sólas.

En este caso, me picó la curiosidad de saber lo que la gente oculta en los servidores web que configuran por el puerto 81, así que realicé unos escaneos con el nmap para descubrir puertos 81 abiertos en unos segmentos de red y la sorpresa fue que en el 99,99% de los sitios que encontré había... Cámaras de Seguridad.






Este es un TPV




Como se puede ver, todas de su padre y de su madre, cada una de un modelo distinto. Creo que no encontré ninguna repetida. Además, como era de esperar, muchas de ellas con las configuraciones por defecto y con esas passwords que no se deben poner nunca.


Y, la última me encantó, porque para entrar con ella no tienes que usar las passwords que no se deben poner nunca, ni tan siquiera buscar la guía de la cámara en Internet. Basta con mirar en la ayuda.






Creo que tras esta pequeña prueba se puede concluir que el Well-Known de las cámaras de seguridad es el puerto 81.

Saludos Malignos!

viernes, octubre 15, 2010

Charlista

En muchas ocasiones voy justo de tiempo... vale, casi siempre voy justo de tiempo. Esto es porque me apunto a todas las charlas a las que me invitan... vale, a casi todas las que me invitan. Para demostrar esto, os dejo aquí el material de alguna de las charlas.

Vídeo de Connection String Attacks en Defcon 18


Presentación de "Apadrina un Malware"
(Bolivia/Argentina/Perú)


Training de Learn About FOCA 2.5.5


Si tardo en contestarte un mail, no me crucifiques, que siempre es porque estoy dando una charla... vale, casi siempre.

Saludos Malignos!

jueves, octubre 14, 2010

Llegan NocONName & Asegúr@IT Camp 2

La semana que viene ya está a tiro de piedra, y con ella la llegada de la No cON Name 2010 y el Asegúr@IT Camp 2. Así que aprovecho para dejaros un status de la información que tengo de ambos.

No cON Name 2010

El lunes y el martes hay 3 trainings de Análisis Forense de Red, que ya está lleno, Técnicas de Inyección en Aplicaciones Web, que doy yo y le quedan libres 3 plazas, y Seguridad Wifi que da Sergio González.

Las charlas ya se han publicado, y hay un elenco de buenos ponentes en la lista. La entrada cuesta poca pasta, así que que el dinero, que es para pagar la sala no sea tu impedimento.

Yo haré una quedada para salir de copi.. de debate la noche del miércoles, así que si quieres venirte a la quedada, ponme un mail }:))

Asegúr@IT Camp 2

Justo el fin de semana después de la NCN tendremos el Asegúr@IT Camp 2. Ya están todos los bungalows que reservamos llenos, así que va a ser una fiesta. Sin embargo, si quieres venirte, aún se puede gestionar algún hueco en el evento. Para que sea más fácil gestionar los huecos, se ha sacado un bono descuento del 20% "Bungalow last minute" para que si vienes en grupo sea más fácil encontrar ese hueco.

Además, está confirmado que haremos un campeonato de Futbolín Internacional, que Iñaki Ayucar se traerá el simulador SIMAX para que lo pruebes, que habrá camisetas de la FOCA para todos los asistentes, que hay un pase de día (con camiseta incluida) para los qu quieran venir sólo a las conferencias y un montón de buenas charlas con Pedró Sánchez, César Moros de Quest, un taller antimalware de Bitdefender, una sesión FOCA, José Bonín de Spectra y su IE9 y, además, Nikotxan nos enseñará cosicas nuevas y hará dibujos de Cálico a todos, (cuando consigamos que se levante de la cama). ¡Regístrate y nos vemos en el Asegúr@IT Camp 2!.

Saludos Malignos!

miércoles, octubre 13, 2010

Un Mac Corner como Dios manda

Pues eso, que cuando vi los pantallotes del Internet Corner del hotel pensé:

"Horror, ahora a ver en ese tecladito como me apaño yo para juankearlo para poner un David Hasselhoff al Mac éste".

Sin embargo, cuando vi que tenía Internet Explorer ya no quise hacerlo.


Así deberían ser todos los Mac Corners, con Windows.

Saludos Malignos!

martes, octubre 12, 2010

Usuarios de Mac OS X que comparten C$

Desde que estoy participando en Seguridad Apple estoy descubriendo un mundo divertido. Me lo estoy pasando como un niño con zapatos nuevos y en este periodo de tiempo, he llegado a una conclusión: Pobres usuarios de Mac OS X.

