lunes, febrero 28, 2011

Mantén tu sistema al día o entrégalo al enemigo (2 de 2)

*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
Artículo escrito para la Revista Windows Oficial de Febrero de 2011
*********************************************************************************************

Parchear tu Windows

Espero, con la introducción previa de la anterior parte al duro mundo en el que nos encontramos, haber captado tu atención para que te interese cómo tener tu sistema actualizado en todo momento, para reducir al máximo, que con completamente, el riesgo de caer en un exploit que comprometa tu máquina.

Lo más moderno mejor

Lo primero y más importante que tienes que hacer es tener tu sistema operativo lo más moderno posible en todos los sentidos. Vivir con un Windows XP es convivir con un sistema operativo que empezó a diseñarse en 1996 y que no está preparado para las amenazas de más de 10 años después. Tecnologías de seguridad como ASLR, MIC, UIPI o Virtual Store, por citar alguna de las “enecientas” medidas de seguridad que complican la vida a los atacantes, no existen en Windows XP. Si tienes un Windows Vista pone el último Service Pack disponible y si tienes Windows 7, en cuanto tengamos disponible el Service Pack 1, instálalo. Estas cosas no salen por ganas del fabricante de distribuir software, sino para arreglar problemas.

Ten en cuenta que, en la primera Botnet multiplataforma que se ha desplegado este año, Windows Vista y Windows 7 tuvieron menos infecciones que incluso Mac OS, mientras que Windows XP seguía siendo “el campeón”.


Imagen 5: Distribución de bots por sistema operative de la botnet multiplataforma

Windows Update Up and running

En Segundo lugar, activa Windows Update en tu computadora. Elige la forma en la que quieres instalar el software, pero que sea lo más rápido mejor. Para ello entra en el Centro de Seguridad y selecciona la opción de que te avise o de que se instale automáticamente. Cómo tú prefieras. Yo te recomiendo que elijas la opción de que se instale automáticamente, tendrás que luchar menos contra la pereza que a veces nos da esperar la descarga e instalar el software, y que solo elijas la otra opción si estás de viaje con conexiones limitadas mucho tiempo.


Imagen 6: Opciones de Windows Update en Windows 7

¿Y el resto del software de tu equipo?

He aquí un gran problema. Windows Update es una solución perfecta para mantener tu sistema actualizado… siempre que tu software sea parte del sistema operativo. Eso quiere decir que todo ese software que no es parte del sistema operativo o Windows no se va a actualizar por medio de Windows Update. Hay que preocuparse también de él, y tendrá que ser por otro camino.

A ese tipo de software, del que seguramente tengas instalado mucho en tu sistema, también le atacan. Si tienes un Firefox , Safari o Google Chrome, tal y como has visto en la parte de kits de exploits, pero no se escapan los ataques a WinAmp, QuickTime o Acrobat Reader. Es por esto que hay que mantenerlo actualizado, como Dios manda.

La mayoría de estos programas ya vienen cargado con un módulo de actualización automática que te avisa – como en el caso de Firefox – cuando hay una actualización, o que realiza lo que se llama una actualización “silenciosa” – como el caso de Google Chrome – es decir, te actualiza el software sin decirte nada.


Imagen 7: Actualizador de Firefox en Windows 7

Un Windows Update para el resto del software

Sin embargo, las opciones de actualización “una a una” suelen ser bastantes tediosas. El problema es que algunas solo se activan cuando arrancas el software, lo que hace que si tienes el programa sin arrancar hasta que llega el exploit, entonces de nada sirven. Otras, por el contrario, instalan un agente, como en el caso de Java, que está consumiendo recursos del sistema constantemente.

La solución es conseguir tener un único agente que monitorice el software completo y que compruebe él cuando existe una actualización de algunos de los programas que tienes instalados en el sistema, y eso existe.

Secunia Personal Software Inspector

Hay muchas soluciones, pero la que yo te recomiendo, que es gratuita y funciona de maravilla es Secunia PSI. La herramienta la puedes descargar desde la siguiente URL y te detectará todo el software que tienes vulnerable en el sistema, ya sea porque existe un parche que aún no has aplicado, bien porque existe un fallo conocido del que aún no hay solución para un determinado programa, por lo que tendrás que extremar las precauciones con él.


Imagen 8: Informe de resultados en Secunia PSI

Huir a otros sistemas

¡Ah!, y si piensas que por huir a otros sistemas estás a salvo, vas dado. En todas las plataformas hay que actualizar y mantener el sistema completamente al día, ya que si no cuidas tu sistema, otro, desde Internet, lo va a reclamar para sus dominios. Así que… ¡Actualiza tu software!

*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
*********************************************************************************************

domingo, febrero 27, 2011

Mantén tu sistema al día o entrégalo al enemigo (1 de 2)

*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
Artículo escrito para la Revista Windows Oficial de Febrero de 2011
*********************************************************************************************

Sí, lo sé, es una tarea a veces tediosa y molesta la de parchear el sistema y tener que reiniciar cuando menos te lo esperas, pero también lo es hacer copias de seguridad y espero, por tu bien, que tengas hecho los deberes y hayas pensado en un plan de salvaguarda de datos que estés cumpliendo a rajatabla.

Parchear un sistema es algo absolutamente necesario, tengas el sistema que tengas y la plataforma hardware que tengas. No importa que tu vecino tenga un Mac OS X o que tú tengas un Windows Phone, hay que parchear todas las plataformas.

Al principio fue el bug

¿Y por qué hay que parchear? Pues por algo tan sencillo como que los sistemas software tienen vulnerabilidades que pueden ser aprovechadas para comprometer la seguridad de tu equipo y la tuya personal. Es así de sencillo y así de duro.

Todas las empresas que tienen equipos de seguridad hacen informes resúmenes anuales en los que recogen su visión de la seguridad durante un cierto periodo de tiempo. Microsoft saca el SIR (Security Intelligence Report) cada 3 meses, por ejemplo. En el informe de seguridad relativo al 2010 de CISCO salía una gráfica por fabricantes de software en la que se podía ver como las vulnerabilidades de los sistemas operativos Apple asciende a más de 350 durante ese año. No, no es de extrañar, solo Mac OS X tuvo 308 vulnerabilidades mientras que los sistemas de iPhone e iPad alcanzaron 60 vulnerabilidades.



Imagen 1: Grafico de vulnerabilidades por fabricante de software

Estos fallos de seguridad se conocen como bugs o vulnerabilidades y un atacante podría hacer algo tan malo como instalarte un troyano que encienda tu webcam y te espíe en tu intimidad sin ni tan siquiera recibir un mensaje de seguridad ni cuando se instala, ni cuando enciende tu webcam, ni cuando envía toda esta información al atacante. Sí, puede pasar, y cualquiera que te diga lo contrario o te engaña o desconoce realmente cómo funciona el malware hoy en día.

¿Quién descubre los bugs?

Un bug, como podréis imaginar, puede llegar a ser algo muy valioso. Hay fallos de seguridad por los que las mafias, intermediarios de ¿gobiernos? ¿grupos de interés?... pueden pagar hasta 100.000 dolares - y algunos concretos algo más-. Sí, las cantidades llegan a ser espeluznantes. El que encuentra un bug serio puede tener un tesoro. Pero no siempre es tan fácil encontrarlos, y muchas veces lo encuentran profesionales que no quieren tu mal o que, directamente, trabajan en el propio fabricante de software. El peor de los escenarios que se puede encontrar un fabricante es que un bug esté siendo utilizado activamente en Internet, antes incluso, de que ellos tengan constancia de él.

En cualquier caso, una vez que el fabricante tiene constancia de que existe dicho bug, hay que solucionarlo… ¿y cómo se va a hacer? Pues sencillo, mediante un parche que vendrá en alguna actualización del software afectado.

Hotfixes, Parches, Rollups y Service Packs

Cada fabricante utiliza una diferente terminología para denominar a las diferentes soluciones que desarrolla para arreglar un bug. En el caso de Microsoft, los hotfixes son para entornos muy específicos en los que únicamente si se da el caso del entorno concreto deben aplicarse. Habitualmente se sacan para empresas con software de otros fabricantes con el que interactúa mal algún componente del sistema. Para un entorno particular no suele haber hotfixes - salvo para algún accesorio “raruno” -.

Los Rollups son acumulados que se crean para que a los técnicos les sea más fácil la dura vida – creedme, no hubieran hecho la serie IT Crowd si ser informático fuera una bicoca -. Estos recogen en un único ejecutable varios parches y hotfixes, con lo que un técnico no tiene que instalar 10 ejecutables y le es suficiente con un Rollup.

Para los usuarios domésticos, lo más habitual son los parches, o “actualizaciones”, que están disponibles a través de los Microsoft Update Services y, cada año o dos años, los Service Packs.

Windows Update

Para los productos de la plataforma Microsoft, la actualización suele ser bastante cómoda, basta con activar los servicios de Windows Update y NO desactivarlos nunca. Si tienes a alguien cerca que te dice que desactives eso, directamente ignórale.

