jueves, marzo 31, 2011

Barcelona CONnection

Hay varias cosas planificadas para Barcelona, así que las voy a agrupar en un solo post, para los amantes del aprendizaje continuo. Vamos al lío:

15 de Abril: OWASP Spain

El próximo día 15 de Abril, en el teatro Ateno, tendrá lugar la reunión del capítulo español de OWASP, con la siguiente agenda de charlas:

- 14:45 a 15:25 Registro de asistentes
- 15:25 a 15:30 Bienvenida y presentación de la jornada
     Vicente Aguilera Díaz. OWASP Spain Chapter Leader.
- 15:30 a 16:30 Web Attacks In The Wild: An overview of last year’s probes
     Adrián Pastor. Principal Security Consultant. Corsaire.
- 16:30 a 17:30 SAP: Session (Fixation) Attacks and Protections
     in Web Applications)
Raúl Siles. Founder & Senior Security Analyst. Taddong.
- 17:30 a 18:15 Coffee-break
- 18:15 a 19:15 Seguridad OWASP & Certificación PA DSS de Aplicaciones de
     Pago
Marc Segarra López. Consultor en Seguridad. Internet Security Auditors.
- 19:15 a 20:15 CESICAT-CERT
     Carles Fragoso Mariscal. Responsable de Respuesta a Incidentes.
- 20:15 a 20:55 Mesa redonda: Debate entre los ponentes e invitados.
- 20:55 a 21:00 Despedida y cierre de la jornada

La asistencia es gratuita, pero debes registrarte en la siguiente URL: OWASP Spain.

UPDATE: Los investigadores de Taddong imparten cursos de seguridad GSM/UMTS en Madrid, Valencia y Barcelona, en español e inglés a los que puedes apuntarte.

28 de Abril: Presentación de ADMTools

Durante este mes de Abril, la empresa ADMTools, distribuidora de los productos GFI en España, va a realizar un evento en Barcelona para presentar la oferta de soluciones de seguridad de la compañía. La agenda de las jornadas será la siguiente:

- 09:30 a 10:00: Recepción
- 10:00 a 10:30: GFI MAX RemoteManagement™
- 10:30 a 11:00: GFI VIPRE® Business
- 11:00 a 11:30: Coffee-break
- 11:30 a 12:00: Add-On® Resource Central
- 12:00 a 12:30: GFI WebMonitor
- 12:30 a 13:00: Exclaimer MailDisclaimers
- 13:00 a 13:15: ADMTOOLS® - Retos y Expectativas
- 13:15 a 14:30: Cocktail

El evento tendrán lugar en Barcelona, el 28 de Abril de 2011 en el Hotel Novotel Barcelona City. La asistencia al evento es totalmente gratuita, pero es necesario realizar previamente una reserva de plaza en el siguiente enlace: Regitro a evento ADMTools.

NoConName: Call For Pappers abierto

No puedo dejar este post hablando sobre conferencias en Barcelona sin recordaros que la NoCONname ya tiene fecha para la edición de este año, que será el próximo 16 y 17 de Septiembre. Actualmente tiene abierto el proceso de presentación de propuestas. Tienes más información en la página web de la NoCONname.

Saludos Malignos!

PD: No olvidéis que este 20 de Abril también hay un evento interesante de ver si se celebra en Barcelona o en Madrid

miércoles, marzo 30, 2011

Overflowed minds: Aprendiendo a hacer exploits

Un grupo de gente se ha juntado para generar documentación sobre cómo funcionan las técnicas de exploiting. Bajo el título de Overflowed Minds están empezando a generar documentación para que se cree una comunidad y poder aprender de los conocimientos de los demas.

El sitio se encuentra en la URL: Overflowed minds y, de momento, tienen publicados tres papers muy interesantes sobre exploiting, y en castellano, además de un Foro. Estos son los que están disponibles... (en formato PDF...)

- Introducción a la explotación de software en sistemas Linux
- Local Linux x86 Shellcoding without any high-level language
- Bypassing local Linux x86 ASLR protection

De momento es una comunidad joven, y os animo a todos a los que queráis aprender que os leáis los documentos y, a los que podáis aportar algo, que ayudéis con el proyecto, que al final todos salimos ganando. Tanto los que publican, como los que leen. ¡Suerte con el proyecto!

Saludos Malignos!

No Lusers: Dust-Inspirated

El amigo Sorian últimamente saca más partido a mis ideas que yo... y me tiene enamorao con sus dibujos. Os dejo el último A3 que nos llegó a la oficina, un Dust-Inspirated.


Sorian, eres un Crá!! No sé como de algo como se te pudo ocurrir mezclar Dust y a Josemaricariño... ¡Deja los ordenadores y ponte a dibujar ya!

Saludos Malignos!

Nota: El escaneo me lo hicieron como pudieron en un scanner A4, el orginal es mucho más bonito }:))

martes, marzo 29, 2011

El buscador más encontrado buen buscador será

Ayer por la mañana pensaba escribir sobre lo del SQL Injection en MySQL porque tiene cierta ironía. Sin embargo, el post de Yago me motivó para escribir sobre el tema del OCSP. Al ponerlo a ello pensé... "Olvidate de lo del hack de MySQL Injection porque lo van a publicar en Una al día seguro..." y dicho y hecho.

Así que, como me inculcó mi mamá, no se debe dejar para mañana lo que puedas hacer hoy. Sabido eso, es decir, que el post de hoy me lo han quitado, y que lo que a mí me hubiera gustado contar hoy es lo que publicó Una al día - no veáis que pedazo de anuario que escribió Pajarraco de los Santos sobre las noticias de Una al día durante los últimos 12 años - has de parar de leer aquí, ya que el resto del post es una chorrada.

Lo cierto es que muchos de los posts de El lado del Mal son una chorrada, así que probablemente, si eres un lector al uso, ya habrás incumplido mi recomendación y estarás leyendo esta chorrada. ¿Me equivoco?

En fin, como quería hacer una chorrada en penitencia pensé en qué podría ser una buena chorrada para flagelarme, y llegué a la conclusión siguiente: Vamos a buscar un buscador de Internet en un buscador de Internet.

Este tipo de chorradas son las que se suelen hacer en las grandes empresas para cumplir con disciplina las reglas de Dilbert que siempre situán a la empresa a un paso de la solución. Sí, ya sabéis, ese tipo de empresas que "Buscan un grupo de personas para que busquen una solución".

Por si, llegado este punto, aun sigues interesado en la chorrada [Deberías hacértelo mirar] estos son los resultados que he obtenido, que dicho sea de paso, son para mear y no echar gota.

Para Google, los buscadores de Internet más buscados, es decir, los que se convierten en los más encontrados vía Google son: Terra y Yahoo!. Toma ya!


Si crees que Google es un gran buscador, entonces debes reconocer que Bing es aún mejor. Primero se puede ver como "indexa" correctamente los resultados de Google, posicionando a Terra como mejor resultado. Luego recomienda Google, ¡para que encima digan que son malos competidores!