No, no me refiero a los que saben manejar el equipo, sino a todos aquellos que han comprado eso de que si tienes Mac OS X no te tienes que preocupar de malware, de troyanos, de ataques, etc... Debido a esto, es común encontrarse equipos Mac OS X sin antivirus, antimalware y lo peor, con usuarios confiados de que están a salvo sólo por comprarse un Mac Book Pro.

Así, después de ver que el 22% de las vulnerabilidades estaban sin solución, según Secunia, y tras ver que ya estaba en muchos kits de infección, como Black Hole o Eleonore, esto debía ser una fiesta.

Así que nada, aprovechando que estoy en un hotel y en unas conferencias donde hay muchos usuarios con Mac OS X, vamos a ver la preocupación que hay por posibles ataques en sus equipos.

Descubrir Mac OS X en la red local

Para descubrir los Mac, lo más sencillo es mirar las direcciones Mac del Mac. Sí, parece un trabalenguas, pero es tan fácil como que la mayoría del hardware Apple usa tarjetas de red fabricadas por ellos, así que basta con mirar la dirección MAC y mirar el fabricante. Para no complicarme, un escaneo con Cain y listo.


Figura 1: Equipos Apple conectados en la red local

Descubrir Mac OS X en Internet por AFP

Otra de las cuestiones que se me vino a la cabeza fue descubrir los Mac OS X que estén directamente conectados a Internet y que se encuentren como los Windows 98 y Windows Me, es decir, compartiendo las carpetas para todo el mundo en Internet.

Normalemte la gente escanea los recursos compartidos SMB, pero en esta ocasión decidí escanear las carpetas compartidas por AFP, es decir, el protocolo de compartición de archivos por red de Apple. AFP utliza el puerto 548, así que, para descubrir si hay equipos expuesto, basta con realizar un sencillo escaneo con nmap en rangos de operadoras en España y listo.


Figura 2: Escaneando redes con nmap en busca de AFP

Sorprendentemente, el número de equipos que apareció con la compartición de archivos habilitada para Internet es mucho mayor de lo que me pude imaginar al principio.


Figura 3: AFP habilitado para Internet

La conexión a los recursos

Estuve buscando un cliente AFP para Windows que me permitiera explorar los recursos compartidos en un Mac OS X a partir de una dirección IP, pero no encontre la herramienta que me satisfaciera, así que, nada, basta con utilizar un Mac OS X y buscar las carpetas, a ver que pasa.

En algunos no hay suerte, pero podemos descubrir información del equipo y siempre se puede esperar que no tengan actualizado el protocolo AFP.


Figura 4: Mac OS X con carpetas compartidas en Internet pero protegida

En otros, la cosa es bastante más sencilla, porque está habilitado el usuario Invitado, como en los Windows antaño.


Figura 5: Usuario invitado habilitado

Y basta con sentirse como tal, es decir, como un invitado, y entrar al equipo.


Figura 6: Carpetas compartidas en ese equipo

El número de equipos así es alto, y te puedes pasar el día de fiesta en fiesta, de "invitación en invitación".


Figura 7: Usuario invitado habilitado de nuevo

Y dentro, las carpetas compartidas:


Figura 8: Dos carpetas compartidas

Y dentro, pues lo que compartan, en este caso películas. ¿Llamamos a la SGAE o por tener Road Trip merece algo peor?


Figura 9: Contenido interno

¿A quién le recuerda esta situación a la época de los c$ compartidos en Internet?

Saludos Malignos!

lunes, octubre 11, 2010

3 blogs de Seguridad que me gustan

Sigo más de 100 blogs, y muchos de ellos ya los conocéis seguro, como Conexión Inversa, DragonJar, Pentester, Security By Default, SpamLoco, hackplayers o Cyberhades. Pero hoy os voya dejar 3 de seguridad que creo que no tienen demasiados seguidores y sí que tienen muy buena calidad.

- Seguridad y Redes: Es la página personal de Alfon y ha estado escribiendo un montón de artículos sobre el filtrado de tráfico de red para su posterior análisis. Actualmente tiene 15 seguidores en el Reader y un montón de artículos técnicos de red. Me gusta.

- El Blog de Taddong: Tras escribir años en RaDaJo, la empresa Taddong Security nació para dedicarse a temas de seguridad e investigación. Han estado realizando un trabajo muy chulo en seguridad en dispositivos móviles y sus post en el blog de la compañía, aunque son en inglés, son geniales. Me gusta.