Ten en cuenta que en el momento en que aparece un parche que soluciona un problema de un programa, está marcando el lugar exacto donde estaba el fallo. Los especialistas en la creación de exploits (herramientas que sacan provecho de los bugs) encuentran los fallos con mucha facilidad cuando tienen el programa que lo soluciona. Basta con que comparen ficheros sin parchear y parcheados y buscar las diferencias, en una de ellas estará el fallo original, con lo que harán, en menos de 24 horas en la mayoría de los caso, el exploit que les permitirá atacar los sistemas sin parchear.

Kits de explotación

Para que a la mafia "rusa", "ucraniana" o "búlgara" de turno, que quiera robarte dinero o utilizar tu equipo para atacar a otros, le sea mucho más fácil, se comercializan por Internet kits de explotación, es decir, utilidades que aglutinan una buena cantidad de exploits y que sirven para infectar máquinas a diestro y siniestro por Internet.

El funcionamiento suele ser muy sencillo ya que estos kits se especializan en vulnerabilidades de seguridad de navegadores de Internet y les basta con poner los exploits en servidores web por Internet y engañarte - con Spam, presentaciones en Power Point con muchos links “bonitos” o mediante ataques a otras páginas web – para que visites la página donde han puesto el exploit. Si no tienes parche instalado… gameover, acabas de convertir tu equipo en un zombie de The walking deads.



Imagen 2: Kit de Exploits Black Hole, en perfecto Ruso

Esto, que tal vez te parezca raro, se hace masivamente y a diario, e incluso sitios de renombre y posting, como la misma página web de iTunes de Apple, es vulnerada para atacar sistemas. En este caso, cayó en la saca de una mafia rusa durante el mes de Agosto de 2010.



Imagen 3: Apple.com distribuyendo exploits desde Rusia

Para que te hagas una ligera idea de cómo se las gasta la industria buscando vulnerabilidades útiles para estos menesteres, la empresa Bit9 se dedica a contabilizar anualmente las vulnerabilidades Critical y Highly Critical descubiertas en software. Este año sacó en Octubre la Dirty Dozen y en ella ha salido que Google Chrome, Mozilla Firefox, Apple Safari e Internet Explorer estaban en ella, con muy malos resultados.



Imagen 4: La dirty Dozen

*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
*********************************************************************************************

sábado, febrero 26, 2011

Default Passwords: Adelante por favor

Ayer terminó mi participación en las Jornadas de Seguridad de A Coruña de 2011 y he de decir que me lo volví a pasar muy bien. Por la mañana di una charla sobre el uso de contraseñas por defecto en sistemas. No pretendía ser complejo, y solo discutir, con un poco de humor y mala leche, sobre si una contraseña por defecto debería ser tomada como una medida de seguridad en el nuevo código penal o no.

Por la tarde estuve durante 4 horas hablando de la nueva FOCA 2.6, y utilicé las diapositivas del training de la HackCON 6, que están disponibles aquí.

Y por la noche... vinaco y chuletón. La cena fue en un rincón perdido de la cobertura de telefonía móvil en España, pero mereció la pena compartir cena y mantel con el plantel de ponentes de las jornadas... así que, ¡hasta el año que viene!

Saludos Malignos!

viernes, febrero 25, 2011

FOCA 2.6 is out!

Cumpliendo los plazos internos, ayer por la noche fue puesta a disposición de todo el mundo la nueva versión de FOCA, exactamente la 2.6. Esta versión tiene muchas de las cosas que os he ido comentado en los posts dedicados a la DigiFOCA Parte 1 y Parte 2.

- Fingerprinting DNS Server using version.bind records.
- DNS Servers discovery using primary master information in SOA records.
- Searching of .listing directory listing programs in web paths.
- Searching of Proxy services.
- Searching of title tag in each web site.
- Fuzzing of files searching for backups (only PRO version).
- Vulnerabilities panel (only PRO version).


La versión Pro seguirá sin la publicidad y con las opciones de Fuzzing, Reporting y, de momento, el panel de vulnerabilidades, pero todo lo demás está disponible en la versión Free.

Ahora, si te mueres de ganas por usar la versión FOCA Pro hasta tal punto que serías capaz de quitar tu poster de Shakira y poner uno mío en tu habitación, entonces tienes varias formas de obtener a versión PRO... Don´t Panic!

- Asistiendo al RootedLab de la FOCA: El próximo miércoles daré un laboratorio dedicado a la FOCA en Madrid. Todos los asistentes recibirán una fantástica camiseta de la FOCA y una versión de la FOCA Pro 2.6.

- Estudiantes: Como todavía quedan plazas, tras hablar con la organización de la RootedCON se ha decidido dejar 3 plazas para estudiantes enamorados de la FOCA al 50%. Para ello deberán enviarme a mi dirección de correo electrónico – si no lo encuentras no merece la pena que lo intentes – una idea para mejorar la FOCA o un ejemplo de FOCA en un entorno divertido en el que haya salido algo “curioso”. Estas tres plazas al 50% de descuento se entregarán el lunes, así que acelera.

- Colaborar con la FOCA: En el equipo de FOCA somos bastante gente aportando ideas, pero no siempre conseguimos llegar a todo. Una de las partes que más nos cuesta es la de terminar los manuales de usuario en inglés y en castellano explicando cómo funciona todo, así que si quieres escribir tutoriales, artículos, hacer vídeos de ejemplo para publicar en Internet o ayudarnos con la documentación de la FOCA ponte en contacto conmigo y hablamos para hacerte llegar una FOCA.

Podéis descargar la versión 2.6 de FOCA Free desde la siguiente URL: Download FOCA. Como siempre, comentarios, mejoras, ideas o bugs a amigosdelafoca@informatica64.com

Saludos Malignos!

jueves, febrero 24, 2011

Defcon19: Call For Fiesta

Reservate las fechas, afila tu inglés y ponte a rellenar el Call For Papers de la Defcon19 de este año que ya se ha publicado. Confiesa la verdad: Te mueres de ganas de ir a la Defcon una vez en tu vida, estar rodeado de 8.000 personas de todo el mundo, ver las mejores charlas de seguridad, salir de fiesta por Las Vegas.... ¡Te mueres de ganas! Más, cuando viste esta camiseta:


Allí habrá gente de todo el mundo, de Argentina, España, Colombia, México, USA, los estudiantes de Erasmus.... y coño, que es en Las Vegas!. El Call For Papers se ha abierto ya, así que no tardes ni un minuto y empieza a trabajar en tu charla. No te van a pagar un puto duro por el viaje pero hablar en la Defcon tiene algo superespecial, créeme.

Yo, pienso oir, me quieran escuchar hablando de la DigiFOCA o DUST o no, porque este año me quiero traer la HackCUP para el Wine Team. Como no sé cuanta gente viene de España, si no hay formar de hacer un equipo me uniré al de Moxie, que me ha ofrecido el puesto de delantero. Así que, ves pillando vuelos, y dime si vas a ir o no.

Saludos Malignos!

miércoles, febrero 23, 2011

Balada triste de The Sur

Esta historia que os voy a contar viene a raíz de una pregunta que recibo muchas veces que viene a decir algo como “He encontrado este bug, ¿pasará algo si les aviso?”. De esto ya publique mis opiniones a cómo reportar un bug en una web e incluso porque no aviso siempre sobre todo en webs que viene con el full-ekip. Ya sabéis que con la entrada del nuevo código penal esto se pone mucho más divertido, pero esta aventura comenzó tiempo cuando un joven aficionado a la seguridad informática iba a terminar el módulo de formación profesional y tenía que buscar una empresa donde hacer las prácticas.

Nuestro joven entusiasta tenía conocimiento de una empresa de su ciudad de Huelva donde, otros años, antiguos alumnos del centro donde él cursaba sus estudios habían realizado las prácticas y le parecía un buen sitio para realizar las suyas. Sin embargo, la asignación de empresas se realizaría por sorteo, por lo que sus probabilidades de ir allí no dependían ni de sus ganas ni de sus habilidades con la informática.

Es sabido por muchos que, la realización de las prácticas en una empresa al acabar la formación académica, puede significar una oportunidad laboral, por lo que él decidió echarle un ojo a la seguridad de la web a ver si podía decantar las probabilidades de ir a esa empresa a su favor, de alguna forma similar a como yo conseguí mis prácticas de objeción de conciencia.

El caso es que no le fue muy difícil a nuestro joven cerebro encontrar un bonito bug en la web del que, con la esperanza de ganar puntos, decidió alertar por correo electrónico a los administradores web.

Entusiasmado y excitado – me lo puedo imaginar después de llevar trabajando con él camino de dos años – nuestro joven protagonista se llevó una decepción cuando al cabo de los días no hubo recibido ninguna respuesta desde la empresa. Llevado por la emoción, tal vez el nerviosismo, o la inexperiencia, Manu decidió enviarles alguna prueba más evidente en otro segundo correo porque… “a lo mejor no han entendido la importancia de esta vulnerabilidad”.

Así, nuestro amigo The_Sur, decidió utilizar la vulnerabilidad para extraer una bonita SAM de uno de los servidores que envió adjunta en un nuevo mensaje de correo electrónico alertando, por segunda vez, de este “agujerillo” de seguridad con la esperanza, no lo olvidéis, de acabar haciendo las prácticas de Formación Profesional en esa empresa.

Al final, la historia termino, no solo con que no obtuvo las bonitas prácticas, sino con la llegada de la Guardia Civil a su casa, la incautación de todo su equipamiento informático y una bonita denuncia que le llevó a un juicio donde le reclaman – aún está la cosa coleando años después – la bonita suma de 20.000 €.