Para Terra, la cosa está clara, los mejores son ellos, pero, por si hay dudas, Bing es una mucha mejor opción que Google, ¡y eso que utilizan los resultados de Google!. Sin embargo, no sé exactamente que resultados usan, ya que Yahoo!, que era la segunda opción de Google, desaparece totalmente de aquí.


Por último, para Yahoo! el primer resultado es un sito SEO-Oriented para buscador de Internet, mientras que el segundo mejor resultado es Terra.


Visto esto, hay que reconocer que Bing es mejor buscador que Google porque ofrece un mejor juego de resultados para Buscadores de Internet que Google. Además, hay que tener en cuenta que si el mejor es Terra - ya que en medio es el mejor posicionado en todos - entonces Bing es una mejor opción que Google, ya que sale mejor en la lista de resultados... y. Sí, las conclusiones son también una chorrada, pero... ¿no te avisé al principio del post?

Saludos Malignos!

lunes, marzo 28, 2011

OCSP, el update de Windows Raúl y el ataque de Roberto Carlos

Con el lío que se ha montado con los certificados digitales falsos creados de Comodo ha habido mucho ruido y mucha información, con lo que probablemente todos estéis ya informados de que un hacker iraní consiguió hacerse con certificados falsos de Gmail, Live, etcétera. En Una al día, como suelen hacer con estas noticias desde hace más de 12 años [guiño, guiño], lo explican de maravilla, y Yago, de Security By Default, amplía la información en Me inComodo - me encanta el título -.

Sin embargo, hay un aspecto que me no he leído en casi ningún sitio y es la vulnerabilidad de OCSP frente a ataques Man In The Middle, que ya demostró Moxie Marlinspike en 2009.

El asunto radica en que, para mitigar el impacto que puedan tener en la seguridad los certificados digitales, en casi todos los sitios se habla de tener activado OCSP (que Firefox lo trae por defecto) o activarlo en el resto de navegadores. Sin embargo, Microsoft ha optado por aplicar Security Fix con una descarga de la CRL en cada equipo. ¿Por qué ha hecho esto?

El protoolo OCSP (Online Certicate Status Protocol), como su propio nombre indica, es un sistema de consulta online para saber si un determinado certificado digital ha sido revocado o no. Para ello, el cliente envía la petición a la ubicación de la CRL (Certificate Revocation List), que viene indicada en el propio certificado digital. Si quieres saber más de certificados digitales, no dudes en comprarte el libro del DNI-e de Rames Sarwat [guiño, guiño]

Ahora viene el problema. Si un atacante está haciendo un ataque de Man in The Middle para utilizar uno de estos certificados digitales, entonces también puede interceptar las peticiones OCSP. Estas peticionees, aunque van firmadas en su cuerpo, no van firmadas en su cabecera y hay una respuesta especial que puede mandar el atacante para hacer que se de siempre por bueno un certificado digital, y es el número que llevaba Roberto Carlos en el Real Madrid.

Como explicaba Moxie en sus charlas, OCSP tiene una respuesta válida que puede devolver un servidor que es Try Later. Esta contestación, que tiene asignado el código 3, le dice al cliente que ahora no puede atender su peticion, que lo siente mucho. Así, la mayoría de los clientes, ante esta situación, aceptan el certificado digital o, en algunos casos, muestran una alerta totalmente distinta a la típica de los ataques Man in the Middle.

Lo cierto es que basta con conectar un Proxy en medio cancelar todas las peticiones OCSP que hace el cliente (yo lo he hecho con Firefox 4 y Gmail) y el navegador, no comprueba si está revocado o no el certificado y NO da niguna alerta.


Figura 1: Peticiones OCSP dropeadas en Firefox 4

Conocido el ataque de Roberto Carlos al protcolo OCSP, y el comportamiento de no generar alertas ante la imposibilidad de conectarse al servidor OCSP, es por lo que Microsoft, aka Spectra, ha optado por el security update, que yo tengo instalada en mi Windows Raúl.

Saludos Malignos!

domingo, marzo 27, 2011

Buscando sesiones rotas con componentes cliente

Uno de los fallos comunes en aplicaciones web son los de sesión rota. En este tipo de fallos, el programador del software no comprueba en todos los puntos de la aplicación que el usuario tenga una sesión autenticada y activa, lo que permite a atacantes sin sesión activa llegar a determinadas partes de la aplicación.

Encontrar partes de la aplicación web que pueden ser accedidas sin una sesión activa puede ayudar desde a encontrar más información del sitio hasta conseguir un acceso, dependiendo del lugar donde falle la comprobación.

Un entorno a explorar son aquellas aplicaciones web que cargan parte de la lógica mediante un componente que se carga en el navegador. Este componente puede ser un simple fichero en flash, un componente ActiveX o un Applet Java, por poner un ejemplo.

En el caso de que sen componentes fácilmente decompilables, una idea sencilla es abrir el cliente y buscar las URLS contenidas para poder realizar un spidering de las mismas, buscando todos los ficheros que aparezcan. Esto es muy común, por ejemplo, en los ficheros flash o los applets Java. Si el componente es un objeto escrito en Visual C, la cosa implica hacer reversing o fuzzing. Alejandro Ramos escribió un gran artículo sobre cómo analizar la seguridad de los ActiveX.

Sin embargo, en cualquier caso, debe existir una comunicación entre la aplicación web y el cliente para que este último vaya abriendo los paneles de interfaz de usuario a media que un usuario autenticado los vaya necesitando. Es por eso que, cuando el servidor se lo indique, el cliente deberá abrir un nuevo panel al usuario, con opciones que llamarán a nuevas partes del servidor.

Si se intercepta la comunicación entre el servidor y el cliente, es fácil indicarle al cliente que debe abrir otro panel del interfaz, y descubrir nuevas partes de la aplicación en el servidor.

En el ejemplo del otro día, con ThinWorx, se carga un applet Java o un control ActiveX dependiendo del navegador. Si se intercepta la comunicación entre el servidor y el cliente se puede ver que cuando el usuario no introduce una clave correcta se obtiene un mensaje de error.


Figura 1: Error de autenticación

Este mensaje de error es mostrado por el componente cliente porque el servidor se lo ha indicado por medio de un código configurado. En este caso, el valor 4.


Figura 2: Código de respuesta de servidor

Conseguir ver diferentes partes de la aplicación cliente será tan senillo en este caso como cambiar los códigos de control que el servidor envía al cliente. En este caso, para acceder al panel de usuario, basta con manipular el valor 4, y sustituirlo por un valor 0, tal y como se ve en la siguiente imagen.


Figura 3: Manipulación de código de respuesta de servidor

El resultado es que se accede a un panel de administración de usuario sin sesión. Lógicamente. Si el servidor tiene comprobada correctametne la sesión en todas las ubicaciones llamadas, no se podrá ver nada más que las partes clientes.