UPDATE: Los investigadores de Taddong imparten cursos de seguridad GSM/UMTS en Madrid, Valencia y Barcelona, en español e inglés a los que puedes apuntarte.

- Malware Intelligence: Es un blog que he descubierto hace poco. Ha estado publicando artículos sobre kits de exploiting, análisis de malware, paneles de control, etc... Está en español y bien escrito. Me gusta.

Creo que a ninguno de estos tres los he visto en la lista de los premios bitácoras de seguridad, y sin embargo tienen mucho más derecho que algunos que están en el top 10 de los premios bitácoras.

No creo que ganen, pero si alguno de vosotros descubre algo en ellos, seguro que será un premio para los autores. Por otra parte, si tenéis alguna perlita que queráis compartir, por favor hacedlo.

Saludos Malignos!

domingo, octubre 10, 2010

La fiesta de la Hispanidad en Perú

Llega el puente de la Hispanidad, y esta vez, en lugar de estar en España celebrando con mi madre Pilar su santo, voy a estar en Perú celebrando la concesión del Premio Nobel a Don Mario Vargas Llosa.

Bueno, eso y dando unas charlas. El lunes 11 y el martes 12 tienen lugar en Lima las conferencias FIRST con dos días de charlas espectaculares a las que he tenido la suerte de ser invitado. Me han pedido que repita la charla que impartí en la Ekoparty, así que intentaré que sea todo igual, igual... pero con algún toque nuevo.

Aprovechando que estoy allí, y antes de regresar el miércoles por la tarde, voy a dar un par de charlas con Bitdefender sobre malware. Estas conferencias son gratuitas para todo el mundo y tendrán lugar en la Universidad de San Ignacio de Loyola. Para asistir debes enviar un mail. Tienes más información sobre la agenda y el proceso de registro en las noticias de i64.

Por último, no puedo ir muy cargado, así que sólo me llevo 5 libros de Análisis Forense y 5 camisetas de la FOCA de tallas M, L y XL. Lo siento pero no podía ir tan cargado como a la Ekoparty.

Saludos Malignos!

sábado, octubre 09, 2010

Fingerprinting SQL Server

Uno de los fallos de seguridad más tontos que ha tenido a lo largo de su historia el motor SQL Server de Microsoft fue de configuración por defecto. La posibilidad de poder instalar los motores con el usuario sa como administrador por defecto, y poder dejarlo sin contraseña, hizo que los ataques buscando el puerto 1433 proliferaran por doquier.

Cuando ayer vi que se había publicado una herramienta que hace fingerprinting en SQL Server pensé que para probarla iba a tener que montar un entorno, ya que, erróneamente, supuse que todo el mundo habría capado el puerto 1433 de SQL Server y no habría ningún servidor expuesto a Internet que tuviera abierto este puerto.

Sin embargo, como con nmap se pueden escanear grandes rangos sin despeinarse, decidí probar suerte en mis rangos de red vecinales. Y sí, encontré muchos más servidores SQL Server expuestos a Internet que lo que previamente mal-supuse. Obtuve varios ejemplos con un sencillo y rápido:

nmap -p 1433 83.60.0.0/16 -Pn -n

La herramienta para hacer fingerprinting a SQL Server se llama Exploit Next Generation SQL Fingerprint. Tendrá licencia GPLv3, y su funcionamiento es muy sencillo. Basta con darle la dirección IP y esperar resultados.



Figura 1: SQL Server 2000 SP3a


Figura 2: SQL Server no detectado. Han filtrado las pruebas


Figura 3: SQL Server 2000 SP4

También me llamó la atención encontrar muchos SQL Servers antiguos. Pensé que encontraría versiones más modernas, pero esas deben estar detrás de firewalls como Dios manda.

Con la nueva reorientación basada en roles para FOCA, tal vez vayamos incorporando este tipo de soluciones cuando se catalogue un servidor con un determinado rol, así que si conoceís cosas que os molen del estilo, pasádnoslas.

Saludos Malignos!

viernes, octubre 08, 2010

No pretende ser un flame, pero ...

Ya sabéis, pues ha corrido como la pólvora, que se ha cancelado la Open Source World Conference de Málaga por falta de financiación. Aprovechando este hecho, y otros sucedidos en los alrededores ideológicos de este movimiento me gustaría autoreflexionar de lo que no me gusta y, lo que a mi punto de vista son unas cagadas en OS/SL en relación a este mundo tecnológico que es la Informática.

