lunes, enero 31, 2011

DigiFOCA parte 1

Durante este mes se le está pegando un buen empujón a lo que será la nueva versión de la FOCA, que tiene que estar Up & Working para sus próximas citas en la Hackon#6, el taller de las Jornadas de Seguridad de A Coruña, el RootedLab de la FOCA, los trainings online y su visita a la Troopers de este año. Entre las cosas nuevas que se le han añadido se encuentran:

Búsqueda de documentos por dominio

Para solventar el problema de los Huge Domains, la FOCA ahora tiene, por cada dominio, la opción de buscar documentos. Con esto, por cada dominio se pueden buscar todos los ficheros, que automáticamente se añadirían a la parte de descarga de documentos. Es decir, ahora la parte de metadatos alimenta la parte de de búsqueda de servidores, y la parte de búsqueda de servidores alimenta los metadatos.


Figura 1: Búsqueda de ficheros por dominio

Crawling por Google ... y por Bing

Ahora, en un dominio, cuando se realiza la búsqueda de URLs indexadas, se hace con Bing además de hacerse con Google.


Figura 2: Crawling por Google y Bing

Búsqueda de servicios proxy habilitados

Esta opción se quedará solo en la versión Pro y, por cada servidor trata de hacer una conexión a través de un servicio proxy en la máquina.


Figura 3: Opciones de búsqueda de servicios proxy habilitados

Vista de Roles

Esta opción, que hasta el momento estaba solo en la versión Pro va a pasar a la versión Free, para poder tener los equipos descubiertos clasificados e ir lanzándole nuevas opciones de fingerprinting o exploiting. En el caso de los servicos DNS se busca la versión con version.bind y si tiene activada la caché de DNS para hacer DNS Cache Snooping. En los de FTP se busca el banner también.


Figura 4: Vista de Roles

Vista de vulnerabilidades

Seguir el log es un poco lento, incluso con los filtros de severidad, así que hemos añadido una vista de Vulnerabilidades que clasifica la información en un árbol, para hacer mucho más fácil la navegación. Solo en version Pro por el momento.


Figura 5: Vista de posibles vulnerabilidades

El fuzzer

Esta herramienta la teníamos en la versión Private, pero ahora va a pasar a la versión Pro de la FOCA. Por cada dominio y directorio realiza una búsqueda de ficheros generados a partir de una base de datos de nombres de ficheros, un conjunto de extensiones y el nombre de los ficheros descubiertos. Algo reducido similar a lo que hace Wikto.


Figura 6: Opción de Fuzzer a un directorio

Ya os iré contando el resto de opciones y la fecha de liberación de la versión FOCA free. La Pro se la regalaremos a los asistentes del RootedLab y los trainins online de la FOCA.

Saludos Malignos!

domingo, enero 30, 2011

Lo que más se hackea...

El otro día tuve la ocasión de descojonarme un rato viendo al gran Silverhack en acción realizando un conferencia en la Universidad Rey Juan Carlos. En ella, comenzó haciendo unos chistes geniales con Google, en los que buscaba cosas con el servicio de Instant search activado y salían resultados tronchantes.

El caso es que, el servicio Instant Search, sirve para ver qué es lo que más busca la gente relativo a las palabras que estás escribiendo y, por ejemplo, puedes ver qué es lo que más hackean a los usuarios.


Como se puede ver, el correo, el hotmail, el feisbuk, el tuenti - ¡cuánto daño ha hecho el firesheep! -, el msn, el ordenador completo, el Joomla..., etc... la cosa está que arde.

Por otro lado, me ha hecho ilusión ver que hay tres nuevas especies de FOCA entre las cadenas más buscadas de Google en España. ¡Cuánta sabiduría popular!


Saludos Malignos!

sábado, enero 29, 2011

Examínate este fin de semana

A mís pobres y sufridos alumnos del Master Universitario de Seguridad en Tecnologías de la Información y las Comunicaciones les he hecho sufrir un poco ayer con un "bonito exámen". Si te apetece probar, dale caña.

1.- Describe en que consiste un ataque XSS no-persistente, un entorno en el que se pueda encontrar esta vulnerabilidad y cómo puede ser utilizado para distribuir malware.

2.- Describe tres medidas que conozcas para evitar que los ataques de XSS no persistente tengan efecto.

3.- Describe en qué consiste un ataque de Cross-Site Request Forgery.

4.- Si una aplicación muestra un mensaje de Error ODBC de un servidor SQL Server, ¿qué sistema de ataque puede utilizarse para extraer información de la base de datos?

5.- Se ha encontrado una vulnerabilidad en una aplicación web de SQL Injection en la que si se pone una inyección SQL correcta sale la página de una noticia y, si se comete algún error sintáctico o semántico, el programador ha capturado la excepción y muestra una página genérica de error. Si se quiere realizar un ataque SQL Injection de tipo inboud, describe el proceso que habría que seguir para construir la inyección correcta.

6.- Dentro de los ataques inboud, explica en qué consisten los ataques de Serialized SQL Injection.

7.- Una aplicación web en PHP con MySQL es vulnerable a SQL injection pero no se pueden realizar ataques inbound y los errores de base de datos están capturados. Se quiere extraer la versión de mysql realizando un ataque de Blind SQL injection. Describe el proceso que habría que realizar.

8.- Describe en qué consisten los ataques de Time-Based Blind SQL Injection y cómo pueden realizarse.

9.- En una aplicación web, la aplicación autentica a los usuarios con un árbol LDAP, para ello, cada usuario tiene un atributo uid y un atributo password. El programador ha filtrado el * y utiliza la función crypt antes de usar la contraseña en una consulta AND LDAP como ésta.

V_username: valor de usuario introducido en la página web por el cliente.
V_passwd: valor de contraseña intoducido en la página web por el cliente.
C_passwd =crypt(v_passwd)

Consulta que da acceso o no a la aplicación:
(&(uid=+v_username+)(password=+c_passwd+))

¿Con qué inyección LDAP conseguirías entrar si la se está utilizando un árbol LDAP basado en OpenLDAP?

10.- En una aplicación web se sabe que el parámetro id se inyecta en una consulta AND LDAP. Se quiere extraer el valor del atributo objetclass de todos los objetos afectados por esta consulta. ¿Cómo realizarías el proceso con un ataque Blind LDAP Injection?


Si no eres capaz de hacerlo y te gustaría saber como van estas cosas, yo te enseño, como "amor y abrazos" en el próximo RootedLab que voy dar de Técnicas de Inyección en Aplicaciones Web. Y si se te ha quedado corto, puedes hacerte el exámen del año pasado.

Saludos Malignos!

viernes, enero 28, 2011

Fin de Fiesta en Sevilla

El próximo miércoles, día 2 de Febrero, tendrá lugar el último evento de la Gira Up To Secure 2011 en Sevilla. Hace 3 semanas que estamos en la carretera pasando por las distintas ciudades que elegimos para esta Tournette que ya llega a su fin y, como siempre, han quedado muchas anecdotas - algún día escribiré un libro de estas cosas -.

Las previsiones de asistentes a la gira han sobrepasado todas las expectativas iniciales y por eso quiero agradeceros, a los más de 1.000 que ya habéis venido, el que consiguiéseis robar ese tiempo a vuesta agenda que sabemos que cada vez es más complicado pedir la mañana libre en el trabajo o apartarse los quehaceres diarios.

El último evento de la Gira, el de Sevilla, ya tenía el registro cerrado, porque habíamos alcanzado el límite de registro, pero anoche decidimos cambiarnos a una sala de 350 personas, por lo que se han habilitado 150 plazas más y, si no pudiste guardar tu sitio, ahora si puedes. Tendrá lugar en la Universidad de Sevilla, en el salón de actos de la Facultad de Informática, es decir, donde siempre lo hacemos.

Después de este evento pondremos publicadas todas las diapositivas y las grabaciones que se han hecho de algunas sesiones, en cuanto la gente de Eventos-Creativos nos tenga todo preparado.

Una vez más, y en nombre también de Quest Software, Bitdefender, Telefónica, Spectra, Zendal Backup e Informática64, a todos los que habéis asistido, mil gracias que vengáis y por la comprensión que tenéis cuando os muevo de sitio, os hago hacer cola o lanzo chistes malos. Os espero en el Up to Secure 2012.

Saludos Malignos!

jueves, enero 27, 2011

Otro listing más

La verdad es que no hemos mirado bien cómo coño ha llegado esto a estos servidores, y tengo que darle más vuelta. Tal vez sea algo conocido por todos y sea muy sencillo de explicar, así que si sabes la respuesta, pon un comentario y me ahorras el trabajo de buscar el origen del problema.

El caso es que uno de los compañeros, el de Huelva, había encontrado que un servidor devolvía el listado de todos los ficheros de un directorio cuanod pedía un fichero .listing, pero no sabía la razón.

Como era .listing, le dije: "¡Coño!, Google lo va a tratar como una extensión, busca por los ficheros de extensión .listing y vemos cuantos tienen el mismo fail"... y flipamos.


Figura 1: 75.000 sitios con listing... indexados.. ¿cuántos habrá sin indexar?