Figura 4: Panel de usuario de la aplicación

Sin embargo, con el descubrimiento de nuevas URLs, se puede continuar realizando un proceso de spidering, buscando nuevas ubicaciones, para intentar encontrar partes de la aplicación que no requieran sesiones. En la siguiente imagen se puede ver el panel de administración de la aplicación.


Figura 5: Panel de administración

Tal vez, con este sistema no consigas tener el acceso completo a un sitio, pero si descubrir mucha más información que, de buen seguro, será útil más adelante.

Saludos Malignos!

sábado, marzo 26, 2011

Calendario de Hols y Virtual Hols en Abril

Ya está cerrado el calendario de Hands on Lab en Madrid y Virtual Hands On Lab a través de Internet en Madrid, así que os dejo la lista de todas las sesiones por si quieres apuntanter a alguna. Tienes toda la información en la página de Hands On Lab en Madrid y los Virtual Hands On Lab.

Semana 1

28/03 [Madrid] Windows 7: Implementing
28/03 [Madrid] Windows 7. Integración Empresarial
29/03 [Madrid] Windows 7. Seguridad
30/03 [Madrid] Windows Server 2008 R2: Network Services
30/03 [Madrid] Windows Server 2008 R2: Implementing
31/03 [Madrid] Exchange Server 2010: Análisis Forense
31/03 [Madrid] Windows Server 2008 R2: Active Directory
01/04 [Madrid] Windows Server 2008 R2: Terminal Services

Semana 2

04/04 [Madrid] SQL Server 2008 R2: Implementing
04/04 [Madrid] SQL Server 2008 R2: Integration Services
05/04 [Madrid] SQL Server 2008 R2: Administración y Seguridad
06/04 [Madrid] SQL Server 2008 R2. Analysis Services
06/04 [Madrid] SQL Server 2008 R2. Reporting Services
07/04 [Madrid] SQL Server 2008 R2. Replication Services
08/04 [Madrid] SQL Server 2008 R2. Ajuste del Rendimiento

Semana 3

12/04 [Online] Seguridad de una organización con MS Forefront
12/04 [Online] MS Forefront Endpoint Protection 2010
13/04 [Online] MS Forefront Protection 2010 for Exchange Server
14/04 [Online] MS Forefront TMG 2010: Implementing

Semana 4

18/04 [Madrid] System Center Operations Manager 2007 R2
18/04 [Madrid] System Center Configuration Manager 2007 R2
19/04 [Madrid] System Center Operations Manager 2007 R2: Exchange

Semana 5

26/04 [Online] LOPD Aplicada en Windows: Sistemas Operativos
26/04 [Online] Esquema Nacional de Seguridad en entornos Microsoft
27/04 [Online] LOPD Aplicada en Windows: BBDD, Documentos y e-mail
28/04 [Online] Normativa en el comercio electrónico en Microsoft

Saludos Malignos!

viernes, marzo 25, 2011

¿Un buen ejemplo?

Una de las cosas que se me habían ocurrido hace tiempo era escribir sobre los metadatos que se distribuyen con los programas comerciales, para ver si encontraba alguna cosa curiosa o divertida en ellos que ya sabéis que yo con tal de dar por saco... ¡lo que haga falta!. Pensar en montar algún flame o hacer alguna maldad siempre hace que mi cuerpo segregue algo de adrenalina y me anime, así que es una buena idéa para venirme arriba en momentos de cansancio. Así que nada, abri la FOCA y empecé a buscar los documentos ofimáticos en Windows y Archivos de Programa a ver que aparecía.

Salieron muchos con metadatos, algunos curiosos en manuales PDF de herramientas de hacking, pero el que más me llamó la atención, sin duda, fue este archivo de ejemplo que viene en Office 14, a.k.a. MS Office 2010, sobre cómo hacer un uso avanzado de la utilidad Solver de Microsoft Excel. Esta herramienta, junto con las Pivot Tables, quizá son de las cosas más avanzadas que trae Excel y que hacen que los Power Users de esta herramientas estén enamorados de ella.


Ejemplo de Solver en Office 2010

El caso es que, al analizar los metadatos del fichero en concreto salen cosas muy curisosas. Ya es raro que tengan metadatos, trayendo Office 2007 y 2010 una opción para borrar los datos, pero es que resulta que ¡este ejemplo se creo el siglo XX!. Si este ejemplo lleva tanto tiempo en el paquete será porque es muy bueno, ¿no?.


Metadatos en SolvSamp.xls

La última vez que se modificó fue en el año 2003, es decir, con un Windows XP y, probablemente, la vesión de MS Office 2003, que no traía de serie la herramienta de limpieza de metadatos, y es necesario descargársela de internet [Limpieza de metadatos en Office].

Lo último que llama la atención en este fichero de ejemplo es, por supuesto, que las impresoras que aparecen en la historia del documento sean Apple LaserWritter II. Supongo que Apple estará encantada de que Microsoft utilice su hardware desde tanto tiempo atrás, así que ya no hay excusa para que los empelados de Spectra puedan comprarse un MacBook Pro... - siempre que le instalen Windows 7, claro está -.

Saludos Malignos!

jueves, marzo 24, 2011

Hacer estafas de SEO al CEO está FEO

Varias personas de diferentes empresas han recibido este bonito mensajes y me han llamado preocupados. Como podéis ver, es un mensaje en el que se hace creer al CEO que le van a joder el SEO porque otra empresa le quiere quitar el dominio en Asia, y eso está muy FEO.


Por supuesto, es una estafa que busca que llames por teléfono y robarte la pasta, pero hay que reconocer que tiene cierta gracia eso de acojonar al responsable del SEO que diga:

"mierda... ¿protegí mi dominio en ASIA? Creo que no y como se entere el CEO me va a mandar al PEO"

Saludos Malignos!

miércoles, marzo 23, 2011

Briconsejo

Dicen que el bricolaje es una disciplina injusta que permiten que un abogado haga de carpintero pero que jamás permite que un carpintero haga de abogado. El caso es que estaba sacándome una cuenta, que me solicita datos personales, tarjetas de crédito y esas cosas, y de pronto, cuando llego a la parte de las credenciales de acceso me dan este consejo.


Eso, que sea fácil de recordar, y a ser posible de adivinar. Les falta decir que ponga lo mismo en el usuario y la password, o que ponga 1234, o cuál es la marca de mi coche. Lo mejor, te puedes crear un usuario con password en blanco }:S


En definitiva, que con Brinconsejos así, nos va como nos va.

Saludos Malignos!

Un día cualquiera

Las seis de la mañana menos 3 minutos. Otra vez abro el ojo antes de que suene el despertador. Realmente ya ni me acuerdo ni de si puse la alarma o no. Hace tanto tiempo que no lo necesito que ya está fuera de mi rutina. Enciendo la computadora, enciendo el móvil y voy al baño a aliviar los líquidos nocturnos. Bostezo. Agua fría para cara y manos y me pongo a chequear el correo a ver que se han publicado los artículos que estaban planificados. ¿Qué me han dicho en Facebook y en Twitter? ¿Ratoncita? ¿Quién se dejaría llamar Ratoncita? Ridículo, pienso, pero tú eres Maligno, ¿no?. ¡Ah, sí!, sonrisilla. Un mail rápido de urgencia. Tres respuestas con ok y a la ducha. ¿Debería afeitarme? Naaaa… aire, a otra cosa.