Con el susto en el cuerpo y la camisa que no le llegaba al cuello, decidió ponerse en contacto conmigo para ver si le podía echar un cable. Gracias a eso pude conocer a un tipo genial, brillante y buena gente, que al final acabó trabajando en mi equipo, a pesar de que le pude ayudar más bien poco.

Por si alguien ha creído ver una moraleja subliminal de que yo le abduje para mi equipo porque se había colado en una web para sacar una SAM he de decir que no fue por eso – algún día os cuento qué es lo que fue – y la verdadera experiencia de esta historia es que, mientras que no haya algo similar al tema de hackers.txt, en el que seguimos trabajando, si reportas una vulnerabilidad de seguridad como ésta, más te vale hacerlo por canales oficiales conocidos.

Saludos Malignos!

martes, febrero 22, 2011

RootedLABS y RootedCON 2011

Quedan días para que de comienzo la edición 2011 de los RootedLABS y la RootedCON 2011 y sé que muchos estáis ya deseando hacer las maletas y venir a Madrid a pasar estos días por aquí. Lo sé, porque muchos estáis todavía buscando entradas, alojamiento, etcétera. Lo de las entradas está dificil, pero si quieres alguna, habla con la organización a ver si ellos pueden hacer algo. Sé de buena tinta que están haciendo todo lo posible por gestionarlas de la forma más eficiente.

La semana va a comenzar con los RootedLabs, casi todos, menos el de criptografía que la final se ha cancelado, están llenos, pero aún así, por si hay algún hueco de última hora, puedes intentar apuntarte. Entre paréntesis tenéis el número de plazas disponibles a fecha de hoy a las 7 de la mañana.

El lunes tendrán lugar los de Metasploit para Pentesters (0), Test de Intrusión (0), Análisis Forense de Dispositivos Móviles (0) y Técnicas de Inyección en aplicaciones Web (0).

El martes se impartirán Fundamentos de Ingeniería Inversa (1), Análisis Forense de Red (3) y Seguridad en dispositivos Wifi, GSM, GPRS y 3G (0).

El miércoles le toca la segunda edición de Fundamentos de Ingeniería Inversa (1), la segunda edición de Test de Intrusión (0), Ataques a Redes de Datos (0) y cerraré yo con mi lab dedicado a la nueva DigiFOCA (4), con camisetá de la FOCA y DigiFOCA Pro para todos los asistentes.

Como podéis ver, el número de plazas que queda es solo de 10, con lo que estamos muy contentos y os queremos dar las gracias por el apoyo que habéis dado, un año más a esta campaña.

Para el jueves llega el día grande, el día que da comienzo la RootedCON. Como ya sabéis, ya están todos los ponenentes confirmados, así como las charlas y los horarios.

Entre los ponentes, pues ya conocéis a casi todos, Rubén Santamarta, Alejandro Ramos, Pedro Sánchez, Alejandro Martín, Eloi Sanfelix, Joxean Koret, Sergi Álvarez, José Picó, David Pérez, Hernán Ochoa, Roi Martín, y un largo etcétera que puedes consultar en la página de los ponentes. De lo que vamos a hablar cada uno lo tienes en la página de las ponencias. Además, para los más "obsesos" no olvidéis que hay CTF también este año: Hacks Attacks

En definitiva, que la cosa promete. Desde Informática 64 nosotros tendremos además un pequeño stand, así que podrás localizarnos fácilmente ese día. Allí podrás comprar los libros de Informática64, alguna camiseta de la FOCA que nos queda y colaborar con el Calendario Tórrido 2011, que después de la RootedCON se cerrará la venta en definitivo. Yo antes pasaré por Cádiz y A Coruña, pero espero estar en plena forma para la fiesta final de la RootedCON.

Saludos Malignos!

lunes, febrero 21, 2011

La ciberguerra del rootkit, la caricatura y los agentes secretos de Facebook

Pensar que los ejércitos y los servicios de inteligencia están dejando de lado el uso de las tecnologías de la información y el uso de técnicas hacker para sus labores “del día a día”, es como pensar que una banda terrorista no va a hacer uso de un sistema informático vulnerable para sus objetivos. Es un campo de batalla que existe y con muchas ventajas si vas por delante.

No es de extrañar lo que ha puesto de manifiesto el grupo anonym0us liberando los mails de HBGary que, de nuevo en Ars Technica, publican en un genial artículo sobre cómo el gobierno utiliza Backdoors.

Task B

Los mails obtenidos en el “pwned magistral” de anonym0us han permitido hacer un recorrido de los sistemas para controlar, espiar y atacar al enemigo que HBGary estaba ofertando al gobierno. Todo comenzó con un proyecto llamado Task B en el que se buscaba crear un troyano que permitiera controlar un equipo utilizando los puertos de un equipo (ratón, USB, etcétera) en entornos donde se pudiera tener acceso físico al equipo durante unos minutos.

La idea tras esto, era instalar un rootkit, del que hay hasta una hoja de características que se estaba ofreciendo a los cuerpos de seguridad y que también ha sido publicada.


Figura 1: Hoja de características del rootkit que se comercializaba


Proyecto 12 monkeys

Por supuesto, la cosa evolucionó a lo que todos desde hace tiempo sabemos: La compra de inteligencia con fines militares, o lo que es lo mismo la compra de exploits 0-day que pudieran ser utilizados para explotar las máquinas del enemigo e instalar troyanos, así, HBGary estaba vendiendo kits de exploits, al estilo de Black Hole o Eleonore II, pero para fines militares con los siguientes exploits.

VMware ESX and ESXi
Win2K3 Terminal Services
Win2K3 MSRPC
Solaris 10 RPC
Adobe Flash
Sun Java
Win2k Professional & Server
XRK Rootkit and Keylogger
Rootkit 2009


Recuerdo que hace unos años se habló durante un tiempo de un exploit de VMware para ejecutar código remotamente que luego desapareció...¿será este el destino que tuvo ese 0day?

Caricaturas

Otro de los servicios que estaba ofreciendo consistía en hacer guerra de información viral por medio de caricaturistas puestos a sueldo del gobierno que, al estilo de las guerras de los equipos de marketing, estaban realizando dibujos para que fueran distribuidos por Internet transmitiendo una idea de forma “graciosa” para conseguir que así se difundiera mucho más rápidamente. Es decir, sería como poner el equipo de El Jueves a sueldo del gobierno. La sola idea hace que me tiemblen las canillas.


Figura 2: Caricaturas contra IRAN

Agentes espías en Facebook

Una de las características que más me ha llamado la atención es el servicio de generación de perfiles en Facebook para controlar personas y grupos. Me imagino a un equipo de trabajo controlando a 100 “agentes secretos de Facebook” y decidiendo si empujar o alentar revoluciones en un país mediante la convocación de manifestaciones o si, simplemente, robar información a usuarios.

Está claro que la guerra entre los países ha cambiado y las operaciones de inteligencia y militares están haciendo uso de este campo de batalla. ¿Y tú, conoces a todos tus amigos de Facebook? ¿Aún crees que esto es ciencia ficción?

Saludos Malignos!

domingo, febrero 20, 2011

Obsesión

Me sigue sorprendiendo, a la vez que me asusta un poco, que me obsesione con estas cosas. Lo he visto en otras personas con las que me junto y es algo que quizá hace falta para trabajar en esto: La obsesión.

No entiendo cómo me puedo seguir obsesionando hasta el punto de no pensar en otra cosa que encontrar un camino en una aplicación web para conseguir un acceso. Horas y horas dándole vueltas en la cabeza, pensando en la siguiente prueba a hacer, en el siguiente manual a buscar del producto, pensando en dónde podría encontrar más información, hasta terminar pasándome la noche dando vueltas y dormitando pensando en el archivo de configuración que ya he sacado… ¿qué se puede obtener de allí? ¿Cómo puedo saber qué significa cada parámetro de él?

Lo curioso es que el objetivo no es ni tan siquiera una gran presa, es solo un pequeño reto personal que no me reportará más que el placer de haberlo superado. Serán unos minutos de placer delante de la consola – si consigo al fin acceder – para luego decir: “aire, a otra cosa”.

Sé que muchos me entendéis, porque he visto esa mirada que se me pone a mí muchas veces en algunos de vosotros. Ese desaparecer por completo del mundo solo por intentar resolver un reto que solo os va a reportar unos segundos de placer y, tal vez, contarle a los amigos cómo lo hicisteis.

Sin embargo, es esa obsesión que te lleva a superar estos retos personales autoimpuestos, la que te permite que, en tu día a día, cuando llegue el momento, te acuerdes de cómo superaste este pequeño obstáculo y seas capaz de utilizar lo aprendido en otro entorno. De repente, consigues el acceso a un servidor y alguien te pregunta: “¿Cómo te dio por probar eso?”.

La respuesta es que te acordaste de ese pequeño reto personal que te tuvo una semana dándole vueltas al problema para que al final descubrieras ese pequeño truco que has podido utilizar. Sin embargo, ante esa pregunta puedes responder un “suerte” o confesar la verdad: Tienes obsesión.