La historia es que hay más de 75.000 sitios listados por Google con este programita que te permite navegar por el árbol de ficheros de la forma más sutil y sin vulnerar la seguridad de ningún sitio ni ninguna ley. Basta buscar en Google y hacer clic.


Figura 2: Sí, están instalados los archivos como root en este sitio

Lo gracioso es que hay algunos sitios especialmente curiosos que tal vez culmen tus expectativas...


Figura 3: El listing en la Nasa

Hay muchos freebsds, sitios de forensics, hacking, etc... para echar un rato esta mañana navegando por ahí en lugar de ligando en el Facebook. Por supuesto, la nueva versión de la FOCA buscará estos programitas en todos los directorios.

Saludos Malignos!

miércoles, enero 26, 2011

¡Felicítame!

Es mi cumpleaños, y casi se me pasa. Hoy, El Lado del Mal, cumple 5 años de vida. Por fin mi blog ha alcanzado mi edad mental, aunque ya me gustaría a mí tener 5 años de edad y empezar ahora a descubrir el mundo otra vez.
Leyendo el primer post que escribí veo que ya tenía claro que cometería faltas de ortografía, que me confundiría muchas veces y que este sitio iba a ser un sito personal con ideas subjetivas, lejos de tratar de ser “Imparcialito, el amigo de los niños”..

Han pasado 5 años y me lo he pasado de puta madre con el blog, he liado a la gente para hacer calendarios de dudosa moralidad, he enredado a muchos para que jugaran a los retos hacking, he volcado el poco conocimiento que tengo, encontrándome en un curiosa situación ahora, en la que el blog sabe más que yo, he conocido a gente genial, he viajado y os lo he contado para que os muráis de envidia, he hecho amigos, he hecho trolls (también os quiero, ¡que conste en acta!), he montado eventos, conferencias, saraos varios, ¡hasta he quedado de copas y he organizado cenas por medio de unos posts!, os he spameado con todas las movidas que hago, he invetnado mis propios palabros, os he obligado a ver mis dibujitos de josemaricariño, he estado alegre, he estado triste, he estado tontorrón y hasta el rabo de tontos. Vamos, que he hecho lo que me ha parecido bien sin pensar si te iba a gustar o enfadar.

Durante estos años, El lado del mal ha ido dejando un poco de lado al Malingo y siendo un poco más yo, pero creo que sigue siendo el lugar que pensé e imaginé hace 5 años, un sitio hecho para mí y para los enfermos como yo y con la misma supermegaplantilla que tanto le gusta a "algun@s". Si te gusta venir aquí, háztelo mirar, que tú también llevas lo tuyo.

Saludos Malignos!

PD: No, pos si a alguien le quedan dudas, con un blog no se liga, digan lo que digan…

martes, enero 25, 2011

Entrevista a Lorenzo de SecurityByDefault

Lorenzo Martinez es otro descubrimiento vía mi "enamigo" Dab. Lo descubrí leyendo sus artículos antes de ponerle cara y sonrisa - Lorenzo siempre se está riendo, es una cara amiga en cualquier sitio -. Cuando lo conocí en persona y le vi con traje y corbata me dije "no puede ser, este tipo no puede ser el freak este que me tira los posts con los scripts", pero sí, resultó ser él. Un consultor-preventa-freak enamorado de la tecnología, divertido y que lo mismo te monta un firewall que te hackea la aspiradora.


Lorenzo Martínez, sonriendo, como siempre };)

Escribe en SecurityByDefault desde el principio, ya que es uno de los que se montó en proyecto junto a Yago, Dab y Guachi, y tenía una deuda moral conmigo que me obligaba a hacerle una entrevista que me permitiera saber mucho más de él ya que me sorporendió mucho verle la dedicación que el puso en la BlackHat Europa 2010.

Allí, mientras yo me afanaba por hacer una fiesta con los guiris llegados de ultramar, el se twitteo todas las charlas e hizo un reporte que aún uso de apuntes para buscar las herramientas y los conceptos de las presentaciones que ví yo. Es incansable. Puedes seguir a Lorenzo en Twitter.

Lorenzo, gracias por someterte a esta entrevista y sigue haciéndolo tan bien como lo haces siempre.

Saludos Malignos!

1.- Vale, ¿no es estar muy enfermo meterse a hackear una aspiradora?

La culpa es de mi médico que creía que la dosis de las pastillas para mi tratamiento estaba bien dimensionada. ¡Por lo visto no era así y tuve una recaída! :D Hablando más en serio, desde pequeño me gustó conocer el funcionamiento interno de las cosas. Quizá mi enfermedad sea integrar todo aquello que tengo en casa de manera que pueda ser gestionado de forma remota.

En el caso de la Roomba, mi idea es que en base a si estoy o no en casa, dentro de un horario aceptable para pasar la aspiradora, dependiendo de cuánto rato haya estado funcionando en el día, el estado de carga de la batería, etc,... sea mi casa quien le mande la orden a la Roomba de salir a dejarlo todo como una patena

Lo mismo me pasó con el aire acondicionado de casa, vía Internet puedo cambiar la temperatura de cada habitación e incluso temporizarlo para que mi robot de Gtalk sea quien se encargue de mantener una temperatura adecuada para cuando vuelva :D ¿Es grave esto doctor? No obstante, tengo pensada algún otro invento Macgyverano que espero poder publicar pronto.


2.- Cuéntanos, ¿quién es Lorenzo? ¿Qué has estudiado?

Lorenzo es principalmente un tío con gran curiosidad en el mundo de la seguridad informática y las redes. Soy ingeniero en informática por la Universidad de Deusto (ESIDE) que, como sé que te leen, aprovecho para mandarles un saludo desde aquí. Ya mi proyecto de fin de carrera fue enfocado a Seguridad y Redes. Con él vi que me gustaba, que se me daba bien, y tuve la suerte de empezar mi vida profesional en uno de los integradores más conocidos de seguridad del mercado español. Me dediqué a seguridad perimetral (cortafuegos, IDs, antivirus, VPNs, etc...), de ahí salté a ONO, donde tuve el placer de conocer y trabajar con Yago y empezó mi labor de dedicación a la consultoría de seguridad informática. Actualmente trabajo como preventa y responsable técnico para España y Portugal en un fabricante francés de cortafuegos de aplicaciones web o WAF (Web Application Firewalls).

3.- ¿Hay un freak dentro de ti? ¿Cuáles son tus hobbies?

¡Uy!, ¿pero después de lo de la aspiradora aún lo dudas? Aparte de la seguridad, me apasiona el mundo del motor, la velocidad, el sonido de cualquier cosa de más de 300 CVs gasolina me fascina. Así pues, no es de extrañar que en las tabs de mi Firefox (lo siento Chema ;D) se puedan ver varias tabs de foros de marcas de coches (antes Audi y ahora BMW) y en mi lector de RSS compartan escenario un montón de feeds de seguridad, tecnología e Internet, con otras de Fórmula 1, novedades y cotilleo de paddock. Otros hobbies en los que intento dejar el PC apagado y en casa es viajar, podrían contratarme para ser reportero de Callejeros Viajeros o Planeta Finito. ¡Cuando me voy de viaje a una ciudad, no puedo dejar ni una sola calle sin ver!

4.- ¿Cómo te involucraste con el proyecto de SecurityByDefault?

Pues todo empezó en una de esas veces que quedamos a cenar Yago y yo. Hablando de las cosas con las que nos tocaba pegarnos a diario, se me ocurrió decirle: "Este tipo de cosas deberíamos escribirlas en algún sitio...". A lo que él contestó: "Sí, ¡en un blog! Yo llevo dándole vueltas a eso hace tiempo y tengo hasta el nombre pensado: Security by Default". Y así fue cómo Yago lió también a grandes profesionales de la seguridad como Dab y Guachi para que empezásemos en esta loca aventura en la que ya llevamos casi 3 años.

5.- ¿Cuáles son los 3 posts de los que has escrito que más te gustan?

Si tuviese que elegir, supongo que me quedaría con:

* Hacking Roomba
* Experiencias graciosas de un consultor de seguridad
* ¿Conoces los límites de Twitter?


6.- Sé que eres lector, así que recomiéndanos 3 libros de ciencia ficción.

La verdad es que intento evadirme de lectura excesivamente técnica, aunque, como es normal, al final termino liándome con algún manual. Lo más cercano a la ciencia ficción que puedo decirte es que disfruté mucho con la saga de Crónicas Vampíricas de Anne Rice, pero realmente me gustan otro tipo de temáticas más ligeras, novelas de Katherine Neville, John Grisham o Dan Brown y me chiflan las de misterio como demuestra mi estantería repleta de novelas de Agatha Christie.

7.- ¿Qué sistema operativo usas y qué herramientas no faltan nunca en él? y ya que estamos... ¿qué teléfono móvil?

Pues desde el 2003, y fundamentalmente gracias a la ilusión y motivación que me dio Yago para ello, pasé de mi cómoda vida con Windows 2000 a saber qué está haciendo un sistema por debajo con Linux (Red Hat y Fedora en aquellos tiempos). Así estuve hasta que por 2008 hice un nuevo switch, esta vez a Mac OS X. Desde ese momento, he seguido con Mac y con CentOS en casa, y Windows en máquinas virtuales.