SUN, gracias por haber existido

Recientemente Oracle, tras fagocitar a una de las compañías que más he admirado en mi juventud y que más apoyó el Open Source y el Software “Libre”, ha demostrado que el modelo de negocio que planteó en torno al OS y el SL no está preparado para la economía voraz y ciega del capitalismo actual. Oracle se ha comido la compañía a bocados, ha masticado a todos los que se han opuesto a su modelo, tragándose los proyectos y las personas que puede rentabilizar, y escupiendo lo que sobraba, en forma de “forks”. Los que se queden, y no se integren en el cuerpo robusto de Oracle, serán eliminados por la vía de atrás en este proceso digestivo que es la compra del Sol.

Pueblinex, la distro de mi pueblo

En España no sólo existió la corrupción en el sector inmobiliario. No sólo los concejales de vivienda de muchos ayuntamientos en España se llenaron los bolsillos a manos llenas con la especulación urbanística. Hubo otra clase de corruptos que espero que también se investigue. Europa, intentando luchar contra la “brecha tecnológica” que tenían muchas regiones de este desigual viejo continente, destinó un montón de plata/pasta/guita/leuros para un proyecto ambicioso llamado “Ciudades Digitales” de un gran espíritu comunitario y bontio. El proyecto entregó a los ayuntamientos una dotación de mucha pasta para ayudar a potenciar la presencia digital de la ciudad y acercarse mejor a sus ciudadanos.

¿Y qué hicieron muchos políticos? Pues dar concesiones a empresas, algunas de dudosa reputación, historia, valía técnica y solvencia, para hacer, con dos cojones y un palito: Un Sistema Operativo para mi pueblo.

Un montón de pasta que, salvo honrosas empecinadas excepciones, sustentadas al límite por la pasta pública de todos los ciudadanos por aquello del “sostenello y no enmendallo” se fueron al puto garete o al obstracismo del olvido. ¿Dónde están las decenas de distribuciones que se crearon en todos los pueblos y comunidades autonómas de España? ¿Quién las usa? ¿Dónde está años después la brecha digital? Cataplinex, la distribución para tocar los huevos, o Monix, la creada para ganar pasta, se han ido con gran parte del dinero de aquellos proyectos sin generar un negocio local real ni recortar la brecha digital.

Viejas Modas

Decía Joaquín Sabina una frase que resume el sentir en la sociedad “repatriados de Ibiza que dejaron de ser jóvenes pero no de ser palizas” con respecto a la moda. A ese carro de idealismo tecnológico se subió un montón de gente porque estaba de moda y que hoy disfruta de su Mac OS, su iPhone y su IPOD. ¿Dónde está el código abierto? ¿La libertad? ¿Dónde está la interoperatibilidad? No es cool. Quiero mi iPAD.

Libertad

Esta es una de mis quejas más recurrentes. El uso de la palabra LIBERTAD. Esta palabra es tan grande y significa tanto en nuestra sociedad que la gente MATA y MUERE por libertad. El dotar a un producto de software para hacer facturas con la capacidad mágica de darte la LIBERTAD me parece una fábula malévola que lo único que hace es extender los límites del debate sobre 4 reglas (al más puro estilo de las que creó el gran Asimov) hasta un punto en el que se puede MATAR o MORIR.

¡En nombre de la LIBERTAD moriré hasta tener el código fuente del osfactura-e 2.0!

Nuevos líderes

Que quede claro que entiendo el espíritu Open Source y el del Software “Libre”. Entiendo cuando alguien me explica que lo que quiere es que se comparta el conocimiento, que se eliminen las barreras legales capitalistas que hacen que las multinacionales defiendan su existencia a lo largo del tiempo en base a leyes que las protegen. Entiendo cuando dicen que es un motivo ético. Me gusta incluso los que siguen esos ideales de verdad, sin hacer de esto una guerra de buenos y malos sino una elección personal, como el gran Luciano Bello.

Es el mismo entendimiento que tengo cuando voy a un restaurante con David Carrasco, vegetariano de pro, y me cuenta por qué eligió esa opción. Joder, la entiendo y la respeto. O cuando se me cae la cara de vergüenza compartiendo un viaje a Philadelphia con un chaval Sevillano que se pagaba el viaje para cruzar USA y bajar hasta México donde iba a dedicar todo su mes de vacaciones trabajando en guetos con chavales. Me siento hasta mal por estar en ese mismo viaje para ir a Las Vegas y por no hacer más por la sociedad.