Salgo de la ducha, me seco el pelo con la toalla ¿quién quiere un secador? y termino de asearme: dientes, desodorante, colonia… ¡joder que viejo estás Chema! Nuevo e-mail y canta el Outlook. A ver… nada importante. Cierro el equipo y lo meto en la mochila. Ésta está durando un huevo. Buena chica.

Voy al armario a elegir la ropa. Hay poco que pensar, camiseta, vaqueros…y andando. La camiseta… a ver… Foca, Superman, Foca, Cazafantasmas, Foca, no voy a arreglar tu ordenador, Foca en rosa, Kiss, Foca, Iron Maiden,… Dejo de rebuscar, creo que me voy a poner la de la Foca. Como toque “artístico”, me pongo debajo una de manga larga y rayas, ¡que hace frío, cojones!. Hoy tengo charla, así que no te olvides el gorro. Un SMS, debe ser importante, no suelo dar mi número de teléfono. Sí, no llegaré tarde. Nunca suelo llegar tarde. Voy justo, pero siempre llego a tiempo.

Mierda, el Malignomovil está congelado. Ha sido un invierno frio éste. Lo enciendo, lo pongo en calor y suenan los Red Hot Chilli Peppers. Música para follar, me dijeron una vez. Je. Siempre me acuerdo de esa frase cuando suenan en el Malignomovil, pero luego miro alrededor mío … y pienso. Con este espacio, de follar aquí va a ser que poco -.

Llego al evento, me pongo el gorrito de rayas y adentro. Hola. Hola. ¡Qué pasa tú! ¡Hola!. Pruebo el enésimo cañón de vídeo por enésima vez con la misma máquina y funciona. ¡Qué es Windows 7, coño! Abro un conjunto de diapositivas, oculto algunas, añado otras, ¡mierda, había una falta de ortografía! Cambio el título, muevo unas tipografías y busco un link que vi ayer y me parece que complementa el discurso.

¿Probamos el micro Chema? Sí, adelante. ¿Es de corbata? Sí, no hay problema. Hola, hola. Funciona. Te lo dejo mute, tú sólo lo abres y funciona. Vamos a poner música antes. ¿Alguna preferencia? Pon Rosendo Mercado, la de Agradecido, que me levanta el ánimo. Dale, yo tengo de tó ¡que el emule no pare!, dice y me sonríe detrás de una perilla simpática. Le sonrío de verdad, me ha hecho gracia el amigo.

Es la primera vez que vengo a esta universidad a dar una charla y estoy expectante. Me dicen que tienen muchas ganas de verme y oírme. Mola. … o no tanto, hay muchas expectativas y puede que se lleven una decepción. Siempre la misma espada de Damocles encima. Un mal día y te crujen… Me acuerdo de la canción de los Beatles “ What would you think if I sang out of tune?”. Tranquilo Chema. Da lo mejor de ti y punto. Se apagan las luces, se encienden los focos y empieza a irse la gente. Me voy detrás del escenario con el resto de organizadores del evento, que me quieren presentar cuando estén todos sentados.

Ahora, dice el presentador del acto y entramos en la sala… y flipo. Me pongo nervioso, y un escalofrío recorre todo el cuerpo.

El auditorio, para unas quinientas personas, está lleno de mujeres. ¿Cómo? Es la primera vez que me pasa esto, no lo tenía previsto… Peculiar, pero mola ¿no?, me digo para mis adentros y sonrío. Me presentan y con el principio de la charla una chica de la primera fila cierra los enormes ojos negros para que pueda leer en sus párpados LO y VE, como le pasaba a Indiana Jones cuando daba clase en la universidad. Me pilla por sorpresa. Me pierdo en el discurso. Sonrío. Creo que me he puesto colorado y todo. Retomo el guión y miro para otra parte para ver a una chica morena que tiene gafas grandes, una blusa ajustada con un botón más de los necesarios abiertos, el pelo recogido y minifalda. Se toca con el bolígrafo los labios mientras empieza a abrirse las piernas al estilo de Las edades de Lulú.

Silencio un segundo. Trago saliva. Me sale un gallito. Me he perdido totalmente.

Miro al fondo y de repente veo que un grupo de chicas han sacado una pancarta que dice We corazón Chema, como si fuera el mismo Bon Jovi. De repente el auditorio empieza a dar vueltas en mi cabeza, las chicas se levantan todas y empiezan a tirarme sujetadores y bragas a la cabeza y no sé dónde meterme. El ruido de los gritos del auditorio es un clamor.

De repente… abro los ojos. Seis menos tres minutos de la mañana. ¿Ha sonado el despertador? ¿Lo puse anoche? Hace tanto tiempo que no lo necesito que lo he sacado de mi rutina… ¿Hoy tenía evento en la universidad? Ah, sí. Me llamaron los chicos del Club de Rol de la universidad, para ver si podía pasarme después a charlar un poco con ellos en su local, que son aficionados a jugar a Star Wars.

Termino mi rutina mañanera, me pongo el gorro y la camiseta de la Foca, con una remera de rayas debajo como toque artístico. El Malignomóvil está congelado, lo enciendo para que entre en calor y suena Iratxo. Se acabó el disco de los Red Hot Chilli Peppers anoche – música para follar me dijeron una vez – me río con media sonrisa y salgo disparado para la universidad que seguro que hay atasco.

Llego al evento y el conserje no me quiere dejar entrar, las pintas, como siempre. Le explico que vengo a dar una charla y me dice que espere. El profesor que me dijo que iba a estar no está, pero ha dejado a cargo a un compañero que no sabe de qué voy a hablar yo. Me lleva a una sala para 60 personas, más o menos a ojo de buen cubero. Pregunto por un micrófono y me dicen que no hay megafonía, que la sala no es muy grande. Enchufo el equipo al cañón por enésima vez y todo va bien, pero la resolución se configura a 800X600 y se ve algo rosada la pantalla. Lo siento Chema, es un cañón antiguo. Miro las diapos y pienso. OK, esto está bien.

El profesor sustituto se va. Cuando acabes, deja el mando en el cajón y la llave del aula en conserjería que hoy tengo una reunión de departamento para planificar un viaje y no me puedo quedar a verte Chema. Oka, gracias por todo, adiós digo, “…como te llames”, pienso.