Herramientas que no me faltan, pues de gestión la suite de Mozilla: Thunderbird, Firefox (con un montón de extensiones típicas para auditoría web) y Sunbird; y como herramientas, utilizo distribuciones livecd en máquinas virtuales que llevo siempre listas (wifislax, mi Samurai-backtrackizada y otras con entornos web vulnerables como HacmeBank o Webgoat.

Móviles he tenido desde Nokias hasta un par de smartphones con Windows Mobile, incluso una Ipaq 5550 que migré a una Familiar Linux poniendo en riesgo su integridad, y actualmente como bien puedes imaginar, tengo un Iphone 4 (además de un 2G y un 3G firmado por Steve Wozniak)


8.- ¿A quién has conocido en este mundo de la seguridad informática que te haya impresionado?

A nivel nacional, a mucha gente interesante, empezando por mis propios compañeros de blog, Vierito5, Tuxed, Reversemode, Fermín Serna aka zhodiac, Jselvi, el Maligno!... (espera que miro el gtalk y te digo más :D)

Y a nivel internacional, fue un honor entrevistar a Joanna Rutkowska en la Campus Europe 2010 para TVE (una pena que la entrevista se perdiera en algún limbo y nunca la publicaran), irnos de cena con Stefano di Paola y Luca Carettoni, entrevistar a Steve Wozniak en Campus Party Valencia 2010, para un mac-ero convencido como yo, también fue algo muy emotivo, o Bruce Schneier en un Security Blogger Summit.

9.- ¿Qué blogs lees que te gusten?

Ejem ejem, pues intento tener todos aquellos que son conocidos en el mundo de la seguridad y que me pueden aportar conocimientos interesantes. No faltan en mi lista, Conexión Inversa, Kriptópolis, Seguridad Apple, Security Art Work, el blog de Sergio Hernando, 48bits, Spamloco, Hacktimes, Dragonjar, S21Sec, etc,... en inglés estoy suscrito al de Bruce Schneier, Praetorian Effect, Command line Kung fu, Countermeasures, Xeduced, TaoSecurity, and many more! ¿Me dejo alguno...? ay sí el de Spectra! Por supuesto que http://www.elladodelmal.com/es uno de los que no me faltan en la lista y que me hace, unas veces reír poco, otras mucho (Josemaricariño!) otras tomar nota y, en todas ellas, aprender de alguien que lleva tantos años al pie del cañón representando la seguridad nacional... española!

10.- Sé que has ido a muchas conferencias, ¿cuál te ha gustado mucho?

Tampoco te creas que he ido a tantas, unas veces por compromisos laborales, y otras por personales, pero sí que es verdad que intento moverme un poco en los diversos saraos. Por destacar alguna en que me lo he pasado genial: el Security Blogger Summit de 2009 y 2010 en el pude hablar directamente con Bruce Schneier, un tío bastante cercano, y en 2010 en el que puso la sal y el aceite mi compañero Yago. Por supuesto destacar el honor que fue ir a la BlackHat 2010 en Barcelona, en el que además coincidí con otros cuantos conocidos, ¿verdad Chema?

11.- Lorenzo, en SecurityBydefault, ¿os repartís los temas o simplemente surgen?

La verdad es que en SbD no tenemos ninguna directriz sobre qué temas tenemos permitidos y prohibidos cada uno. Todos intentamos aportar lo que sabemos, investigamos, opinamos, con toda la ilusión posible. Cierto es que, al ser los componentes del blog de perfiles diferentes, los posts suelen estar más centrados en aquello que cada uno se siente más cómodo o le gusta más. Como puedes observar, yo suelo hacer herramientas, scripts, y todo aquello que pueda ser Powered by Perl!

12.- Profesionalmente hablando, ¿en qué trabajas actualmente?

Mi puesto oficial actualmente es de responsable técnico preventa para DenyAll en España y Portugal. Mi misión es intentar concienciar a las empresas españolas que un Cortafuegos de Aplicaciones Web, a ser posible el que vende mi empresa, sería de gran ayuda para proteger sus páginas y servicios web, y que, si bien no va a garantizar al 100% que sus sistemas son in-hackeables, al menos supondrán una traba más y permitirán cerrar puertas a posibles atacantes.

13.- ¿Me ayudarías a convencer a Yago para que me escribiese un libro? ¿y para que dab termine el suyo?

¡Uy, las cosas que me pides! Yo estaría encantado de ver, comprar - ¡y hasta leer! - un libro escrito por Yago, y el que Dab tiene en proceso No obstante, cuándo quieras te ayudo a preparar una encerrona en la que no puedan escapar y te firmen la fecha en la que te entregan el primer draft cada uno.

14.- En tu opinión como experto... ¿cómo ves esto de la nube? ¿Te mola? ¿Te asusta? ¿Te pone contento?

Uhm, yo creo que la gente está cada vez más preparada para usar servicios en la nube. De hecho, todo aquel que tenga una cuenta Google, cuenta con una infraestructura gratuita en la que sus datos e información son accesibles desde cualquier parte, con cualquier dispositivo, sin importarme debajo cómo funcione. Desde una agenda, hasta documentos compartidos con un procesador de textos online.

Sin embargo, en España, y más claramente las empresas, no terminan de migrar a la nube con la celeridad esperable. Asustarme no me asusta en absoluto, es más, cualquier cosa "nueva", supondrá algo que será "rompible" y "protegible", por lo que nos garantiza trabajo en un entorno no explotado.


15.- ¿Qué le recomendarías a un chaval que quiera empezar en esto de la seguridad informática y el hacking?

En mi experiencia, aquellos locos que aún deseéis dedicaros a esto de las redes y la seguridad informática, yo creo que lo más importante es contar con bases sólidas. Para ello, pegaros con las cosas por vosotros mismos, entended el funcionamiento de las cosas, conceptos de redes, de routing, de TCP/IP,... por supuesto intentad estar al día mediante obligadas lecturas a blogs de seguridad, ejem ejem... intentad aprender de compañeros de trabajo y amigos que lleven más tiempo dedicándose a esto (¡¡recordad que más sabe el diablo por viejo que por diablo!!). Sin embargo, lo más importante es afrontar las cosas con ilusión y tenacidad. ¿Que algo no sale? ¿Que no eres capaz de romperlo? date una vuelta, coge aire, date una ducha y ¡siéntate de nuevo frente a ello a probar otra vez!

16.- ¿Crees que las empresas y la administración pública están tomándose en serio la seguridad en España?

Pienso que actualmente las empresas están un poco al ralentí, cumpliendo lo justo y necesario para que las cosas aguanten. Esto lo veo claramente representado cuando vas a contar tu rollo a las empresas y te cuentan que necesitan de tus productos para cumplir con determinada normativa. Mientras el objetivo no sea mejorar la seguridad de tus infraestructuras en lugar de contar con tecnología para que en la checklist puedas poner que sí tienes un WAF - ¡aunque lo tengas apagado! - creo que el enfoque no es el correcto.

17.- ¿Te animarás a dar alguna charla tú?

Mira que lo he pensado veces. Espero que en alguna de tantas que se organizan en las que van grandes profesionales como puede ser por ejemplo en Rooted, o un Security Blogger Summit, Campus Party, No Con Name, etc... pueda acceder algún día. Ciertamente es procastinación mía el no mandar un paper como Dios manda a alguna de ellas y esperar que me den el visto bueno en alguna, pero sí, está en mi To Do.

18.- ¿Has sido gamer? ¿Qué juego te ha quitado más horas de sueño?

La verdad es que no mucho. En mi época universitaria quizá tuve temporadas curiosas con el Heroes of Might and Magic I y con el III, y me encantó el juego español de guerra más famoso: Commandos. Pero los juegos, pese a lo que puedan decir mis padres, no han sido nunca la causa de mis horas perdidas delante de un PC.

19.- ¿Has hecho alguna vez algo de Black hacker que ya haya prescrito y se pueda contar?

La verdad es que tal cual están las leyes últimamente, cualquiera que incluso haya leído el correo de otra persona, su navegación, conversaciones de messenger, reventado una contraseña y accedido a la WiFi de un vecino, es ya un delincuente y merece penas de cárcel,... para cosas más gordas ya directamente son latigazos, viajes a Guantánamo y que te aten a una silla a ver toda la serie de Verano Azul de golpe, así que supongo que no, no han prescrito aún :D

20.- ¿A quién te molaría que entrevistara?

Estaría genial que tu próxima víctima... digoooooo candidato a una entrevista fuese alguien del otro lado del charco. Sorprende muchas veces que incluso hablando el mismo idioma, haya tan poca conexión entre los expertos en seguridad de América Latina y los del Viejo Continente. Así pues, creo que deberías tirarles la caña a Dragón de la comunidad Dragonjar, o Alejandro de Spamloco, que seguro que nos sorprenderían con sus motivaciones, fuentes de conocimiento y formas de hacer las cosas.

Saludos!

lunes, enero 24, 2011

Agenda de Febrero

Esta es la última semana del mes, así que os paso una agenda las actividades que hay programadas para el mes que viene, que aunque es el más corto del año, viene cargado de cosas.