Si no tienes obsesión plantéate si trabajar en seguridad informática es una buena opción laboral, porque esto es de todo menos un trabajo de 9 a 6. ¿Has perdido días o semanas intentando resolver algún reto?

Yo os dejo, que tengo que seguir con mi reto personal y, cuando acabe con él, porque lo haré de una forma u otra, tal vez os cuente cómo lo hice para tener unos minutos más de placer.

Saludos Malignos!

sábado, febrero 19, 2011

The BuildBot

En un escaneo reciente realizado con la nueva DigiFOCA (1,2) sobre un dominio más o menos gordito, uno de los servidores web que aparecieron tenía instalado un panel de control para comprobar como iban realizándose los tests de las nuevas versiones de programas.

Me pareció curioso ver que ese programa estuviera abierto sin ninguna contraseña, pero supuse que no debía tener nada extraño. Aún así, como no, olisquee por allí un rato. El servidor se llama BuildBot y sirve para controlar, en una consola gráfica y unos cuadros de actividad, cómo se van realizando las compilaciones en proyectos coloborativos, y si estas compilaciones van pasando los tests o no.


Figura 1: Menú de opciones de Buildbot

Buscando en Google encontré que hay más de 9.000 servidores con este programa instalado y publicado en Internet. Muchos tienen puertos "rarunos", pero ya sabéis, tito Google, desde que Google Chrome envía todas las URLs a las que navegas con él, lo acaba encontrando e indexando en su base de datos.


Figura 2: Resultados en Google de Buildbot

Entre las cosas curiosas que se pueden encontar en estos servidores está la información de la máquina, es decir, perfecto para conocer más del software del servidor.


Figura 3: Información del software en el about

Otra curiosidad es que estan los datos y los logs de las pruebas, con lo que buscando en los directorios de los datos de tests puedes encontrar un montón de información curiosa, como direcciones de correo, direcciones IP internas, etc...


Figura 4: Datos de tests explorables

A mí, cuirosamente, lo que más me ha llamado la atención es que puedes interactuar con los bots, pudiendo pingear a un bot, parar compilaciones o solicitar que una nueva compilación vuelva a realizarse.


Figura 5: Compilaciones en ejecución que pueden ser paradas


Figura 6: Parar una compilación

Lo del Grateful shutdown me ha encantado. En fin, que es un punto más para escarbar información en una auditoría. Si alguno descubre alguna cosa más curiosa sobre estos servidores, por favor, que nos la cuente por aquí };).

Saludos Malignos!

viernes, febrero 18, 2011

Post HackCON #6

Ha sido la tercera vez que he estado en Oslo participando en la HackCON y me lo he vuelto a pasar genial. Esta conferencia tiene el encanto de ser una reunión de un grupo estable de profesionales que se reúnen año tras año para ver charlas de hacking, comer pizza, beber cerveza e intercambiar experiencias.

Para mí fue una sorpresa encontrarme con un nutrido grupo de amigos y buenas charlas. Ver a Moxie por allí contándonos sus aventuras al cruzar la frontera, o echarnos unas risas con Roelof mientras le decir que Maltego es una versión de FOCA, Deviant Ollan con su lockpicking village y la “Defiant Box” para abrir candados o el incansable smoker de Raoul Chiesa y las botellacas de vino español, hicieron que las conversaciones fuera más que entretenidas.

Pero además de eso, las charlas de este año estuvieron muy bien seleccionadas y, aunque no pude ver mucho de ellas, sí que me pasé un buen rato investigando los topics de los que iban a hablar para descubrir alguna cosa muy chula.

En primer lugar descubrí que Bidiblah, una herramienta de footprinting de tiempo ha, había sido escrita por el propio Roelof en sus años más mozos. Otra de las cosas interesantes fue descubrir el Google Hacking Diggity Process, un proyecto para llevar el Google Hacking y el Bing Hacking a la consola del equipo. Incluso, con algún módulo más que interesante para los sistemas SharePoint.

Además de la utilidad para SharePoint, éste se convirtió en un topic de moda con la última charla del primer día sobre seguridad en el mismo. Las diapos de Francis Brown están en Internet SharePoint Security: Advanced Security Tips and Tools y me gustó poder comprobar que el libro de SharePoint 2010: Seguridad que escribió nuestro MVP de SharePoint en España junto con Silverhack, Juan Luís G. Rambla, y yo mismo, estaba bien enfocado. La verdad es que uno de los que más me gusta como quedaron.

Roelof dio una charla sobre Maltego similar a la que dio en la Ekoparty. Lo más interesante fue intercambiar trucos con él y seguir avanzando en un acuerdo de colaboración entre Paterva e I64 que llevamos hablando desde la pasada conferencia de Buenos Aires, porque en el fondo… Roelof también ama a la FOCA.

Como siempre, estas conferencias son geniales para intercambiar ideas, trucos y disparar la imaginación así que, además, me traigo buenas ideas para mejorar la DigiFOCA y para una nueva charla sobre hacking en la que estuvimos discutiendo con el vampiro de Pittsburg.

Espero que para ti la experiencia de estas cosas sea igual de buena en los próximos RootedLAbs, RootedCON, NoCONname, Defcon o Ekoparty, que yo siempre vuelvo con las pilas supercargadas.

Saludos Malignos!

jueves, febrero 17, 2011

HBGary y el correo electrónico

A día de hoy todos estaréis al tanto de la que se ha montado con la firma de seguridad HBGary, que ha sido atacada por el grupo Anonym0us para dejarla en evidencia antes sus clientes por todo el mundo, ya que se han expuesto contraseñas de todas sus bases de datos.

La parte técnica de cómo se hizo esto es bastante curiosa, todo comenzó por un SQL Injection en una aplicación PHP que usaban como CMS. Esta herramienta la habían creado ellos y… se llevó todo el premio.

Un SQL Injection… pues a por la tabla de los usuarios y contraseñas. Una vez sacadas todas, las passwords estaban en MD5 y sin salting ni política de complejidad, así que se las petaron pronto y consiguieron acceso a la intranet, donde pillaron backups, ficheros y aplicaciones.

Desde dentro del panel se podía, entre otras cosas, resetear la password, así que le resetearon la password del correo a “Gary” y con un poco de ingeniería social y un intercambio de correos de lo más divertido, consiguieron acceso de root a la máquina por SSH para poder terminar el pastel del ataque con una guinda. Por supuesto, los correos sin ningún tipo de firma digital de ninguna clase, solo enviados desde los servidores internos pidiendo abrir puertos y cambiar claves.

En este proceso, la gente de anonym0us dejo claro que HNGary había fallado en:

- Codificación Segura
- Pentesting
- Política de contraseñas
- Autenticación de más de 1 factor
- Política de seguridad en el reseteo de contraseñas (mail)
- Concienciación de sus usuarios

Y les han dejado fatal porque esto es lo que ellos venden. Punto para Anonym0us.

Saludos Malignos!

miércoles, febrero 16, 2011

Spot the Fed

Era mi segunda charla en BlackHat Europe y esta vez estaba rodeado de amigos y conocidos. Había venido gente de S21Sec, de SecurityBydefault, de Spectra, etcétera. Allí se encontraban en entre otros David Barroso, Alejandro Ramos, Fermín J. Serna, Guachi, Mariano Núñez, Ero Carrera o Enrique Rando, por citar alguno del grupete que nos montamos esa segunda casa mía que es Amsterdam.

La situación era divertida, pero nosotros teníamos que preparar la charla, que siempre es una preocupación, sobre todo cuando lo haces en inglés. Nuestra charla era la presentación en sociedad de la FOCA. La que sería la primera salida a luz pública fuera de España y estaba un poco tenso, pero aun así estaba confiado porque las demos y la charla era divertida.

Por la mañana del primer día, bajamos a desayunar al lugar del catering, y ahí fue cuando empezó a formarse el grupo. Es fácil reconocer a los españoles, son eros tipos ruidosos que están comiendo como locos porque es gratis. Ahí estábamos desayunando, cuando empezaron a llegar los demás al grupo de hispanos. Casi todos eran conocidos, pero siempre viene alguien nuevo al grupo… y ahí comienza la historia.

“Hola, ¿sois de España?”

“Sí, somos una buena jartá de españoles esta vez ¿Qué haces tú por aquí?”

“He venido a hacer un training de exploiting Windows”

“$$$”, pensé.

No sé si lo sabes, pero esos trainings cuestan entre 1.500 € y 3.000 €, y es un dineral si lo comparas con los 200 € de los RootedLabs que se var a dar en la RootedCON.

“y ¿vosotros dos también sois españoles?”, les pregunté a sus compañeros.

“Sí, hemos venido juntos”, respondió uno de ellos.

“¿También al curso?”, inquirí.

“Sí, somos de la misma compañía, de NombreX, una empresa de seguridad”

Nota: Permitidme que use NombreX en lugar del nombre que me dijeron.

“$$$ $$$ $$$”, pensé.

Ahí se quedó la conversación, ya que había que seguir peleando por el café y los bollos con el resto de extranjeros, que también comen lo suyo, no creáis… y hablando de cosas mundanas y cotilleos “del sector”.

A la hora dela comida nos juntamos a comer un nutrido grupo y estuvimos comentando, quiero decir, cotilleando, de todo, y especialmente comentamos que había un montón de españoles en esta edición. Y yo comenté que había venido incluso un grupo de 3 personas de una empresa de España los trainings, que cuesta un potosí.