Llegan los chavales, son unos 40 aproximadamente. 38 chicos y 2 chicas – es fácil echar la cuenta – Unos llevan la camiseta de la FOCA. Otro es gordito, como era yo, y lleva una camiseta de Gimly. Otro lleva la de Darth Vader. Es una cosa divertida ver las camisetas de todos los asistentes. Parece que me las han robado del armario, pienso. De repente, me fijo en una chica, es la novia de uno con el pelo largo rubio, la tiene abrazada por el cuello. La chica lleva una camiseta de los Red Hot Chilli Peppers que dice "Dani the girl". Sonrío de medio lado y pienso: “Mola! Vamos para allá”

Saludos Malignos!

martes, marzo 22, 2011

Descubrir usuarios con un cliente ligero

Enredando con otros temas, llegué a encontrarme con un portal hecho con la herramienta ThinWorx. Esta tecnología es una alternativa a la publicacion de aplicaciones en el desktop, al estilo de Citrix basada en el RDP de Windows. Podríamos decir que es algo así como la publicación de aplicaciones .ICA o por los Terminal Services de Microsoft, o tal vez algo similar también a un Forefront UAG 2010.

Estos servidores son fáciles de encontrar porque tienen una firma concreta en el banner del servidor web que hace que con usar Shodan estén al descubierto.


Figura 1: Servidores ThinWorx en Shodan

El caso es que en el panel de login esta tecnología pide los datos de usuario y contraseña, al menos en las versiones de ThinWorx 3.0 y ThinWorx 4.0 - la 5.0 no la he visto-, pero antes de que introduzcas la contraseña, si pones un usuario que no existe, te avisa de ello.


Figura 2: El usuario Chema no existe (aún)

Analizando las peticiones, es fácil ver como el usuario se envía directamemente a un método llamado validateusername.nsx, en el que se indica el nombre del usuario y el dominio contra el que autenticar.


Figura 3: Procedimiento para validar si el usuario existe o no

Si el usuario existe, devuleve un código 0 y permite hacer el envío de la contraseña. Si no es así, devuleve un código de mensaje de error, que puede ser del 1 al 5, con diferentes errores, que pueden ir desde el de usuario denegado, caida de servicio, expiración de la versión trial o número de licencias sobrepasadas.


Figura 4: Código de respuesta de que el usuario existe

Una vez que el usuario ha validado, se puede ver el resultado tras comprobar la contraseña. En este caso el mensaje es denegado. No obstante, esto no quiere decir que no se pueda continuar sacando información, debido al funcionamiento concreto de este producto y la manipulación de códigos de respuesta.


Figura 5: Procedimiento de autenticación de usario y password

La existencia de ese procedimiento, con la posibilidad de validar a los usuarios, permite a cualquiera probar las direcciones de correo electrónico, los datos extraidos de los metadatos, los usuarios por defecto, tales como administrator, guest, etcétera, descubrir software instalado en el servidor por los usuarios que pueda crear por defecto, etcétera.


Figura 6: Usuario existe pero el acceso ha sido denegado

Si tienes algo así a este procedimiento en alguna aplicación porque parecía una idea chula y moderna, mejor quítalo y confía en que los usuarios con acceso sean capaces de escribir correctamente su usuario sin ayudas extras.

Saludos Malignos!

lunes, marzo 21, 2011

Los mensajes de Apple en seguridad insultan la inteligencia

Cuanto más conozco de Apple, más me me gusta el hardware y menos sus mensajes de marketing. Podría decirse que he aprendido a reconocerle a Steve Jobs la fuerza con que transmite sus ideas y las defiende y, por supuesto, como revoluciona la tecnología, una y otra vez, y todas esas cosas de las que no voy a hablar porque ya lo hacen otros.

Sin embargo, cuando más conozco y estudio el software de Apple, más de coña, ridiculos e ignorantes me parecen sus mensajes de seguridad. Cuando se ponen mensajes de seguridad en los que directamente se engaña o se ridiculizan las amenazas, me parece hasta insultante. Basta con ir a la página de seguridad de Snow Leopard y leer los siguientes panfletos:

Virus (y del resto de malware me hago mus)


Empieza la página con la primera perla: "No se infecta de los virus de PC". Es bueno saberlo. Me pregunto si se infectará de los virus de Mac OS X o es de los de Linux de los que se infecta. Sí, es cierto que tradicionalmente no ha habido malware para Mac OS, pero decir que no se infecta hoy en día, es de broma. Hay troyanos como Hellraiser, hay gusanos como Koobface o Boonana, hay Rats viniendo (Blackhole RAT, DarkCometX), botnets, y en Jnanabot, que era multiplataforma, con más máquinas Mac OS infectadas que Windows Vista/7.

Que tiene DEP y ASLR (o casi)


Sí, quizá tengas que leer este párrafo dos veces para entender lo que está explicando, pero viene a decir que en Snow Leopard metieron ASLR, aunque como dicen Dino Dai Zovi y Charlie Miller, habrá que esperar a ver si con Lion llegan a tener un ASLR como el de Windows Vista.

La seguridad es peor en 32 bits


No entendía bien este parrafo...¿por qué es más seguro en 64 bits? o lo que es lo mismo... ¿por qué es peor en 32 bits? La respuesta es sencilla DEP solo lo tienen implantado en 32 bits.

Alertas de Seguridad


No tenemos alertas molestas, decían en otra parte, pero te pondremos una alerta cuando tengas que estar alerta. Y en esa alerta, deberás tener cuidado con donde haces clic, pero para eso te damos toda la información en la alerta. En definitiva, tiene alertas de seguridad, como todo el mundo. Y algunas peor, como la de la descarga de los ejecutables en Safari.

Tienen Windows Apple Update, porque tienen fallos de seguridad


Como todo el mundo, por desgracia, si pensabas que solo tenías que actualizar el windows, lo llevas clarinete. Además, no hay planificación fija, solo "más o menos", para las actualizaciones. Sí, tendrás que preocuparte de tener tu software al día. Y sí, también meten el cuezo en las actualizaciones una y otra vez. Y si no te las dan... a callar.

Tiene firewall y cifrado (solo de tu carpeta)


Esta es otra buena, tiene un firewall fácil de configurar, lo dificil es saber qué reglas son las que hay que configurar, pero no te preocupes, que te avisarán con una alerta. Y respecto al cifrado, sí, tienen cifrado, pero sólo de tu carpeta de inicio. Parece que no será hasta Lion cuando haya un cifrado completo de disco. Sólo unos años después que Windows.

Con Mac OS X usar Internet es seguro (si no usa Safari)


La taxatividad de esa frase de usar Internet es seguro es lo más atrevido que he visto en mucho tiempo. Lo de que te owneen la máquina con visitar una página web tal y como demostró Nico Waisman en su artículo de Canvas, o como ha hecho la gente de VUPEN, o como hacen los kits de exploits que cuentan con Mac OS X, está al orden del día, pero no, con Mac OS X es seguro, porque tienen SSL y un asistente de contraseñas... en fin.

Mejor no sepas

Esta última es lo más grande. No tienes que preocuparte, porque si te preocupas y descubres que todo lo que pone antes no es verdad, entonces si que estarás muy preocupado cuando navegues con Mac OS X y Safari por Internet.