01: Online [Windows Server 2008 R2: Implementación]
01 y 02: Online [Windows Server 2008 R2: Server Core]
02: Online [Windows Server 2008 R2: IPSec]
02: Sevilla [Gira Up To Secure 2011]
03: Online [Windows Server 2008 R2: Active Directory]
03: Madrid [Security Blogger Summit]
07: Madrid [SharePoint Server 2010: Arquitectura e Implantación]
07 y 08: Madrid [SharePoint Server 2010: Servicios de Búsqueda e Indexación ]
08: Madrid [Fortificación de Ms SharePoint Server 2010]
09: Madrid [SharePoint Server 2010: Entornos de colaboración ]
09 y 10: Madrid [SharePoint Server 2010: Inteligencia de negocio ]
10: Madrid [SharePoint Server 2010: Gestión de Contenido]
11: Madrid [SharePoint Server 2010: Workflows y procesos de negocio]
15 a 17: Oslo [HackCON #6]
15: Online [Windows Server 2008 R2: Powershell 2.0]
15 y 16: Online [Windows Server 2008 R2: Recuperación frente a desastres]
16: Online [Windows Server 2008 R2: NAP [Network Access Protection]]
17: Online [Windows Server 2008 R2: Servicios de Escritorio Remoto]
18: Móstoles[FTSAI: Seguridad WiFi, IM, VPNs]
21: Madrid [Exchange Server 2010: Implantación, Mejoras y Nuevas Características]
21 y 22: Madrid [Exchange Server 2010: Service Pack 1]
22: Madrid [Exchange Server 2010: Colaboración y mensajería unificada]
23: Madrid [Exchange Server 2010: Seguridad, control información y legalidad]
23 y 24: Madrid [Microsoft Windows Server 2008 R2. Gestión de Servicios de Red]
23 a 25: Cádiz [ADWYS]
24: Madrid [Exchange Server 2010: Alta disponibilidad & Disaster Recovery]
24 a 26: A Coruña [III Jornadas de Seguridad]
25: Madrid [Auditoría y Análisis Forense de correos en Exchange Server 2010]
28 : Madrid [RootedLab: Técnicas de Inyección Webs]
28 : Madrid [RootedLab: Metasploit para Pentesters]
28 : Madrid [RootedLab: Análisis Forense de Dispositivos Móviles]

Saludos Malignos!

domingo, enero 23, 2011

El listín de teléfonos 2

Hubo un tiempo en que le dediqué muchas horas a los árboles LDAP, incluso con obsesión. Despúes, dejé de lado los árboles LDAP para dedicarme a cosas más mundanas, pero aún, a día de hoy, sigo impartiendo en las clases de los masters las charlas de LDAP Injection & Blind LDAP Injection.

Con respecto a los árboles LDAP, una de las cosas que más me maravillaba, y lo sigue haciendo, es lo sencillo que resulta obtener un montón de información de de ellos sin ningún esfuerzo especial. Por eso escribí un artículo que se llamaba El listín de teléfonos, ya que muchos administradores tratan los directorios LDAP como si fueran eso, solo listines de teléfonos.

En esos árboles el acceso anónimo está permitido, con lo que no se vulnera ningún servidor y únicamente accedes a información que el administrador ha querido dejar pública.

Si buscamos por los intefaces web de acceso a los árboles LDAP de phpLDAPadmin podemos encontrar una buena cantidad de ellos indexados en los buscadores. Basta con ir cambiando el número de versión y saldrá un buen centenar de árboles.


Figura 1: Buscando phpLDAPadmin en Google

En la parte de acceso, como podéis ver, casi todos permiten el acceso anónimo al servidor con lo que hay que suponer que el administrador ha querido hacer esa información pública.


Figura 2: Acceso anónimo habilitado

Una vez conectado al sistema, aparece un buen montón de información allí. Listas de usuarios, estructuras de red, etc... Una de las cosas interesantes es ver si el servidor Apache ha habilitado el módulo mod_ldap_userdir para publiar los directorios home de los usuarios en el servidor web. Esto permitiría acceder a información del $HOME del usuario mediante la ruta ~usurario y si hay suerte, pescar alguna cosa chula.

Sin embargo, una de las plantillas de visualización que más me ha llamado la atención en los paneles phpLDAPadmin es la que permite "Revisar la contraseña". En este caso, el sistema te permite que pongas una password, la hashea y comprueba si es la buena o no. Lo curioso es que, como se supone que es solo para usuarios autorizados no hay ningún límite de intentos, ni capthas, ni nada de nada..


Figura 3: Revisar la contraseña

Todo esto, público, público, público... ¿debería estar así?

Saludos Malignos!

sábado, enero 22, 2011

Parchear un parche

Apple, cuando en Noviembre sacó la versión de actualización de Mac OS X Snow Leopard 10.6.5 hizo muchos amigos. Después de que usuarios se quejasen de problemas varios, lo más preocupante fue que los equipos Mac OS X que tenían cifrado todo el disco duro con Symantec PGP se quedaron sin arrancar. Muchos tildaron la actualización de basura y Apple tuvo que, sin decir ni mú, re-publicar la actualización 10.6.5 parcheada.

El día de Reyes de este año, es decir, 2 meses despúes de la actualización anterior, Apple sacó una nueva actualización de Mac OS X Snow Leopard, la versión 10.6.6 y, sorprendentemente, los equipos que tenían cifrado el disco duro con Symantec PGP dejaron de arrancar otra vez, los usuarios se volvieron a quejar y en menos que canta un gallo publicaron cómo disfrutar las aplicaciones de la Mac Store sin pagar.

¿Y cómo le puede pasar esto a Apple? Pues si traducimos esta foto que he visto al mundo del software creo que se auto-"explica" muy bien el porqué pasan estas cosas:


Conseguir ya que pusieran las tildes iba a ser harto difícil

Saludos Malignos!

viernes, enero 21, 2011

Preguntas rápidas... respuestas lentas

Hoy he decidido hacer un poco de Buzónleaks, un poco para justificarme por los retrasos, un poco para solicitar algo de comprensión y lloraros a todos.

El caso es que a mí me gusta contestar todos los correos, e intento hacerlo, pero cuando estás en la carretera muchos días, y recibes una media de 250 correos diarios, la cosa se complica. Intento mantener en mi inbox una cola máxima de 50 correos sin atender, que es lo que tengo configurado en OWA de paginación, así, cuando tengo un minuto, puedo intentar contestar alguno.

Es duro, no creáis que no, luchar contra el efecto e-pingpong, que te machaca. Sin embargo, hay unos correos que son especialmente dificiles de sacar del inbox. Son esos que ponen algo como:

"Una duda", "Una pregunta rápida", "Seguro que para tí es muy fácil", "Una consultilla", etcétera....



Preguntas rápidas

Es mentira - y las peores son las de los diminutivos "dudilla, consultilla, problemilla" y similares -, detrás de eso hay una lista de preguntas, un fichero de log, una captura de un problema o un análisis técnico que realizar de algún problema que tiene esa persona.

A mí no me importa que me escriban ese tipo de preguntas rápidas, pero lo que no puedo dar son las respuestas rápidas que muchos esperan. Yo contestaré, cuando tenga un momento, pero no siempre es fácil la respuesta ni encontrar ese hueco.

Lo peor es cuando contestas, y el susodicho avanza un paso, y quiere que le ayudes con el siguiente, y contestas... y luego quieren el siguiente paso y el siguiente, y el siguiente....

Informática 64 tiene un bonito departamento de consultoría, e incluso un SAT, donde se pueden contratar horas de soporte y, si no me equivoco, casi cualquier empresa de informática tiene un servicio así. Esto no quiere decir que no podáis seguir haciendome las "preguntas rápidas" a mí, pero sí que tenéis que entender que haya respuestas lentas a algunas de ellas.

Saludos Malignos!

jueves, enero 20, 2011

Malware educativo: Botnets & R.A.T.s

Cuando trabajas en seguridad informática, en cualquiera de las áreas que tengan que ver con malware, pentesting, reversing, exploiting, etcétera, siempre hay cerca una cierta fascinación por el otro lado, es decir, por ser tú el malo. Lo cierto es que para poder aprender cómo funcionan las cosas en seguridad, es necesario ponerse el gorro que muchos llaman gris, y hacer un poco el malo, pero sin pasarse.

¿Cómo va a aprender alguien con soltura a hacer auditorías de seguridad web si no ha trasteado con alguna antes? ¿Cómo vas a entender el funcionamiento de un troyano reverso si nunca has jugado con uno? ¿Cómo vas a crear un exploit si nunca lo has lanzado?

En este caso, algunos de mis chicos, para aprender un poco más sobre malware - ¿estaremos pensando en convertir la FOCA en una botnet de verdad? – han creado unos bots, con fines educativos. Estas herramientas son totalmente funcionales, pero se han creado para ser utilizadas en los cursos, auditorías, y pruebas. Así que, por si las quieres usar tú para aprender, aquí las tienes.

La Prablinha

Esta es una herramienta de Bonet para sistemas Windows que está escrita en C#. Los bots son de conexiones reversas y se controlan mediante comandos IRC. El código fuente completo está disponible junto con los binarios y si quieres colaborar, modificar algo, o añadir cosas, puedes realizarlo.