“Joder que pasta, 3 personas en trainings, viajes, alojamientos y conferencias son un pastizal de euralios…” dije, como quién no quiere la thing.

Alguien preguntó: “¿De qué empresa son?”

“NombreX”, respondí, “… pero no conozco la empresa, ¿alguno la conocéis?”.

Los 12 que andábamos por allí empezamos a mirarnos extrañados de que no pudiéramos ubicar a una empresa de nuestro sector con recursos necesarios para pagarse la pasta que hacía falta para los trainings y las conferencias.

De repente, alguien que mantendré en el “economato” pensó, y todos vimos cómo se le iluminó la bombilla y la cara, al tiempo que decía: “ja!, yo sí”.

“¿Ah sí?” pregunte yo inocentemente, “¿Y dónde tienen la sede?”

“En la carretera de la Coruña”, respondió riéndose.

De repente todos empezaron con miradas y risillas nerviosas, pero yo no me enteraba de un carajo… ¿por qué se reían todos?

“¿En qué parte de la carretera de la Coruña exactamente?”, insistí.

“Chema, si tú has estado allí, cojones”, me dijo uno… y fue cuando caí.

Después de esa comida, nos tocaba a Enrique y a mí la charla de la FOCA y los metadatos. Yo quería hacerlo muy bien. L a primera vez que di una charla en Black Hat, cuándo pregunté si podía hacer la charla un poco “divertida” y envié fotos de los Momentus Ridiculous, me habían dicho que en Europa la gente era bastante seria y que mejor dejara los chistes y disfraces para Defcon o BH USA. En esta segunda charla, iba a desmelenarme un poco, así que había preparado un montón de chistes malos.

La charla estaba a punto de comenzar y estaba todo listo. Los españoles en primera fila con muchas ganas de fiesta y Jeff Moss en un rinconcito sentando en una silla al lado de la puerta. Así que comenzamos la divagación.

Ese día nos metíamos mucho con Novell, ya sabéis, por eso de hacer amigos, pero en un determinado momento hacíamos la demo de Espiando a los Espías usando Google y yo cantaba esa parte. Con lo acontecido previamente, se me ocurrió gracioso hacer un guiño a los españoles, así que dije algo como:

“Porque tendría mucha gracia que te inventaras una empresa falsa para hacerte la cobertura y que luego se viera que eres un espía por los metadatos de tus documentos indexados por Google….”

Por supuesto, también dejé claro que mi nombre era Fermín.

Después de ese chiste, y del consiguiente descojone generalizado de todos los españoles de la primera fila, no de los otros que estaban un poco más atrás en su papel, tuve que pasar unos días en una habitación dando explicaciones y prometiendo que no lo iba a volver hacer jamás….

En todas las conferencias de seguridad/hacking suele haber gente de los cuerpos de seguridad e inteligencia, y es por ello que se creó el concurso Spot the Fed en las CONs. Este encuentro fue con los míos, pero ha habido alguno más “gracioso” con los de otros países, similares al de la Defcon, que ya os contaré.

A los chicos de NombreX, os deseo mucha suerte en vuestra difícil labor y os envío un fuerte abrazo que sé que leéis este blog y nos tenéis a todos fichados. Sí, a los anónimos también.

Saludos Malignos!

martes, febrero 15, 2011

DigiFOCA parte 2

Desde este frío Oslo donde me encuentro para dar un training de la DigiFOCA en la HackCON#6, os voy a dejar algunas de las nuevas caracterítiscas que tiene esta version. Además de las que ya os comenté en la primera parte de esta serie [DigiFOCA Parte 1].

User-Agent personalizado

Una de las cosas que nos habían solicitado era la posibilidad de dotar a la FOCA de algún USER-AGENT que, o bien fuera reconocible de forma única, para poder ser utilizado en procesos de pentesting autorizado y que los responsables de sistemas pudieran monitorizar lo que se hace con la herramienta, o bien para que pudiera simular ser el Bot de Google o cualquier otra araña.


Figura 7: User-Agent Personalizado

Fuzzer para buscar Back-ups

Algo que se ve en muchas auditorías de seguridad es el backup del directorio creado directamente en el servidor de ficheros del servidor web. La idea es que muchas veces, en un http://www.sever.com/carpeta1/carpeta2, se produce una copia de seguridad de la carpeta2 que se hace directamente desde carpeta1, así se puede enontrar un fichero que sera http://www.server.com/carpeta1/carpeta2.zip o tgz o .rar, etcétera. Para ello, se ha añadido un módulo de búsqueda de backups a directorios.


Figura 8: Primero se seleccionan los directorios que se quieren inspeccionar


Figura 9: Después FOCA genera todos los posibles ficheros de Backup con el Fuzzer y los busca

Como se puede ver, FOCA buscará resultados que devuelvan códigos de servidor 200 y elimiará los códigos de respuesta que se indiquen en el panel de control.

Version.Bind

En la vista de roles se van a buscar los servidores DNS que se encuentren en los registros NS del dominio, pero ahora también se va a buscar el Primary.Master que aparezca en el registro SOA. Una vez descubiertos los servidores DNS, se va a buscar el registro version.bind para tratar de ubicar la versión del servidor DNS.


Figura 10: Version.bind en fingerprinting DNS

En fin, que ya os contaré en una tercera entrega las últimas novedades de la nueva DigiFOCA que saldrá en breve. La versión Free estará disponible para la RootedCON y esta version PRO la tendrán los que se apunten al RootedLab de la FOCA, junto con una FOCA T-Shirt que vamos a regalarles a todos los asistentes.

Saludos FocaLovers!

lunes, febrero 14, 2011

Regala Camisetas solo para Hackers

Un grupo de hackers ha abierto una tienda online para proveer a los hackers de camisetas con los diseños más cool que he visto en mucho tiempo. Si tuviera todas estas camisetas me pasaría horas para decidir qué me pongo hoy. La tieneda se llama Zerodayclothing y con eso ya lo dice todo. Aquí os dejo algunos diseños que me han hecho gracia.

El eterno amor entre Alice y Bob


Los oficiales usan Enigma


¿Estás listo para IPV6?


Las chicas malas van a Defcon


¿P=NP?

Hay una buena cantidad de diseños, así que ya tienes una excusa para perder la próxima media hora de tiempo revisando el catálogo, que al igual que sucedía en Trabajo Basura, uno tiene que recuperar un poco de sueño antes de empezar a trabajar de verdad.

Saludos Malignos!

domingo, febrero 13, 2011

Presentaciones de alto impacto

A todos nos cuesta la primera conferencia. Ya os he contado muchas veces que ponerse a hablar en público, la primera vez, es siempre muy complicado.

En el post que escribí sobre el Pánico, os contaba que Gonzalo Álvarez Marañón, el campeón en cuadritos de chocolate del Calendario Tórrido 2011, escribe un blog sobre cómo dar presentaciones, en el que da muchos y muy buenos consejos sobre esta disciplina, que tiene tanto de arte como de ingeniería.

Un día, a pachas, escribimos un articulillo sobre los fallos más comunes que habíamos visto en las presentaciones técnicas, bajo el título de 17 errores y medio que no debes cometer en una presentación técnica

A día de hoy, Gonzalo comparte su estudio en seguridad informática con la disciplina de presentar, llevándole a que se encargue de asesorar y construir presentaciones para políticos y premios Nobel. Flipante.

Así que, si quieres aprender de él, puedes hacerlo siguiendo su ya famoso blog de "El arte de Presentar" e incluso, si tienes tiempo y dinero, y presentar en público es importante para tu futuro laboral, apuntándote al próximo curso que va a dar en Madrid, durante dos fines de semana en Marzo. Creo que, si en tu trabajo tienes que dar presentaciones, el retorno de inversión lo vas a ver muy rápidamente.

Saludos Malignos!

sábado, febrero 12, 2011

Whitepapers y dispositivos móviles

Durante esta semana, desde Informática64, hemos estado involucrados en la publiación de un par de Whitepapers que tienen que ver con Smartphones y dispositivos móviles. Ya están disponibles para descarga, así que os informo de ellos:

iPad: La LOPD y el Esquema Nacional de Seguridad

Muchas empresas se están animando alegremente a introducir dispositivos iPad en sus entornos corporativos porque... ¡mola!. Seguro que algunos dicen que es más productivo, más cómodo, más... pamplinas, la verdad es que la verdadera razón es porque les parece molón. Sin embargo, el intentar convertir un dispositivo como iPad, que implementa un sistema operativo como iOS en una plataforma corporativa de ejecución de aplicaciones, puede ser una catastrofe para los equipos IT y legales.

En Informática 64 le encargamos a Juan Luis G. Rambla, autor entre otros, del libro de Aplicación de la LOPD en la empresa, que mirara si se pueden cumplir todos los aspectos de la LOPD y el Esquema Nacional de Seguridad con iPad. La respuesta, a parte de ser que no en muchos aspectos, la dejó plasmada en un documento de 45 páginas que tenéis disponible en la siguiente URL: iPad - LOPD y Esquema Nacional de Seguridad.