Saludos Malignos!

domingo, marzo 20, 2011

Camuflar un troyano como un vídeo en Apple Safari 5.0.4

Una de las características principales en las que los navegadores tienen que hacer foco es en la protecciones contra las técnicas de ingeniería social. Muchos han sido los trucos utilizados por atacantes para engañar al usuario y hacerle creer que estaba descargando un fichero, viendo una web o haciendo clic en una opción, cuando realmente estaba siendo engañado.

Como tuve algo de tiempo en Buenos Aires, quise probar como andaban las nuevas versiones de los navegadores contra un truco sencillo de ingeniería social. En esta ocasión es Apple Safari 5.0.4, es decir, la última versión publicada, la que cae en un engaño muy tonto a la hora de mostrar el nombre del fichero que le está descargando al usuario.

Supongamos que una web maliciosa decide mostrar un link a un supuesto vídeo de Paris Hilton haciendo sus cosas con sus amigos en uno de sus hoteles. Si el usuario de la web, ávido de conocimiento y ganas de descargar el archivo, hace clic en el fichero para que se descargue, el navegador mostrará el nombre del fichero a descargar y la opción a aplicar una vez descargado, es decir, abrir, ejecutar, guardar, etcétera.

Uno de los trucos más utilizados a lo largo de la historia ha sido el de la doble extensión. El usuario cree que está descargando un archivo .avi, pero realmente es un .avi.exe, es decir. Un fichero ejecutable.

Las últimas versiones de los navegadores de Internet Explorer, Google Chrome, Firefox u Opera, tienen especial cuidado contra este tipo de trucos, así, tienen mucho cuidado de mostrar la extensión del fichero a la hora de enseñarle al usuario el cuadro de diálogo.

Internet Explorer y Google Chrome, separan la extensión y siempre la ponen al final del archivo. En el supuesto caso de que el fichero tenga un nombre muy largo, los navegadores mostrarán la primera parte del nombre del archivo y la extensión. Firefox muestra de la extensión hacia atrás lo que entre y Opera selecciona parte del principio del nombre, y parte del final con la extensión.


Figura 1: Visualización en Opera


Figura 2: Visualización en Internet Explorer 9


Figura 3: Visualización en Google Chrome

Sin embargo, Apple Safari 5.0.4 no hace eso, basta con solicitar la descarga de un fichero con un tamaño fijo de caracterectes, tal y como se ve a continuación, para que la auténtica extensión del fichero quede sustituida por unos sutiles puntos suspensivos.


Figura 4: Troyano con doble extensión simulando ser .avi


Figura 5: Visualización del troyano en Apple Safari 5.0.4

Si el usuario no presta atención a los puntos suspensivos y da al botón de ejecutar, pensando que se le va a reproducir el tan ansiado vídeo, lo que va a obtener, por el contrario, es la ejecución de un troyano. Sencillo, pero funcional y peligroso.

Saludos Malignos!

sábado, marzo 19, 2011

¿Sirven para algo los blogs? Burradas Informáticas en Series de Televisión

Esta pregunta me la hago muy de vez en cuando. Y estoy casi seguro de que no seré el único ni el último que se lo pregunte. El otro día, hablando con mi amo "el Maligno" - ¡Sí, soy un siervo del mal!- , él me preguntaba:

- "Oye Juanito, ¿has visto mi post de hoy? Está todo el mundo enfadado conmigo por lo que he escrito. Lleva ya ¡666 comentarios! }:S"

Pues claro que lo había leído. Cada vez que me levanto, lo primero que hago es encender el ordenador y enterarme de lo que pasa en el mundo, y no sólo a nivel profesional, sino a nivel personal y mundial. Esta tónica, la mantengo ya por encima de la TV y de la radio, tiempo ha únicos medios de comunicación.

Internet, como ente personal y con pensamiento propio, me ha demostrado infinidad de veces, que los periodistas no saben utilizarlo. Ni como medio de comunicación, ni como medio de búsqueda de información. Así que tanto la TV, como la radio, han pasado desde hace mucho tiempo, a un “mero entretenimiento” en mi vida, y lo tengo como una de las últimas cosas a hacer cuando estoy aburrido.

Este “descubrimiento” empecé a notarlo cuando Zapatero decía en 2007 que jugábamos en “la champions Leage MUNDIAL”. ¡Ole sus cojones! ;-) O cuando el ex-directivo de BBVA decía que los pisos nunca iban a dejar de subir, y que sólo es “un susto”. ¡Ole ahí la "hénte" bien formá en materia crematística!.

Ya por ese año, en los foros de Internet, especializados en inmobiliarias y economía, GARANTIZABAN una crisis que se nos venía. Y la TV y la radio…. Nanai hasta 2010…… Así que no es de extrañar, que esta falta de conocimientos a la hora de manejar Internet en busca de información para una buena documentación, se extienda a guionistas y directores de "Jolivud".

Hace poco, estando en mi Triana para ver a mis padres, estos estaban viendo CSI, que lo echaban por la TV - ¡¡Maldita!! - Al cabo de un rato veo ESTO…


Mi padre, raudo y veloz, el cual sabe que me dedico a hacer cosas malignas junto a otros soldados de fortuna, me pregunta: "Oye Juanito, ¿tú puedes hacer eso?". Y yo le digo: "Coño papá, ¡PUES NO TENDRÍA COJONES PARA HACERLO!" El caso es que me pongo a buscar la versión en inglish pitinglish, y dice exactamente lo mismo (wtf!).

Después de ver esta maravilla de la documentación, me puse a buscar “información” sobre varias series, y no es la única que dice “perlas” como las anteriores. Con esta me estuve descojonando un rato. Es de la serie Castle, y es una pasada.


Disclaimer: A los ojeadores de “cerebritos” de este blog. Ya he puesto en conocimiento de estos “méritos” al Maligno, y estamos en negociaciones para traernos de Jolibud a la chavalita ésta para que se integre en nuestro equipo de seguridad del SOCtano. Inversión asegurada…

Lo cierto es que llevábamos un tiempo negociando un contrato con los investigadores de la serie Numb3rs, pero después de ver este vídeo, hablando sobre IRC, nos lo estamos pensando…


Después de haber visto estos vídeos, uno se pregunta…. A todos los que escribimos en Internet, ya sea en foros, blogs, Webs, etc… ¿Realmente nos lee la gente?

Un saludo a tod@s!!

Juan Garrido "Silverhack"

viernes, marzo 18, 2011

HPP: Http Parameter Pollution

Recientemente hemos visto una vulnerabilidad de HTTP Parameter Pollution afectando al sistema de Blogs de Blogger que permitía convertirse en administrador de cualquier blog. Las tecnicas HPP son mucho más peligrosas de lo que la gente está evaluando, y debido a la poca cantidad de herramientas que las buscan, hoy en día hay muchas aplicaciones web vulnerables ahí fuera.

Carmén Torrano, una investigadora de seguridad española, está trabajando en PAPAS, una aplicación que evalúa online la existencia de vulnerabilidades HPP en aplicaciones web. Ella se comprometió conmigo a hacer un artículo sobre HPP y PAPAS y aquí lo tienes. Gracias Carmen.