Figura 1: Panel de Control de la Prablinha


Figura 2: Herramienta de creación de bots

La herramienta viene con su Panel de Control, que se monta en PHP y con su generador de bots. Tienes un manual de cómo configurar el panel y cómo usar los bots en la siguiente URL: Prablinha.

Flu

Flu es otro troyano reverso, también Open Source, y también escrito en C# que están realizado otros de mis compañeros. En este caso la herramienta recuerda mucho al tipo de cosas que se puede hacer con una R.A.T. preconfigurada con ataques.

Entre otras lindezas, permite: Apagar sistema y Cerrar sesión, Detener el servicio Centro de seguridad, Mostrar versión de Windows, Mostrar listado de drivers instalados, Mostrar información completa del sistema, Mostrar direcciones MAC de los adaptadores de red,Mostrar configuraciones de las interfaces de red, Mostrar listado de conexiones de red realizadas, Mostrar listado de procesos en ejecución, Mostrar servicios del sistema, Mostrar mensaje de infección por pantalla, Crear usuario nuevoAdmin con contraseña 123456, Convertir usuario nuevoAdmin en administrador y el flamante, y siempre imprescindible, ataque David Hasselhoff. Actualmente está en versión Flu beta 0.2.


Esperamos que estas herramientas os sirvan para aprender y enseñar cómo funcionan las R.A.T.s y las botnets.

Saludos Malignos!

miércoles, enero 19, 2011

Spectra nombra a José Parada Director de Seguridad

La compañía del mal ha cambiado de nuevo en Enero de este año con una decisión inesperada. El abuelo, ese ser que es capaz de comenzar la narración de un webcast con una bonita diatriba sobre la vida y sufrimientos de los administradores de sistemas, de sacar a pasear la cobra por lo bares del Amsterdam de las Black Hat Europe, de decirles a los periodistas, con el corazón en la mano, dos copas en el cuerpo y el cerebro en el bolsillo, lo que pensaba de ellos tiempo ha en un arrebato de sinceridad, de subirse al escenario de la Defcon vestido con bermudas y chanclas o de meterme en problemas con el CNI pinchándome con sus cosas, ha sido nombrado Director de Seguridad de Microsoft para España.

Y es que, “Pepe el evangelista”, como se definía con humildad y buen humor en las comidas, cenas y posteriores ante cualquiera, ha acumulado mucha experiencia en el área de seguridad. Es raro que una compañía tenga un responsable de seguridad que haya dado charlas en las conferencias de seguridad de hackers, como Defcon, Blackhat o CONFidence 2.0, pero parece que desde que Obama confió en Jeff Moss, se mira con otros ojos a los que tienen un pasado técnico en estas lides.


El abuelo y yo, descojonados en el lanzamiento de Vista

José Parada Gimeno, el tipo con más primos, compañeros de clase, amigos de la familia y conocidos varios que le quieren, que conozco toma el relevo del sitio que ya llevó antes Héctor Sánchez Montenegro. Héctor sigue con sus cosas de estándares, comités, nubes y cumplimiento de legislaciones y proyectos de “domar la tecnología” como Responsable Tecnológico Nacional.

Yo, con todos los años que le conozco, y la guerra que me ha dado, aparte de felicitarle por el nombramiento -igual que lloré por su pérdida-, creo que ha llegado el momento de hacerle una petición pública:

José, ¿no crees que ya es hora de que me termines de contestar la puñetera entrevista que te envié hace meses?

Saludos Malignos!

martes, enero 18, 2011

And the Winner is ...

Me ha costado más recoger todos los votos de los despelo... participantes que hacerles las fotos. Y es que hay muchos que están como locos por desnudarse. Al final, tras recibir todas las votaciones, estos son los resultados obtenidos.


Con lo que, si no me he equivocado al sumar, que seguro que en algunos casos lo habré hecho, el ganador es la Fundación Alzheimer España. Por si acaso, para que todos podáis repasarlo, he publicado los votos de todos los participantes.


Además, aprovecho para darle las gracias a Sergio Hernándo que ha comprado 3 Calendarios Tórridos para regalar entre los lectores del blog, así que los 3 primeros que pongan un comentario en este post y en el último post publicado en el blog de Sergio Hernando (en los dos). Tendrán 1 Calendario Tórrido gratuito del que tendrán que pagar solo los gastos de envío.

Sergio, aunque seas un linuxero del demonio, sabes que taloviu. También quiero dar las gracias y hacer notar la solidaridad de la RootedCON que ha comprado más de 100 ejemplares para regalar y colaborar con el proyecto.

Para toda la panda de roñicas que no han comprado un ejemplar del Calendario Tórrido 2011 aún, que sepáis que me acordaré bien, bien de quién lo compró y quién no para el futuro }:)) Así que, menos peloteo, y más colaborar que por ahora hemos vendido unas 200 unidades. Déjate de lechas y compra ya tu Calendario Tórrido 2011.

Saludos Malignos!

lunes, enero 17, 2011

DKIM, Domainkeys, Identified Internet Mail y el Spam (2 de 3)

***********************************************************************************************
- DKIM, Domainkeys, Identified Internet Mail y el Spam (1 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (2 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)
***********************************************************************************************

¿Qué hacer con los correos no firmados con DKIM?

En teoría, el RFC que define el funcionamiento del servicio de DKIM dice que:

5.4. Unverified or Unsigned Mail

Messages lacking a valid author signature (a signature associated with the author of the message as opposed to a signature associated with an intermediary) can prompt a query for any published "signing practices" information, as an aid in determining whether the author information has been used without authorization.


Es decir, que el servidor que recibe “puede” y no “debe” realizar una consulta para conocer la política de firmas. Esto quiere decir que, si un correo no llega firmado desde un dominio que utiliza DKIM, pero el servidor decide no hacer la consulta al servidor DNS del dominio de origen para buscar la política que se quiere aplicar, entonces estaría cumpliendo con el estándar perfectamente.

Luego que una empresa haga la inversión en implementar DKIM no garantiza que en los servidores que usan DKIM no entren correos falsos de su dominio.

¿Cuáles son y dónde se guardan las políticas?

Dentro del dominio del emisor de un mensaje de correo electrónico, se guarda en un registro del DNS conocido como ADSP (Author Domain Signing Practices) en DKIM y en el registro _Domainkey en el caso del ya histórico Domainkey original.

Curiosamente, en el caso de Yahoo! la política aún está en el registro que usa Domainkey y no en DKIM, lo que puede significar muchas cosas.


Figura 4: Política de Yahoo

Por su parte, Paypal, para que no le quede ninguna duda a nadie, aparte de implementar el registro en formato domainkey, lo tiene ya implementado en formato DKIM.


Figura 5: Políticas de Paypal

Políticas DKIM y Domainkey

Las políticas en ambos protocolos han cambiado. Mientras que en Domainkey se utiliza un sistema similar a SPF, es decir, con Fail, Softail, Neutral y Pass que se almacenan en el valor o=, en DKIM se utilizan tres valores:

- All = Todos los mensajes vienen firmados.
- Unknown = No se sabe si todos vienen o no vienen firmados
- Discardable = Todos los mensajes son firmados, si no llega firmado, el dominio remitente solicita que sea eliminado el mensajes de correo electrónico.

Como se ha visto, Yahoo! tiene una política Softfail para Domainkeys, lo que indica que debería poner alguna marca al mensaje o similar. Por el contrario, la política DKIM, que debería estar en el regsitro ADSP _adsp._domainkeys.yahoo.com no está implementada.

¿Y Gmail?

Pues a pesar de que Gmail sí que está firmando sus mensajes con DKIM, resulta que ni Gmail.com, ni el propio Google.com, tienen política DKIM o DomainKeys.


Figura 6: Política "ausente" de Gmail

¿Y qué hacemos si un mensaje no viene firmado desde Gmail si no hay política? Pues nada, ya que según dice el RFC hay que aplicar la política unknown:

A.2. Domain Exists, ADSP Does Not Exist

A mail message contains this From: header line: From: alice@bbb.example (Old-fashioned Alice) The ADSP lookup first identifies the Author Address alice@bbb.example and the Author Domain bbb.example. It does an MX DNS query for bbb.example and gets back record (3). Since that query didn't return an error, it then proceeds to a TXT DNS query for _adsp._domainkey.bbb.example, which returns NXDOMAIN. Since the domain exists but there is no ADSP record, ADSP returns the default unknown result: messages may or may not have an author domain signature.


O lo que es lo mismo, mientras no firmes todos los mensajes con DKIM no puedes pedir que se borren los correos que no vayan firmados. Y la pregunta que surge es... ¿y cómo están aplicando todo esto los filtros antispam?

***********************************************************************************************
- DKIM, Domainkeys, Identified Internet Mail y el Spam (1 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (2 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)
***********************************************************************************************

domingo, enero 16, 2011

Los milagros existen

Creo que ya os conté a todos el momento olímpico que sufrí aquel día en Bilbao cuando me dejé mi computadora portátil en el control de metales del aeropuerto de Bilbao. Todavía tengo pesadillas en las que monto en el avión sin mi equipo. Pues bien, eso no fue nada con lo que me sucedió este jueves por la tarde y que demuestra lo que dice el título de este post: Los milagros existen.