En el documento se analizan en detalles los puntos de las leyes que no se cumplen con un dispositivo iPad. Por supuesto, esto puede trasladarse también a los dispositivos iPhone.

Malware y Smartphones

Este whitepaper ha sido realizado desde el CNCCS, es decir, el Consejo Nacional Consultivo de CyberSeguridad, que no es nada más que un grupo de empresas que trabajan en seguridad informática que se han unido en una asociación privada con el objetivo de colaborar en la difusión y alerta de seguridad.

Desde el CNCCS se ha sacado este documento, de más de 30 páginas, en el que se hace un análisis de la situación actual en cuanto a smartphones y malware y, lo que es más importante, las recomendaciones de seguridad que deberían tenerse presentes para mantener seguros esos dispositivos que son:

- Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.
- Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
- Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
- Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
- Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
- Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
- Configurar el Bluetooth como oculto y con necesidad de contraseña.
- Realizar copias de seguridad periódicas.
- Cifrar la información sensible cuando sea posible.
- Utilizar software de cifrado para llamadas y SMS.
- Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.
- Al deshacerse del smartphone borrar toda la información contenida en el smartphone.
- En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
- En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).
- Monitorizar el uso de recursos en el smartphone para detectar anomalías.
- Revisar facturas para detectar posibles usos fraudulentos.
- Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.
- Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer click en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.
- Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
- Evitar el uso de redes Wi-fi que no ofrezcan confianza.
- Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa.


A estas medidas, los más preocupados por la seguridad, pueden añadir la de instalar un firewall para el dispositivo, foriticar las opciones de seguridad de cualquier aplicación instaladad en el equipo, configurar alguna solución antimalware para dispositivos smartphone o integrar los smartphones corporativos en los sistemas de administración y control corporativos de la empresa.

Puedes descargar el Whitepaper desde la siguiente URL: Malware y Smarphones

Todo esto hay que tenerlo muy presente ya que cada día van apareciendo nuevas formas de sacar información de smartphones no fortificados que sean robados o perdidos, como, por ejemplo para iPhone, que ya hay scripts de búsqueda de mensajes SMS, buenas herramientas forenses profesionales o técnicas para extraer todas las passwords almacenadas en él en menos de 6 minutos.

¡Ale!, ya tienes para leer el fin de semana }:))

Saludos Malignos!

viernes, febrero 11, 2011

Gira Up To Secure 2011: Presentaciones

Una vez que se terminó la Gira Up To Secure 2011, y tras perseguir a todos los ponentes participantes, ya tenemos disponibles las presentaciones gracias a la gente de Eventos Creativos. A todos los que habéis venido a esta gira: ¡Gracias! Esperamos poder hacerla en 2012 otra vez.


Durante la primera semana el ponente fue otro, y la presentación de Bitdefender está en Seguridad Apple.





Saludos Malignos!

jueves, febrero 10, 2011

Otros Canales de Comunicación

Hoy en día tenemos muchos canales de comunicación y vías de colaboración corporativas. Prueba de ello son productos como SharePoint o Documentum. Pero hay una máxima que se sucede tanto en entornos colaborativos muy grandes, como en los pequeños, y es que, cuando hay que "sacar" trabajo adelante, muchos usuarios pueden saltarse ese "canal" de comunicación y publicar documentos bajo "otros medios" más cómodos en ese instante para ellos, como el FTP inseguro del gobierno americano.

También nos encontramos con que gracias a esta crisis, existen empresas que compran a otras, migraciones a otros entornos, pérdida de jefes, etc, etc... Y si existen empleados que no tienen definido con rigor una serie de canales de comunicación para el envío y recepción de cierto tipo de información, seguro que emplearán "los que ya saben manejar bien".

Un problema que se puede presentar en departamentos de informática, es que ese tipo de canales está bien para entornos hogareños, pero no para entornos empresariales, ya que al ser de tipo público, otros ojos pueden mirar (¡¡¡y tocar!!) esta información. Al utilizar también este tipo de medios, se puede estar convirtiendo algo privado en algo "público".

Y para muestra un botón. En este servidor FTP de una empresa, aparte de todo el material relacionado con el modelo de negocio de ésta, también nos encontramos con el bonito juego MAFIA (¿¿Tendrán algo que ver??), para descarga directa de todos los usuarios que se dispongan a downloadearlo....


Imagen 1.- Mafia en Ftp corporativo y de acceso público

Otro ejemplo lo tenemos en esta serie de facturas que nos hemos encontrado embebidas en un documento PDF y publicadas mediande megaupload.


Imagen 2.- Facturas de mostrador pagadas “al contado”

A través de megaupload, también se puede publicar información que en mayor o menor medida, pueden afectar a usuarios que no tengan nada que ver ni con la empresa ni con los trabajadores de esta, pero que en algún momento ha hecho uso de sus servicios. Prueba de ello es la publicación de una lista de usuarios de un conocido site que se dedica a "conseguirte el amor".


Imagen 3.- Passwords encontradas. Una oportunidad para ligar

Megaupload es una fuente de información prácticamente inagotable a la hora de buscar este tipo de documentos. Gracias a ello, podemos decir que el municipio de Punta Arenas ha realizado una compra de autobuses a la empresa Don Brown, tal y como se muestra en la siguiente imagen:


Imagen 4.- Autobuses pa los niños!!

El buen uso de los canales de comunicación es crucial a la hora de garantizar que información privada de una empresa no pueda pasar a ser información de tipo pública.

Y tú, ¿tienes controlado tus canales de información?

Saludetes!!

Autor: Juan Garrido "Silverhack"
Blog: El diario de Juanito

miércoles, febrero 09, 2011

SeguridadWireless.net y la publicación del patrón de claves WPA de las redes WLAN_XXXX y JAZZTEL_XXXX de Movistar y Jazztel

El presente artículo es un comunicado desde SeguridadWireless.Net a petición suya para esclarecer el asunto de la publicación del algoritmo utilizado para generar las contraseñas por defecto en routers Comtrend de redes Movistar y Jazztel.

Comunicado desde SeguridadWireless: El pasado viernes 4 de febrero se desveló el patrón que usan los routers Comtrend, por defecto, para averiguar la contraseña de manera rápida y sencilla. Con tan solo conocer el nombre de la red y la dirección MAC del punto de acceso es posible averiguar la contraseña por defecto de la red WiFi. Teniendo en cuenta que la mayoría de la gente deja la contraseña por defecto, se calcula que más de 1 millón de routers están afectados por esta grave vulnerabilidad.

Seguridadwireless.net, en adelante SW, descubrió dicho patrón (algoritmo) el 24 de noviembre de 2010 y notificó vía e-mail al vendedor Comtrend de la existencia del bug el 1 de diciembre de 2010 sin respuesta alguna. Tras volver a contactar con Comtrend el pasado 8 de diciembre de 2010 y no obtener ninguna respuesta, finalmente, el 15 de diciembre de 2010, se publica en SW el fallo, pero sin desvelar el algoritmo, aunque se facilita en la web una herramienta en PHP para generar la contraseña.

El mismo día que se hizo pública se retiró todo lo publicado tras recibir una llamada de un responsable de la compañía Comtrend que, de buenas maneras, es decir, de forma cordial, deseaba hablar del asunto con los responsables de SW. Tras analizar la gravedad del asunto, y pensando en la seguridad final de los usuarios se organizó una reunión presencial en Madrid, entre Comtrend y representantes de SW, donde se firma un documento DNA (Non-disclosure agreement).

SW recibe múltiples críticas sobre el hecho de haber quitado la información, se habla de censura, de presiones, incluso de dinero. SW decide hacer una comunicado donde se explica que está trabajando de manera conjunta con Comtrend para solucionar el problema y que, dada la gravedad del asunto, cree que lo más conveniente es no publicar la vulnerabilidad pese a las críticas. No se dan más explicaciones y varios usuarios disconformes con esta política deciden investigar por su cuenta el fallo con las pistas otorgadas por SW.

Finalmente, un anónimo, decide publicar el viernes 4 de febrero varias herramientas, en diferentes lenguajes: php, bash, python, etcétera, con el código fuente, donde se puede ver el patrón con la cadena clave para descubrir la contraseña, todo ello sin estar solucionado el problema.

Desde SW pensamos que es una irresponsabilidad actuar de esta manera, y no hace más que perjudicar al usuario final. Se acusa injustamente a SW de no ayudar en el tema cuando pensamos que hemos actuado de la mejor manera ética y correcta, y nuestro único fallo ha sido no explicar con claridad todos los detalles del entramado.

Diversos medios de reconocido prestigio en el mundo de la seguridad se hacen ecos de la noticia, y sin mala intención, publican, bajo el punto de vista de SW, información inexacta o no completa sobre lo ocurrido y, por ese motivo (entre otros), se decide redactar este nuevo escrito.

En el anterior comunicado oficial, SW deja muy claro sus intenciones, su postura de no "robar wifi" y su compromiso con el estudio de cifrados de manera seria y responsable, tal y como se ha demostrado avisando con antelación al fabricante y respetando un acuerdo firmado.

Lamentamos la confusión generada y que las circunstanciás hayan hecho que no se haya publicado y desvelado la noticia del patrón tal y como no hubiera gustado. Consideramos que hemos hecho lo correcto dada la gravedad del asunto y hemos preferido ser prudentes en lugar de ser los primeros en publicar el fallo. Nuestro objetivo fue siempre que hubiera una solución y aviso por parte del fabricante a sus clientesantes de que se hiciera público el problema y evitar, en la medida de lo posible, que estas redes WiFi se utilicen para cometer delitos.