Saludos Malignos!

Conceptos previos: Precedencia

En gran parte de las páginas web actuales, cuando un usuario visita una página web, necesita proporcionar datos de entrada a dicha aplicación. Los parámetros de las aplicaciones web permiten traspasar datos de entrada de los usuarios a la aplicación. En algunas ocasiones, el navegador envía una petición en la que un parámetro con el mismo nombre aparece repetido varias veces. Por ejemplo, el caso de una aplicación en la que aparezca un checkbox en el que es posible seleccionar múltiples opciones. Para estos casos, muchos lenguajes de programación proporcionan métodos que devuelven una lista con todos los valores asociados a un parámetro.

Supongamos que un desarrollador espera recibir un solo valor para un parámetro y por tanto, utiliza un método que devuelve un único valor. En el caso de que la petición contenga múltiples valores para el parámetro en cuestión, se pueden dar tres posibilidades:

1. Que el método devuelva el primer valor del parámetro
2. Que devuelva el último
3. O que devuelva una combinación de todos los valores.

No hay un estándar para ello y como se puede ver en la tabla, el resultado depende del lenguaje de programación y del servidor web empleado.



El hecho de que el método devuelva un solo valor no es una vulnerabilidad por sí sola, sin embargo, la presencia de múltiples valores para un parámetro abren la posibilidad de que el método no obtenga el valor esperado para el parámetro.

Si el desarrollador no es consciente del problema, se podrían producir comportamientos anómalos, que podrían ser aprovechados por un atacante. Como se verá más adelante, esto se puede utilizar junto con las vulnerabilidades HPP para sobrescribir el valor de un parámetro.

¿Qué es HTTP Parameter Pollution(HPP)?

Un ataque de polución de parámetros HTTP consiste en la inyección de delimitadores de query string codificados en otros parámetros existentes. Si el parámetro en el que se ha realizado la inyección no se valida correctamente y se utiliza decodificado para generar una URL, el atacante puede insertar uno o más parámetros en dicha URL.

Los ataques de polución de parámetros HTTP son relativamente recientes, fueron presentados por Stefano di Paola y Luca Carettoni en OWASP 2009 y no se han estudiado con demasiada profundidad hasta el momento.

Las consecuencias de este ataque dependen de la lógica de la aplicación y pueden tener desde un leve impacto hasta una gran importancia.
Algunas de estas consecuencias son:

- Sobreescritura de parámetros con codificación fuerte para modificar el comportamiento de la aplicación.

- Salto de los puntos de validación de los datos de entrada.

- Acceso y posible explotación de variables fuera del alcance directo.


Para que la vulnerabilidad sea explotable es necesario que la precedencia sea tal que el método no devuelva el parámetro esperado ante la presencia de parámetros duplicados. Las vulnerabilidades HPP pueden explotarse para realizar tanto ataques del lado del servidor como ataques del lado del cliente.

Respecto a los ataques del lado del servidor, es posible burlar la defensa de los Cortafuegos de Aplicación Web (WAFs) y también pueden influir en la reescritura de la URL.

En el lado del cliente, es posible inyectar parámetros en los enlaces y en los formularios. Típicamente, en este tipo de ataques, el atacante trata de persuadir a la víctima para que visite una URL que explota la vulnerabilidad HPP.

Un ejemplo de HPP en una aplicación

Por ejemplo, consideremos una aplicación web de votaciones que permite a los usuarios participar en diferentes elecciones y votar a su candidato favorito. La aplicación está escrita en JSP. En caso de múltiples instancias de un parámetro, el método Request.getParameter("par") de JSP devuelve el primer valor del parámetro.

La aplicación recibe un parámetro (“eleccion_id”) que es el identificador de la elección concreta en la que está participando el usuario. En función de los valores del parámetro, la aplicación genera una página que contiene un enlace para cada uno de los candidatos de la elección correspondiente.

Por ejemplo, en este fragmento se muestra una página de una elección con dos candidatos en la que el usuario puede votar a su candidato pinchando en el enlace deseado:

Url : http :// servidor / eleccion . jsp ? eleccion_id =4568
Enlace1 : <a href =" votar . jsp? eleccion_id =4568& candidato = white ">
Voto para Mr. White </a>
Enlace2 : <a href =" votar . jsp? eleccion_id =4568& candidato = green ">
Voto para Mrs. Green </a>

Supongamos que Pedro, que es un seguidor de Mrs. Green, quiere modificar el resultado de las elecciones. Analizando la página se da cuenta de que la aplicación no valida correctamente el parámetro “eleccion_id”. Por tanto, utiliza la vulnerabilidad HPP para inyectar el parámetro “candidato” en el parámetro “eleccion_id”, de la siguiente forma:

http://servidor/eleccion.jsp?eleccion_id=4568%26candidato%4Dgreen

Pedro envía esta URL a Alicia. Cuando Alicia pincha en el enlace, es dirigida al sitio original de las elecciones donde puede votar a su candidato para esa elección. Sin embargo, como la aplicación utiliza el parámetro “eleccion_id” para formar los enlaces, cuando Alicia visita la página, el valor inyectado para el candidato se incluye en las URLs:

http :// servidor / eleccion . jsp? eleccion_id =4568%26candidato%3Dgreen
Enlace 1: <a href = votar . jsp ? eleccion_id =4568&candidato=green&candidato =white >
Voto para Mr. White </a>
Enlace 2: <a href = votar . jsp ? eleccion_id =4568&candidato=green& candidato =green >
Voto para Mrs. Green </a>


No importa en qué enlace pinche Alicia, el script “votar.jsp” recibirá dos instancias del parámetro “candidato”. El primer valor del parámetro siempre es “green”. Si el desarrollador de la aplicación utiliza la funcionalidad básica de Java para obtener un solo valor para el parámetro “candidato”, sólo se obtendrá el primer valor del parámetro (es decir, “green”) y el segundo valor (que tiene el voto de Alicia) es descartado.

Como se ha visto en el ejemplo, al ser esta aplicación vulnerable a HPP es posible para un atacante modificar un enlace, que cuando se visita, falsifica el contenido de la página y genera enlaces que fuerzan el voto para Mrs. Green.

Se trata de ataque bastante reciente pero que como se ha mostrado, el ataque HPP puede tener graves consecuencias, por lo que es importante que los desarrolladores sean conozcan este ataque y tomen las contramedidas oportunas.

Nuestra herramienta: ¡Pruébala online!

Hasta donde sabemos, no se han presentado herramientas automáticas hasta la fecha que detecten este tipo de vulnerabilidades en las aplicaciones web. Además, no se ha estudiado cuantitativamente en qué medida afecta la vulnerabilidad HPP en las páginas web.

Por tanto, en la conferencia NDSS (Network and Distributed System Security Symposium) presentamos PAPAS (PArameter Pollution Analysis System), una herramienta que permite detectar automáticamente las vulnerabilidades HPP en aplicaciones web.