Digamos como preludio que me gusta viajar en tren por cuatro motivos. El primero de ellos es porque es más económico que el maligno-móvil, el segundo es porque conducir largas distancias me cansa y me aburre, el tercero es porque Atocha me pilla bien y el cuarto es porque me permite trabajar durante todo el viaje.

Es por esto que el jueves, cuando regresaba de la primera semana de la Gira Up To Secure 2011 estaba volviendo en el tren de Cercanías de RENFE desde Atocha a Móstoles. Había quedado en que me fueran a recoger en una estación antes de la de Móstoles porque pilla muy cerca de la oficina, se aparca mejor para esperar a alguien y es justo la última antes del cambio de zona, con lo que te ahorras algo de tiempo y dinero.

A 2 minutos de llegar a la estación susodicha aún seguía enganchado con el teléfono móvil, en este caso enviando un mensaje de aclaración a alguien que no había entendido uno de mis exabruptos chistosos, con lo que estaba totalmente ensimismado con el cacharrín cuando sonó el aviso de “Próxima estación…” ¡la mía!

Venía muy cansado de toda la semana, así que salté de mi sitio, pillé la maleta y me bajé del vagón y empecé a andar por el andén mientras veía que el tren partía…. y fue en ese momento, cuando el tren ya estaba en movimiento cuando reparé en que en mi espalda faltaba un peso de unos 4 kilos…

¡miiiiiiiiiiiiiiiiiiiiiiieeeeeeeeeeeeeeeeerrrrrrrrrrrda!!!

Me había dejado la mochila en el tren con mi computadora portátil, los discos de backup, la cámara de fotos y lo que es aún peor, el libro de las Historias de la cantina de Moss Eisley.

Como os podéis imaginar el pánico se apoderó de mí y empecé a correr como un cosaco con la maleta por todo el andén mientras apartaba paseantes. Mi cara pasó de ser el Dr. Jekyll a la más negra de sus versiones mientras mi mente trataba de pensar: Operación candado, operación candado, operación candado…

La verdad es que no sé ni si lo llamaban así, pero siempre me descojonaba cuando en el programa de Gomaespuma alguien perdía un teléfono – o un jamón – en un taxi y lanzaban una operación de recuperación desde la radio para buscar al taxista susodicho. Yo estaba pensando en cómo conseguir que mi mochila con mi computadora consiguiera llegar a mis manos tras pasar por las estaciones de Móstoles y Móstoles -El Soto. Como os podéis imaginar, la tarea se me antojaba épica en ese momento.

Saqué el teléfono móvil y marqué a Eventos Creativos, ellos son la agencia que me coordina toda la Gira Up To Secure 2011 y esto era un incidente con la gira, así que marqué y en menos de 30 segundos dije:

“AcabodedejarmeelportátileneltrenquevaallegarahoraamóstolesllamadalaestacionparaquelorecojanqueyoibaenelúltimovagónllevabaunamochilanegradeMVP”

Tras un “¡Joder!” rápido me colgaron para ponerse manos a la obra mientras yo alcanzaba la ventanilla de la estación. El tren ya debería estar a menos de 2 minutos de llegar a Móstoles. Con voz melodiosa repetí:

“AcabodedejarmeelportátileneltrenquevaallegarahoraamóstolesllamadalaestacionparaquelorecojanqueyoibaenelúltimovagónllevabaunamochilanegradeMVP”

Dentro de la estación había tres mujeres que me miraron asombradas. Una de ellas estaba hablando por teléfono en ese instante.

“¿Cómo? No te entiendo nada, ¿puedes repetirlo más tranquilo?”

“Acabo de dejarme el portátil en el tren que va a llegar ahora a Móstoles llamad a la estación para que lo recojan que yo iba en el último vagón llevaba una mochila negra de MVP”

Primer Milagro

Me miraron asombradas y la que estaba hablando por teléfono me dijo:

“Ahora mismo estoy hablando con la última estación, yo les digo que la recuperen, pero si alguien se la lleva en Móstoles… no podemos hacer nada, vete a Móstoles El Soto volando”.

Dicho y hecho, salí a la calle corriendo mientras llamaba a la oficina de i64.

“¿Qué pasa Chema, ya de vuelta?”

No sabía que decir, corría hacia el coche que me esperaba mientras trataba de no juntar las palabras para que me entendieran…

“Me acabo de dejar la mochila con la computadora en el tren, voy a por ella al Soto, pero rodead la estación de Móstoles con gente del SOCtano por si alguien se la lleva en Móstoles”

Repitieron la frase del momento…

“Joder! Vamos corriendo”

A esto yo abría las puertas del coche mientras pensaba que el tren debía estar a escasos segundos de llegar a la estación de Móstoles.

“Rápido, a la estación de Móstoles - El Soto, que me he dejado la mochila en el tren con la computadora”..

“¡Joder!”, dijo el conductor y arranco haciendo sonar las ruedas.

Por el camino yo solo sabía decir “joder, joder, joder, joder,…” mientras llamaba a los elementos que había puesto en movimiento.

“Están avisados en la estación de Móstoles - El Soto, aún no ha llegado el tren a la última estación y hemos llamado a Objetos Perdidos de la Renfe para avisar de cómo es la mochila”, me informaron desde Eventos-Creativos.

Segundo Milagro

“Chema, estamos desplegados 4 personas alrededor de la estación, sale mucha gente, pero no hemos visto a nadie con la mochila de MVP”, me informaban desde i64.

Mientras, yo me acercaba a la estación de Móstoles-El Soto a toda velocidad y pensaba para mí: "¿Cuántas posibilidades hay de que una mochila con una computadora portátil pase por Móstoles y Móstoles - El Soto sin que nadie se la lleve a su casa para darle una nueva vida? ¿Alguna habrá, no? Hay gente buena por el mundo, o … tal vez nadie haya reparado en ella", me auto-consolaba, "o lo mismo…" De repente la estación se podía ver desde lo alto de un puente.

“Tenemos que dar la vuelta por ahí para entrar” me señaló el conductor a una calle que estaba atascada de coches.

“No hay tiempo”, dije mientras saltaba del coche aún en marcha para empezar a correr como un poseso en dirección a la estación.

La distancia era de más o menos un kilómetro y creo que batí la plusmarca de la distancia con guardia de seguridad del Carrefour detrás que hay en Bronxtolex, para llegar a la ventanilla de la estación exhausto. Era el momento de la verdad, ver si todos los movimientos de la operación candado habían dado algún fruto.

“Hola, vengoaporunamochillaqueheperdido”

Una chica rubia me miraba desde detrás del cristal y me decía:

“Tranquilo, tranquilo. A ver, ¿cómo es y que llevaba?”, me interrogó.

Yo, con pocas ganas de jugar me temí lo peor. Pensé que me lo estaba preguntando para que hiciera una ficha o porque iba a llamar a alguien a ver si había visto algo. Me vine un poco abajo, pero comencé a decir:

“Es negra y llevaba dentro un ordenador portátil con pegatinas de …” y de repente la ví. Ahí estaba, en el suelo, detrás del cristal. Ella, guapa, sexy, negra, preciosa……….. y empecé a saltar mientras la señalaba.

Tercer Milagro

“¡Es esa, es esa, es esa, es esa!”.

La gente de la estación me miraba. Ver a un melenas con un gorro de rallas saltar como Pocoyó delante de la ventanila de la RENFE debía de ser todo un espectaculo para ellos, pero par mí, el mundo se había reducido a esa linda mochila amorosa, que me sonreía con ternura mientras, con su mirada, me decía: "Tranquilo Chema, todo ha sido un susto, no te pongas nervioso, ya pasó"

Esta aventura terminó bien, y tras repasar todos los pasos mentalmente no sé si hubiera podido hacer más por recuperarla en tan breve espacio de tiempo, ya que todo pasó en 10 minutos. No sé si fue porque nadie la vio, por la paranoia de las mochilas en los trenes, porque la mujer estaba hablando con la estación cuando yo llegué, por la rápida reacción desde Eventos Creativos, o por los tipos que vigilaban la estación de Móstoles por si alguien salía con ella a la espalda, o símplemente que el destino no quiso que esta vez me dejara mi mochila, pero este post está siendo escrito desde mi ordenador y la mochila me mira con esos ojos que se tienen después de haber vivido mucho.

Saludos Malignos!

PD: Si alguna vez te has visto en una de estas situaciones... sabes lo que se sufre.

sábado, enero 15, 2011

¡Tíralo todo por el baño!

Y es que no se puede dar estos sustos los viernes, ¡hombre!, que casi me da algo. ¿Será esto un avance de lo que va a pasar con el nuevo código penal? ¿Ya me tienen vigilado?


Espero que solo sea porque la Policia Nacional se está socializando, y si es así, mis mejores deseos. Yo por si acaso, voy a vigilarlos también a ellos...

Saludos Malignos!

viernes, enero 14, 2011

BBB64: Buscando Bujeros en Base64 (4 de 4)

***************************************************************************************
- BBB64: Buscando Bujeros en Base64 (1 de 4)
- BBB64: Buscando Bujeros en Base64 (2 de 4)
- BBB64: Buscando Bujeros en Base64 (3 de 4)
- BBB64: Buscando Bujeros en Base64 (4 de 4)
***************************************************************************************

Buscando rutas locales

Para encontrar algunas webs que hicieran cosas graciosas con Base64, se me ocurrió buscar algunas rutas de fichero típicas para ver que veíamos. Aquí hay algunos ejemplos.