Todos ellos, Luciano, David Carrasco o el chaval de Sevilla, me ponen los puntos sobre las i. Me enseñan, me educan, me hacen reflexionar para intentar ser mejor persona y no “los otros”. Los líderes de cartón piedra que han querido imponer y no escuchar. Esos que imponen sus normas en “Software Libre” y comen carne en sus vacaciones a cuerpo de rey en un complejo turístico mientras contaminan el medio ambiente con su coche de multinacional americano (o BMW) de Gasolina y 120 CV. Intolerancia en nombre de la Libertad.

Bajo mi punto de vista, hacen falta nuevos líderes que cambien el lenguaje y pontencien el espíritu..

Saludos Malignos!

jueves, octubre 07, 2010

Ataque de David Hasselhoff R.A.T.

Con ganas de robar sonrisas, apareció la remota idea de incorporar lo que es sin duda el ataque más infame y desagradable que puede sufrir un usuario delante de su PC, ahora incluso sin la escusa de abandonar el equipo y no bloquear sesión. Nació el ataque David Hasselhoff para RATs, podremos disfrutar una vez más del cambio de fondo de escritorio del conocido personaje de Los Vigilantes de la Playa a merced de un botón desde el control remoto de un troyano de la comunidad de indetectables, que anda en actual desarrollo por nuestro miembro P0is0n.

Bueno, dejemos a un lado el estilo tele-tienda y os explicaré un poco por encima con unas capturas como se configura de fácil este RAT. En primera instancia, deberemos de ejecutar el cliente de IndSocket RAT y aceptar los términos de uso bajo sus responsabilidades, una vez hecho este paso se abrirá nuestro cliente.


Figura :1 Arrancado IndSocket RAT

Nos dirigiremos a la parte superior del ListView, donde haremos clic sobre la pestaña Builder, de esta manera configuraremos el servidor que será nuestro cliente remoto.


Figura 2: Creando el servidor

Como vemos en la imagen anterior, tenemos diferentes opciones de configuración del servidor, la conexión es inversa, con lo cual en IP, rellenaremos dependiendo de si nos encontramos en una red local o externa, nuestra IP privada o pública y de si la conexión del remoto es desde fuera, tener configurado nuestro router con la NAT apuntando a nuestra IP local, con el puerto de configuración que aparece en la caja de texto abierto. En nombre pondremos algo que nos salga de corazón, para identificar con facilidad el servidor que conecta y en la parte baja a la izquierda contamos con las configuraciones típicas de auto-inicio y copia del servidor en el sistema, de la que comentaré sobre la opción de “Pack Executable(Less Size)”, que utilizará UPX como método de compresión del ejecutable, si esta opción está marcada, nos será imposible encriptar el servidor final.

Nos quedará pinchar sobre el botón “Build Server”, para completar el proceso de creación, momento seguido elegiremos un nombre para el ejecutable y guardarlo.


Figura 3: Servidor creado correctamente

En mi caso, probaré a infectar una máquina virtual con Windows 7, ya que la tecnología del malware también actualiza sus Service Packs de vez en cuando, aunque sigamos tirando de Visual Basic.


Figura 4: Escritorio de la víctima

Ejecutaremos el Server.exe que trae con sigo el icono de la reliquia Coolvives RAT y volveremos a nuestro PC real, para observar la conexión que se creará en cuestión de segundos.


Figura 5: Conexión desde el cliente

A simple vista tenemos multitud de datos que envía el servidor, así como versión del sistema operativo, ram del equipo, procesador o ventana activa que el remoto utiliza. Hagamos un clic con botón derecho para ver el desplegable de funciones que este nos ofrece.

Trae un gran número de funcionalidades en las que no me dentendré a explicar de forma individual, para no alimentar demasiado el ansia de los leyentes por ver a nuestro protagonista, de tal manera que iremos directamente a la opción de “Fun Options”.


Figura 6: Fun Options

Aquí veremos las típicas bromas que recordarán a troyanos más antiguos, donde había menos malicia y más picardía, como abrir o cerrar los lectores, incluso de crear un falso pantallazo azul, para recordar los buenos momentos que nos hicieron pasar con la presentación del 98.


Figura 7: Opción de ataque David Hasselhoff

Ya hemos visto en un botón bien grande nuestra opción en cuestión, así que nos quedará presionarla con ímpetu e imaginarnos la cara del usuario en remoto o activar su WebCam y verla a tiempo real, seguro tendremos una carcajada asegurada.


Figura 8: David Hasselhoff te mira

4n0nym0us ^^

Entradas populares