Queremos dejar muy claro que SW no ha sacado ningún beneficio económico, ni ha intentando sacar dinero, ni ha sido "comprado su silencio", tal y como se ha especulado falsamente. SW no ha sacado ningún beneficio del acuerdo firmando con Comtrend, excepto el de la satisfacción de reportar de manera altruista un grave fallo de seguridad.

En breve daremos detalles técnicos del descubrimiento del fallo y de todo el proceso, pero mientras tanto instamos a todos los usuarios de este tipo de redes a realizar un cambio de la contraseña por defecto, algo que es fácil de implementar y que incrementa la seguridad de la red WiFi personal.

Mientras tanto desde SW seguiremos trabajando en las herramientas de auditoría y seguridad Wifislax/Wifiway, con nuestro compromiso de hacer una Internet más segura y siguiendo los principios éticos básicos de la comunidad SW. Esperamos vuestra participación y nos despedimos esperando que hayan quedado resueltos algunos interrogantes que se han planteado en los últimos días.


SW Staff.

martes, febrero 08, 2011

Dust RSS: Una breve introducción


La idea de utilizar un sistema de distribución como DUST vino precedida por la controvertida persecución que hemos visto estos últimos tiempos entre los partidarios y los detractores de Wikileaks. En el caso de Wikileaks, el revuelo mediático producido fue tan grande, que consiguió aunar las fuerzas entre atacantes y defensores. Sin embargo, ¿qué podría hacer una persona única que publica su blog contra un ataque de estas características? Poco.

Con este planteamiento pensamos en hacer un sistema que, con los menores cambios posibles, cualquiera pudiera publicar sus noticias, sus posts, y garantizar la perdurabilidad de su canal de noticias y de sus usuarios.

Actualmente la mayoría, si no todos, de los blogs tienen publicado un feed RSS. Lo normal es que este feed RSS se encuentre en algún formato estándar basado en XML entendible por los clientes RSS que tienen los lectores. Todo esto funciona de maravilla, y no queremos tocarlo, queremos que se siga utilizando esta infraestructura de feeds, pero queremos cambiar el canal, para no depender de HTTP.

El Feed al P2P

Con este fin, pensamos en algo bastante evidente, utilizar canales P2P, lo que es bastante evidente. En un entorno “extremo”, es decir, en caso de emergencia, alguien podría publicar, cuando estuviera bajo un ataque, el fichero XML en la red P2P y punto. Sin embargo, su audiencia tendría que saber de ese cambio y, sobre todo, estar preparado técnicamente para este cambio.

Un cliente RSS que haga polling al P2P

Es por ello, que nuestro objetivo es tener con Dust RSS un cliente que haga polling al P2P, al igual que los clientes RSS tradicionales hacen polling por HTTP. Es decir, que los clientes se puedan suscribir al feed RSS vía P2P de igual forma que a día de hoy lo hacen al feed RSS vía http. Este cliente, lo que va a entregar, a cualquiera de las aplicaciones que lo quieran utilizar, es un feed XML del blog, que luego la aplicación de turno procesará tal y como procesa los feeds RSS que descarga vía http.

La distribución de los contenidos externos al XML

Hay que tener en cuenta que muchos componentes que se visualizan en la lectura de un feed XML son externos, es decir, que en el documento XML solo vienen referenciados por su ruta http, es necesario hacer una publicación de los mismos vía P2P, así, cuando se “dusterice” el Feed RSS hay que añadir un modificador a las etiquetas que vinculan contenido externo http para indicar que esos documentos están disponibles en la red P2P, y bastará con añadir su hash de publicación en la red.

La publicación del Feed RSS

Por supuesto, una vez creado el fichero XML, este deberá ser compartido por P2P junto con todos los archivos vinculados. Con este procedimiento, el fichero XML estará en la red P2P y en él estarán los hashes de descarga P2P de todo el contenido externo, que también estará en la red P2P. El cliente DustRSS deberá hacer polling por el nombre del feed, descargarlo, leer los vínculos p2p externos, y descargarse el contenido externo de la red P2P para poder darle al lector RSS un feed completo.

Evitar suplantación de publicaciones con PGP

Por supuesto, en este entorno de trabajo, hay como problema, que cualquiera pueda publicar un feed e intentar suplantar al publicador, así que decidimos que todos los feeds fueran firmados con PGP, es decir, el hash del fichero en la red P2P más el nombre del blog firmados con la clave privada PGP.

Por su parte, el cliente dust RSS se encargará de hacer polling y comprobar que el fichero está firmado correctamente, lo que implica que durante el proceso de subscripción al feed RSS de Dust deberá obtener la clave pública del publicador, para así descargar solo los archivos XML correctos.

Cuando tengamos más avanzado el proyecto os pasaremos los detalles técnicos en detalle, ya que, tanto el dusterizador como el cliente se publicarán junto con su código fuente.

Esperamos que todos podáis ver la charla durante la próxima RootedCON, que la daremos el viernes 4 a las 13:00 horas y que, antes. os podáis suscribir vía Dust RSS a algunos blogs, y darnos todas vuestras ideas.

Saludos Malignos!

lunes, febrero 07, 2011

Entrevista a Nico Waisman de Immunity

Nico Waisman tiene algo de caballero de novela épica. Cuando le conocí la primera vez rodeado de gente ayudándo con los trainings de la Ekoparty del 2009 tenía imán. Era como un veterano de guerra sonriente que al que todos acudían a consultar. Cuando le conoces más, con su barbita deshilachada, su sonrisa perenne y su conversación fácil, te enamora.


Niko Waisman

Nico es uno de esos con los que vale la pena conversar durante horas. Es divertido, es cercano, sabe un montón, tiene experiencia en mil batallas, es genial. Cuando conoces a la manada de lobos devora-mate que tiene a su cargo, que igual despellejan un binario, que a un gallego que pase por allí, te das cuenta que Nico tiene un halo de mando ganado por el respeto.

Este año pasado, además de disfrutar con el juego de combate que publicaron en la Ekoparty en el que me metieron para que la gente disfrutara dándome patadas en el culo, le disfruté viéndole dar una conferencia en la Black Hat 2010 sobre bugs y exploiting de use_after_free. Después de la charla, nos lio para jugar la HackCup, donde el FOCA Team fue, injustamente eliminado, tras la lesión de su capitán.

Este fin de semana nos mandó un artículo sobre Cómo explotar Mac OS X con CANVAS usando un use_after_free exploit en Safari, con lo que ya aproveché para liarle en esta entrevista, que espero que os permita conocer a un tipo genial.

Gracias Nico, espero con ánsias el asadote.

Saludos Malignos!

1.- Vale, para los gallegos que no sepan a qué te dedicas, cuéntanos que hace un VP en Immunity.

Jaja, pues VP es un jugarreta americana para sonar más importante, pero la verdad es que llevo adelante las oficinas de Immunity en Sudamerica, esto incluye una serie de tareas tan dispares como hablar con clientes, llevar adelante proyectos y armar esas pesadas planillas de Excel para manejar los tiempos de todos. Personalmente, me gusta verlo como "El que hace el trabajo aburrido para que los chicos de Argentina no lo tengan que hacer".

Sin embargo, 4 o 5 veces al año me toca viajar para dar alguno de los training de Immunity o alguna charla en una conferencia. Y una vez al mes, cuando la luna está en su apogeo, tengo tiempo para abrir IDA y desensamblar algún binario.


2.- Ahora explícame quién es el que dijo... eso de ¿y si en lugar de llevar unas máquinas de demo con Immunity Canvas a la Ekoparty, nos hacemos un juego para la PS3 y tomamos mate mientras la gente se pelea? ¿Ayuda eso a vender Canvas?

Es una buena pregunta, y debo decir orgullosamente que fue el resultado de un brainstorming del equipo un mediodía. Con la mozzarella de fondo, empezamos a discutir toda una serie de disparates sobre lo que podíamos hacer en la Ekoparty, el objetivo era hacer algo en que la gente que se acercara y nosotros mismos nos divirtiésemos.

Parece que funcionó, porque hemos tenido muy buen feedback de la gente. La verdad que nuestra presencia escapaba un poco de vender CANVAS, la Argentina no es un gran mercado para este tipo de productos. El objetivo fue pasarla bien y de paso ayudar a los chicos de la Ekoparty con el sponsoreo.


3.- ¿Cuántos exploiters tenéis ahora en Argentina trabajando para Immunity?

En este momento, somos 10 personas en el equipo Argentino y estamos planeando expandirnos un poco más.

4.- ¿Qué hay que estudiar para acabar dando una charla de exploiting en Black Hat y siendo VP de Immunity?

La verdad que no es un tema de estudiar una carrera formal (Aunque claramente recomiendo seguir Ciencias de la computación o alguna carrera relacionada con la matemática). No hay una carrera específica de seguridad informática, y si la hay apenas roza la seguridad ofensiva. Para dedicarse a la investigación hace falta espíritu y golpearse la cabeza contra la pared unas cuantas veces.