/Home:

Con /home/, cuya codificación es L2hvbWUv, encontré esta URL, con un parámetro muy divertido.


Figura 17: Fichero devuleto con parámetro en Base64

Como os podéis imaginar, la URL esa daba una cosa muy divertida...


Figura 18: Ruta a fichero local decodificada

/etc/:

Buscar por /etc/, cuya codificación es L2V0Yy8=, aparece en la caché de Google una shell devolviendo un fichero de configuración de un sitio vulnerado, curiosa casualidad. Aunque visto lo visto con las shells y Google.


Figura 19: Shell caheada

Esos valores raros en parámetros extraños

El tema es que las posibilidades de uso de Base64 se me escapan de las manos, ya veo Base64 en cualquier sitio. El otro día, revisando una obra de teatro apareció este parámetro.


Figura 20: Parametro por Get codificado

Que tiene cosas muy sospechosas al decodificarlo... ¿alguna idea de inyección?


Figura 21: Decodificación

En resumen, visto lo visto, parece que muchos creen lo que dice Word, que codificar es lo mismo que cifrar.

Saludos Malignos!

***************************************************************************************
- BBB64: Buscando Bujeros en Base64 (1 de 4)
- BBB64: Buscando Bujeros en Base64 (2 de 4)
- BBB64: Buscando Bujeros en Base64 (3 de 4)
- BBB64: Buscando Bujeros en Base64 (4 de 4)
***************************************************************************************

jueves, enero 13, 2011

Cyberpeleillas

Ya que mi (ene|a)migo el hacker que se parece a Bullseye se ha tirado el rollo ayudando a promocionar la Gira Up to Secure 2011 (¡Ya está abierto el registro para Sevilla el próximo 2 de Febrero!), yo voy a devolverle el peloteo promocionando el Wargame que han sacado estos días.

El jueguecillo es el típico Wargame al uso que ayuda a aprender y mantener el nivel de los profesionales que no tienen mucho tiempo para trastear con nuevos entornos. Por supuesto, los más viciados de turno ya están enganchados y seguro que no os van a dejar ganar la iPad que hay de regalo, pero aun así, es más que recomendable que lo intentéis.

Nunca vas a aprender si no lo intentas y siempre hay una primera vez que resuelves una prueba. Las pruebas se dividen en las siguientes categorías: Trivial, Networking, Binarios, Crypto y Web, así que ya sabes a los RootedLabs que te puedes apuntar en caso de quedarte colgado en alguna de ellas.

Además tiene versión en inglés, así que voy a promocionarlo yo también para mi público anglo y sajón o que hable raro.

Hey f***ng man! You feel me dude? I am talkin’to you about a f**n’ game for hax0rs so, if you dare try to piss them off or I’ll kick you in the ass and you’ll fly’ntil you crash in the fu**n’ fu**ed moon.

Que viene a decir más o menos lo mismo.

Saludos Malignos!

No te fies de las rubias

Que me pasen estas cosas a mis años no tiene perdón de Diox. Esto me pasa por dejarme embaucar por una rubia. Ya me lo decía mi mamá: "Josemaricariño, no te descuides con las mujeres que te lían, que tú eres mu' tonto..." y así me veo ahora.

La historia es que Yolanda, la "rubia" de Panda que está dando guerra todo el día en el "twitel", me invitó, por teléfono, al Security Bloggers Summit. El evento era en Madrid, el 3 de Febrero, así que no tenía que viajar,tenía hueco en la agenda y hacía mucho tiempo que no hacía nada con Panda, ... y Yolanda es rubia.... así que acepté verbalmanene sin seguir los consejos de mi madre ni preguntar nada más.

Como soy un desastre y estoy metido en mil películas, la cosa se quedó ahí y no me acordé de ello hasta que me persiguió para que enviara mi foto y un breve resumen biográfico. "Sí, sí, no te preocupes, te lo envío ahora en un minuto".

Y ya está, ahí se quedó todo, hasta que ayer, cuando cerraba la fecha del Evento de Sevilla de la Gira Up To Secure 2011, me dio por pensar... "coño, ¿y a qué hora hablo yo en el evento de "la rubia"? a lo mejor puedo ir el mismo día para Sevilla..." y cuando entré en la lista de ponentes el lado oscuro se apoderó de mí en una tétrica imagen ,como cuando Luke entró en el árbol de Dagobah. No me lo podía "de creerl".

Él, "The Man", el hombre que descubrió los atajos de teclado en Windows en Noviembre de 2006 y que dio la voz de alerta sobre la caída de Google, estaba en el evento. No, mejor aún, Él solo puede ser la keynote, y el tema... por supuesto algo que Él domina CiberGuerra y CiberTerrorismo. }:O

Ajarl!!, después de semejante susto, pensé... "me he debido equivocar", yo debo estar en otro evento... pero no. Así que llamé a la "rubia" por teléfono y le dije:

"A ver chata, esto es Security Bloggers Summit o Security Técnicoless Summit".

"No, no, si también va Rubén Santamarta, es de periodistas y bloggers de seguridad", contestó.

Yo pensé para mí, "claro, esto debe ser porque 48bits y El lado del Mal deben ser como el ABC, La Gaceta o El Penhouse, medios de comunicación, y bueno es normal, porque hay más gente en la mesa y..."

Además de Rubén, al que llamé por teléfono para pedirle que me cuidara, también estará Elinor Mills, que es una muy buena periodista, Josu Franco y Robert McMillan que su CV dice: "He writes about computer crime, security products and the ongoing fight by IT professionals to stay one step ahead of the hackers. [..] and holds the dubious distinction of being one of the few people to have fired guns with free software pioneer Richard Stallman." }:O

El caso es que al final, si me dicen que voy a estar en una mesa de debate hablando con Rubén Santamarta, al lado me esperaría tener al Dab entre los contertulios, como pasó en el DISI del 2009 y no a Él, pero...

Eso sí, al acabar hay botellón y pizzas... digo, perdón, que esto no es la LaCON, hay "Cocktail/dinner and networking". En fin...si ya me lo dijo mi mamá, así que me merezco todo lo que me pase por fiarme de las rubias.

Saludos Malignos!

miércoles, enero 12, 2011

Community Shell availables

Una de la forma con la que tratan los servidores web de protegerse contra las webshells es la de utilizar soluciones antimalware con firmas de las shells más utilizadas. Por supuesto, también están los que tratan de hacer indetectables estas shells, cambiando las firmas, ofuscando el código o haciendo pruebas para evadir las firmas con trucos sencillos.

Sin embargo, una vez que quedan subidas a un sitio web publicado en Internet, éstas shells quedan expuestas a unos "grandes enemigos": Las arañas de los buscadores. Estas arañas las indexan y las hacen accesibles a cualquiera que las busque.

Ayer andaba yo un poco justo de tiempo y quería hacer una pruebecilla que tal vez con el nuevo Código Penal quedara en una franja gris, así que, para no andar perdiendo el tiempo, decidí buscarme alguna de estas shells en Internet.


Figura 1: 90.000 shells indexadas

Como podéis ver hay indexadas, solo del tipo que busqué yo, más de 90.000, así que siempre hay alguna disponible cuando la necesitas. Claro, al no estar protegidas, uno "no sabe" si es que el administrador las ha puesto para uso público, algo similiar a lo que hace Luciano Bello con su home, o si ha sido un atacante. Con lo que... ¿está mal si la usamos?


Figura 2: Una shell a disposición pública

Otra cosa que tienes que tener en cuenta es que alguna de esas shells podría ser un honeypot o podría estar "vigilada" así que si puedes utilizar algún sistema de anonimato better than better.

Saludos Malignos!

martes, enero 11, 2011

Experto en "Criptación"

Hoy estaba predestinado a escribir sobre esto. Sobre la criptación. Sí, supongo que el palabro os habrá sonado a todos igual de mal que a mí, pero es el que ha utilizado el periodista para explicar la noticia de que la Guardia Civil ha detenido un comando de ETA en Francia entre los que se encontraba el experto informático en criptación.


Y es curioso que fuera hoy el día elegido ya que hoy mismo he podido confirmar la participación del Gran Luciano Bello en los RootedLabs con un training de Criptografía.

En mi último viaje a Buenos Aires, entre cerveza y cerveza, mientras aguantaba estoicamente - ... bueno, estoicamente no, que yo saco la espada laser rápidamente - como Luciano Bello me hacía burla tras burla para regocigo de la fantastica concurrencia de concerveceros que me acompañaron en mi visita, le tiré el anzuelo para traermelo a la RootedCON/RootedLabs... y picó.

"¿Pero de que carajo quieres que hable josemaricariño?", me dijo. "Coño, Luciano, de criptografía,... ¿o es que sabes hacer algo más?", respondí. "¿Y crees que a alguien le va a intersar Euler, Fermat, y los sistemas de factorizacion?, que esto tiene mucha matemática"", se lamentaba...

La cosa se acabó de fraguar en el viaje de regreso, mientras me contaba el trágico final de Galois en un duelo y debatíamos del comic de Mort Cinder.... y aquí está.