5.- En Argentina hay muchísima gente buena en seguridad informática y hacking... ¿son tan buenas las universidades allí en exploiting o es que esto va con el espíritu argentino?

Las universidades tienen poco que ver en esto, si hablas con los investigadores más importantes te darás cuenta que solo un bajo porcentaje terminaron la universidad y su nivel técnico es altísimo. La verdad que hace un tiempo que vengo pensando la razón, y me gustaría, algún día, hacer un trabajo sociológico para encontrar las verdaderas causas, mientras tanto voy recopilando varias teorías que escucho, a continuación te nombro algunas:

a) En los principios de la informática y las redes de comunicación, hubo una importante scene argentina (BBS, ezines como HBO, etc).
b) Tiene una relación directa con la neurosis que sufren muchos argentinos
c) "Algo en el agua"
d) Tiene que ver con una rebeldía que tiene el argentino frente a la ley, y que desemboca en el hacking
e) Ciertos demonios que perseguimos los Argentinos.
f) El argentino está acostumbrado a hacer mucho con poco por falta de recursos y constantemente ingeniarse una solución a este problema.


Hay algunas más, como ves son todas muy diferentes pero tienen en común que comparten un elemento de realidad y otro de fantasía.

6.- Para los que no conozcan Canvas pero trabajen en seguridad, descríbenoslo y danos motivos para probarlo. Vamos, que nos lo vendas.

CANVAS es una herramienta de penetration testint que ya tiene unos cuantos años de desarrollo y maduración. Este framework te permite, no solo poder llevar adelante un penetration test, sino desarrollar tus módulos en base a él.

Listar las ventajas y desventajas seria largo y tedioso, y para eso ya lo tienen a Chema hablando de la FOCA. Solo voy a decir que en Immunity, cuando desarrollamos CANVAS, nos concentramos en hacer los exploits que más sirven a nuestros clientes y por sobre todo, hacerlos bien. Y aquí vale aclarar la diferencia entre un exploit hecho por un quinceañero en sus boxes en el sótano de la casa de su madre, frente a un exploit de nivel comercial desarrollado y testeado en varios escenarios.

Tenemos, y acá no puedo evitar el orgullo, uno de los mejores equipos de desarrollo de exploits del mundo con gente que venimos contratando desde casi todas partes del planeta, principalmente de Argentina, Estados Unidos y varios países de Europa.


7.- ¿Habrá HackCup este año en la Defcon? Te recuerdo que los Españoles seguimos siendo los campeones del mundo.

¡¡Claro que sí! Aunque España siga siendo el campeón, no lo demostraron en la HackCup pasada. Esperemos que en la versión del 2011 puedan hacerlo y robarle el título a Sudáfrica.

8.- Me pienso llevar a mi FOCA Team a la Ekoparty este año y la pregunta es... ¿nos invitaréis a un buen asado o tendremos que pedirle a la gente de Core (guiño,guiño) que nos cuide?

Faltaba más, el año pasado hicimos uno pero llegaste tarde o seguramente tenías algún compromiso con tus fans. A ver si este año te venís.

9.- Nico, tú has visto a muchísima gente en este mundo, ¿Quién que hayas conocido te ha impresionado más?

Es una buena pregunta, yo no diría "impresionarme" pero si tengo muchísimo respeto con gran parte de las scene europeas de fines de los '90 y principios del 2000, las cuales entendían al hacking y al desarrollo de exploits como un arte, y lo podías ver en cada uno de sus exploits. Fueron los que desarrollaron la mayoría de las técnicas de explotación que usamos y algunos "reinventan" en esta época.

Si uno mira exploit-db o algún otro repositorio/framework de exploits, te darás cuenta como lo que buscan es el impacto por sobre el arte. Es una batalla por ver quién llega primero a desarrollar el exploit sin importar la calidad. Unos cuantos años atrás, era imposible liberar algo así sin tener una condena "moral" por parte de los demás.


10.- Si alguien quisiera aprender exploiting para acabar un día trabajando para ti en Immunity, ¿qué le recomendarías?

Lean todo lo que hay en internet, y escriban exploits sin parar, no tengan miedo en re-hacer exploits existentes, sin duda que va a ser un buen ejercicio para entender, y en la mayoría de los casos, perfeccionarlo.

11.- ¿Qué se pregunta en una entrevista de trabajo para contratar a un exploiter en Immunity?

Las entrevistas de trabajo comienzan con un examen "filtro" por email, que tiene como objetivo probar conocimientos básicos de debugging, desarrollo (Python, C y Assembler) y algunas habilidades básicas. No es difícil, pero nos permite identificar quienes realmente tienen intereses en trabajar con nosotros o no.

Algunas de las respuestas, se pueden encontrar invirtiendo algunas horas en Google, pero te sorprenderías como en la mayoría de los casos ni siquiera hacen eso.

Luego tenemos una entrevista personal, en el cual hablamos de su vida, experiencias pasadas e intereses. Dependiendo para la posición que se ofrezca, puede ser que nos pasemos todo un día frente a una computadora desarrollando algo o reverseando algún binario.

En la Argentina, tengo la suerte de poder elegir yo mismo a la gente de mi equipo y hay dos cosas que priorizo por sobre cualquier habilidad mágica que el entrevistado pueda tener: Capacidad y ganas de aprender (Y por ende, humildad para hacerlo) y por sobre todo, el factor humano. Con solo caminar los pasillos de una conferencia, uno se da cuenta de los egos gigantes que te cortan el paso y que son mayoría en el ambiente de la seguridad informática. El narcisismo es la primera razón para que te vaya mal en una entrevista de trabajo.


12.- No te pregunto qué sistema operativo usas porque sé que es Linux... pero... ¿estoy equivocado o usas Ubuntu? ¿Por qué Ubuntu?

Llega una edad, en la que el ser humano tiene que priorizar el concentrarse en su trabajo por sobre pasarse horas arreglando y haciendo funcionar los distintos componentes de su PC. Yo ya estoy en los 30, y pasé la época en que uno compraba Slackware por correo y se pasaba 2 semanas instalando y configurando, para lograr tener una computadora sin red, sonido, video solo en consola pero eso sí, ¡booteando!

13.- Y fuera de la informática... ¿qué le gusta a Nico Waisman? ¿Cuáles son tus aficiones?

Desde exactamente 10 meses atrás, mi única afición es mi hija. En un tiempo lejano, donde podía disfrutar de eso que llaman ocio, me dedicaba a la lectura y el estudio de filosofía.

14.- Todos sabéis que Raúl ha sido el mejor jugador total del mundo y que Casillas es el mejor portero de la historia, pero, centrándonos en ligas menores,... ¿hay algún jugador de futbol que te guste mucho de la liga Argentina?

¿Cuál es Raúl? ¿El que casi gana un Balón de Oro?

15.- Y de lectura no técnica, he visto que tu artículo sobre Canvas para "coger" Mac OS X era muy literario, recomiéndanos 3 libros.

Recomendar 3 libros, es una de las tareas más difíciles sobre la tierra. Sin pensarlo mucho, alguno de mis favoritos...

- Niebla de Don Miguel de Unamuno (y a quienes les gusten los "antiheroes", La conjura de los necios de J.K. Toole)
- The great Gatsby de Scott Fitzgerald
- El banquete de Platon (Y mi interpretación favorita, "Eros, Demonio Mediador" de Giovanni Reale)


16.- ¿Darás una charla este año en la Ekoparty o tomarás Mate?

La ventaja de tener la Ekoparty "en casa", es que uno puede disfrutarla sin tener que dar una charla y así evitarse el desgaste físico y mental que eso conlleva. Sin embargo, ando pensando alguna idea para una charla, ya veremos...

17.- De todas las conferencias en las que has estado... ¿qué con te ha gustado más y por qué?

Cada conferencia tiene lo suyo, Ekoparty sin duda es una de mis preferidas por la calidad de los speakers, la fuerza de sus organizadores y todos los amigos con los que me encuentro en cada edición. Sin embargo, la conferencia que más me ha gustado es G-CON, una conferencia que se hizo en México en el 2003/2004. Como buen Argentino, la razón de esto es la nostalgia. Fue la primera charla publica que di, y allí conocí grandes amigos que todavía sigo viendo, entre ellos Dave Aitel (el CEO de Immunity).

18.- ¿Sigues blogs? ¿Qué nos recomendarías leer para estar al día?

Seguía blogs, ahora la verdad que sigo gente en twitter y ellos me apuntan constantemente a blogs que te mantienen al día (Mi usuario es @nicowaisman)

19.- ¿Te animarás a participar en el próximo calendario tórrido como el gran Luciano Bello?

Soy un hombre de familia, ¡qué ejemplo le dejaría a mi pequeña!

20.- Seguro que en España hay mucha gente que quiere probar y trabajar con Canvas... ¿Qué pueden hacer?

Visiten http://www.immunityinc.com lean de qué se trata o mándenme un email a nicolas@immunityinc.com y los voy a poder guiar. Más alla de CANVAS, en la página de Immunity van a poder encontrar papers y software open source que van a poder bajarse de manera gratuito. Y ya que estoy haciendo publicidad gratuita, en Abril estamos organizando una conferencia por primera vez en nuestra sede central en Miami Beach, denle un vistazo: http://www.immunityinc.com/infiltrate

Entradas populares