Luciano Bello vendrá a España, irá a las Jornadas de seguridad en A Coruña y luego le traeré de vuelta a Madrid, donde dará un RootedLab y se quedará a la RootedCON. Aquí tienes el temario de su RootedLab:

Introducción doméstica a la Criptografía

- Introducción y Cripto clásica: Cesar. Vigenere. Kasiski examination. Enigma. Ataques (Ciphertext-only, Known-plaintext, Chosen-plaintext, Adaptive-plaintext, Differential cryptanalysis, Linear Cryptanalysis). Protocolos para compartir secretos: esquemas umbral, perfectos e ideales.

- Matemática: Aritmética Modular. Teoría de Números. Algoritmo de Euclides. Noción de Congruencias. Teorema de Fermat. Indicador de Euler; Teorema de Fermat - Euler. Números de Carl Michel. Test de Primalidad: Teorema Chino del Resto. Método de Factorización de Fermat. Residuos Cuadráticos; Lema de Euler. Logaritmo discréto.

- Cripto aplicacada: Algoritmo de Clave Pública. Funciones de hash. RSA, Schnorr, DSA, PGP. Autenticación e intercambio de claves. Protocolos de reparto de claves en red. Protocolos de autenticación. Esquema de autenticación rápida de Shamir. Kerberos. X.509. Firmas digitales. Firma ciega. Transacciones electrónicas. Elecciones electrónicas seguras. DES, 3DES, IDEA, y AES. Prácticas con RSA y PKI.

Por último, si se anima Luciano otra vez - y si alguno de vosotros quiere también -, le llevaré a hacer un poco de karting y volver a machacarle con un maligno-kart, así que si te apuntas, depues de la RootedCON te puedes venir al Maligno Karting que voy a organizar como fin de fiesta.

Recuerda que la lista de RootedLabs también cuenta con un nuevo training de Taddong sobre Seguridad Bluetooth, Wifi y GPRS en el que los asistentes vais a disfrutar como enanos. Los RootedLabs disponibles quedan ya, cerrados definitivamente, de la siguiente manera:

Lunes, 28 de Febrero de 2011

- Metasploit para Pentesters José Selvi
- Análisis Forense de Dispositivos Móviles Pedro Sánchez
- Técnicas de Inyección en Aplicaciones Web Chema Alonso

Martes, 1 de Marzo de 2011

- Análisis Forense de Red Juan Garrido "silverhack"
- Fundamentos de Ingeniería Inversa Joxean Koret COMPLETO
- Seguridad en Bluetooth, Wi-Fi, GSM y GPRS D. Pérez, J. Picó y R. Siles
- Introducción domestica a la criptografía, Luciano Bello

Miércoles, 2 de Marzo de 2011

- Open Source Intelligence Gathering for Pentesting with FOCA Chema Alonso
- Test de Intrusión Alejandro Ramos "Dab"
- Ataques en Redes de Datos Juan Luis G. Rambla
- Fundamentos de Ingeniería Inversa Joxean Koret

Saludos Malignos!

lunes, enero 10, 2011

Lo que me pudo haber pasado...

Todavía cuando pasé por El Riviera este año me entraban los sudores frios. Bastaba con acercarse a la máquina donde estuve yo tan feliz sentado esperando a mis compañeros, mientras navegaba con la computadora, para que se me viniera a la mente en un recuerdo vívido el mal rato pasado cuando me informaban de que podía ser arrestado por delitos federales en la Defcon 17.

Hoy me han regresado otra vez todos esos recuerdos mientras leía la noticia de que un hombre está arrestado por haber robado dinero de los casinos en Pennsylvania utilizando un fallo en el software de la máquina.

Mientras repasaba la noticia, los cargos, y la cantidad de dinero que le va a costar la gracieta al detenido, yo solo podía pensar en sus explicaciones.

"I'm being arrested federally for winning on a slot machine"

"Estoy siendo arrestado federalmente por ganar en una máquina de monedas"

"Let everybody see the surveillance tapes. I pressed buttons on the machine on the casino. That's all I did"

"Dejar que todo el mundo vea las cintas de vigilancia. Yo solo pulsé botones en la máquina del casino. Eso es todo lo que hice".


Dios, me recordaba a mí intentando justificar el porqué estaba con la computadora...

"I'm just browsing the Internet".

El caso es que, en este tipo de situaciones, cualquier indicio, no solo prueba, será clave, así que, ten cuidado con lo que haces, no te vayas ver en una situación como la del pobre josemaricariño buscando justicia...



Saludos Malignos!

domingo, enero 09, 2011

DKIM, Domainkeys, Identified Internet Mail y el Spam (1 de 3)

***********************************************************************************************
- DKIM, Domainkeys, Identified Internet Mail y el Spam (1 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (2 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)
***********************************************************************************************

DKIM - Domakin Keys Identified Mail - es la unión de dos protocolos anteriores, conocidos como Domainkeys (catalagado ya como histórico) e Identified Internet Mail (del que cogió algunos aspectos) y su objetivo principal es garantizar que un mensaje en concreto procede de un determinado dominio. La garantía de procedencia desde un dominio en concreto se realiza mediante el uso de firmas digitales que se añaden a los mensajes de correo electrónico que son enviados desde los servidores legítimos de ese dominio.

Para que esta idea funcione, cuando un mensaje va a ser enviado desde un determinado servidor de correo, éste, es decir, el servidor de correo saliente, firma el mensaje y añade al correo electrónico una cabecera DKIM que lleva la firma resumen del mensaje, el algoritmo de firma utilizado y el nombre de la clave que se ha utilizado para firmar este mensaje. Será el servidor del correo entrante el que, una vez detectada la cabecera DKIM, leerá el nombre de la clave que se ha utilizado para firmar y se conectará al servidor DNS del dominio firmante para recuperar la clave pública asociada.

Para garantizar que ese es el correo que se envió desde ese servidor de correo se comprobará que la firma es correcta, garantizando que el mensaje viene de ese dominio.

Estos son los principios básicos de DKIM, cuya primera versión es de 2007 y la última revisión del estándar se ha publicado en Agosto de 2009, y , al igual que SPF y SenderID tiene muchas luces y sombras a sus espaldas.

Abuso de DKIM con procesos de re-envío

Google ha anunciado que añade DKIM a Google Apps para que pueda ayudar a la reducción del Spam, y la realidad es que esto, a pesar de que da más información y esos siempre es bueno a la hora de detectar un mensaje de spam, hay que tomarlo con mucho cuidado.

La primero y más evidente es que, si la firma del mensaje va incluida en el propio mensaje, es evidente que no va todo el mensaje firmado. Así, DKIM firma solo mensaje en sí y no todo el sobre, con lo que la protección de integridad del mensaje está sujeta solo al contenido del mismo. Fuera de esa firma de integridad se quedan, entre otros, campos como los destinatarios del mensaje.

Conocido esto, imaginemos que un atacante hace una lista de correo en cualquier servidor de listas y mete en ella todas las direcciones de correo a las que quiere spammear. Ahora utiliza un dominio legítimo que esté firmado con DKIM, como por ejemplo Yahoo! o Gmail y envía, desde ese correo el mensaje a la lista de correo. Cuando el bouncer reenvíe el mensaje este seguirá con la firma DKIM intacta y aparecerá firmado por el destinatario.

Este ejemplo de uso con una lista de correo se puede sustituir por cualquier programa automático o botnet, ya que con tener el mensaje y la firma que pone Gmail a ese mensaje, el atacante puede enviárselo a sí mismo y reenviarlo a cualquier otro destinatario.

Correos firmados por DKIM

Aunque no sea una bala de plata para acabar con el spam, la idea es que una vez que sepa que el mensaje viene en origen ese dominio deberá tener un tratamiento especial con dicho mensaje, ya sea mostrando una marca de garantía al usuario o no metiéndolo nunca en la bandeja de spam, o lo que decida la política del servidor de correo entrante.


Figura 1:Correo firmado por Yahoo



Figura 2: Cabecera del mensaje de correo de Yahoo con firmas DKIM y DomainKeys

Como se puede ver Yahoo trae en el mensaje la cabecera de firma Domainkeys y la de DKIM, es decir, las dos por si acaso el servidor reconoce una u otra. En ambas cabeceras se especifica que se ha utilizado la misma clave, que está en este registro del DNS.


Figura 3: Clave pública de firma de Yahoo

Tratamiento especial en los filtros antispam a los mensajes firmados DKIM

Al poderser abusar esa firma mediante procesos de reenvío, la pregunta que muchos se hacen es... ¿se deberá dar un tratamiento especial en los filtros antispam si los correos vienen firmados? Si se hiciera eso, se estaría tendiendo una alfombra roja a los spammers en los servidores de correo, por lo que nadie se atreve a hacer esa prioridad al correo firmado por DKIM.

No obstante, tenemos la garantía de que el mensaje original salió como ha llegado y desde un origen concreto, con lo que se podría localizar al spammer en el dominio de origen, por lo que tal vez sería posible hacer una operación de búsqueda y bloqueo de ese spammer en el dominio.

***********************************************************************************************
- DKIM, Domainkeys, Identified Internet Mail y el Spam (1 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (2 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)
***********************************************************************************************

Entradas populares