Realizamos experimentos en más de los 5000 sitios web más importantes y populares (según Alexa). Los resultados del análisis muestran que casi el 30% de los sitios web contienen al menos una página vulnerable a HPP. Esto significa que la herramienta fue capaz de inyectar automáticamente un parámetro codificado dentro de unos de los parámetros existentes y de verificar que fue incluido decodificado en uno de las URLs (enlaces o formularios) de la página resultante.

Es más, casi el 47% de las vulnerabilidades encontradas (14% del total de sitios web) se pueden explotar por medio de ataques HPP. Nuestros experimentos nos revelaron que la vulnerabilidad HPP afecta a sitios tan conocidos como Microsoft, Google, etcétera.

¿Quieres saber si tu aplicación web es vulnerable a HPP? La herramienta se puede probar online gratuitamente en: http://papas.iseclab.org. ¡Espero que os guste!

Saludos,
Carmen Torrano

jueves, marzo 17, 2011

Conoce tus procesos con Process Explorer 14.1

Muchas veces me hacen la difícil pregunta de cómo saber si tienes un malware instalado en tu máquina y he de decir que me ponen en un brete. No es fácil hoy en día detectar que tienes un malware si éste es de los "pata negra". Por supuesto,hay mecanismos para detectar que tienes mucho tipo de malware, así que siempre acabo contestando cosas bastante evidentes ante esa pregunta para no meterme en un jardín del que me sea después complicado escapar.

Sin embargo, yo también me hago muchas veces esa pregunta como usuario de una máquina, e intento respondérmela lo mejor que puedo. Para ello suelo seguir muchos de los consejos de Mark Russinovich, que tras años de solucionar los problemas de la computadora de su esprosa, sacó muchos buenos trucos mirando los autoruns, los accesos a ficheros o inspeccionando los procesos cargados en el equipo.

Yo de vez en cuando suelo revisar todos los procesos y ver las propiedades, donde compruebo cosas evidentes como la ruta desde la que se cargó la imagen del proceso o una interesante utilidad de verificación de la firma digital del fichero que está cargado en memoria en este momento

Para ello, basta con abrir Process Explorer, que fue actualizado a la versión 14.1 el mismo día el pasado martes, e ir seleccionando aquellos procesos que tengan más cara de sospechoso. Yo suelo tirar por todos los que tienen "algo raruno" o me parecen nuevos desde el último análisis. Eso puede ser mismamente porque el nombre llame la atención, tenga un alto consumo de CPU en un instante de tiempo o alguna característica distinta, como no tener activados DEP o ASLR en los tiempos que corren, como en este ejemplo con el proceso de Gtalk de Google.


Figura 1: Procesos vistos con Process Explorer

Con Process Explorer clicando sobre el proceso con el botón derecho puedes acceder a las propieades y ver todo esto, la ruta desde la que se cargó, el usuario con que está corriendo en la máquina, puedes directamente buscar este nombre de archivo en Internet para sacar más información o verificar la firma del mismo.


Figura 2: Propiedades del proceso de Google Talk

Algunos como este Gtalk me tiene extrañado, porque el proceso viene sin firmar o no se puede verificar la firma, así que lo desinstalé, lo volví a descargar, lo volví a instalar y nada, no se puede verificar la firma.


Figura 3: No se puede verificar la firma

Sin embargo, cuando te descargas el instalador, éste sí viene firmado, pero luego el ejecutable no está firmado, lo que hace que sea un buen candidato a ser reemplazado por un ejecutable troyanizado.

En otros, directamente con Process Explorer obtienes la comprobación de la firma de la imagen verificada, como en este caso con Secunia.


Figura 4: Proceso de Secunia verificado

A día de hoy el malware ha evolucionado mucho, tanto que llegan a meter malware en los drivers firmados de terceros, tal y como sucedió hace poco con un troyano que descubrió el equipo de ESET en las actualizaciones de un driver de Microsoft, pero revisar periódicamente y conocer los procesos de tu equipo es una buena idea. Es tu equipo, son tus procesos, así que intenta conocerlo como la palma de tu mano.

Saludos Malignos!

miércoles, marzo 16, 2011

Hasta Google lo sabe...


Nos vemos en:

Buenos Aires, Sao Paolo, Santiago de Chile, Quito y Bogotá durante los próximos 10 días. A medida que tenga más información de los lugares lo iré poniendo en mi twitter personal [@chemaalonso]. De momento sé que estaré en el RunWebCamp hoy y mañana por la mañana... el resto es aún incierto. Sé que estaré, pero no sé dónde.

Saludos Malignos!

martes, marzo 15, 2011

Los registros de servicios

Como en los últimos años me toca "torturar" a mis alumnos de los masters con algún trabajo que los vuelva locos. En este caso tengo a un grupo de tres sufriendo para generar una base de datos de registros en servidores DNS predecibles que permitan estrujar un servidor en un proceso de auditoría para pintar el mapa de red. La idea es poder incorporar toda esa base de datos a la FOCA, para poder reconocer nuevos servidores y nuevos roles.

A los registros well-known que actualmente busca FOCA, es decir, NS, SOA (para sacar el primary.master), MX, SPF, version.bind y registros PTR, se pueden añadir, en primer lugar los registros de servicio que utilizan los dominios de Microsoft, luego esos que han utilizado en Microsoft para cosas particulares, como WINS o WPAD, y luego los que se han estandarizado para publicar los servicios proporcionados por organización y que permitan ser encontrados por protcolos de autodescubrimiento, tales como los servicios de VOIP, presencia o comunicaciones varias. Cuando esté el proyecto terminado y presentado, os pondré la lista final de todos los registros analizados.

Al final, si tienes catalogados qué aplicaciones o protocolos usan qué registros de servicios, basta con hacer consultas de tipo SRV y descubrir más información de la organización, algunos ejemplos:


Figura 1: Registros SIP en Adobe


Figura 2: Registros Kerberos en Debian


Figura 3: Registro Ldap en la Universidad de Michigan


Figura 4: Registros jabber en Google


Figura 5: Resgistros XMPP Server en Google


Figura 6: Registros SIP en Oracle


Figura 7: Registros SIP en CISCO

Interpretar los regisros SRV no es demasiado complicado, son unos puertos, prioridades y servidorers que ofrecen esos servicios. Datos jugosos, sin duda, para un pentesting.

Saludos Malignos!

lunes, marzo 14, 2011

De bucaneros, corsarios y piratas

He de confesar que los barcos me gustan los justo y poco más. Tiempo ha, cuando el miedo a lo desconocido y las alturas me llevaban a temer volar en pájaros de hierro, siempre pensé que cruzaría el charco montado en un Titanic – maldígase la elección de ejemplo – antes que subir a una de esas cosas de metal que retan a las leyes de la física y a las de la esperanza en caso de fallo, ya que no llevan paracaídas para todos.

Sin embargo, las películas de barcos, y aún más, las historias noveladas alrededor los buques de guerra, los enormes galeones o bergantines, atestados de piojosos militares enrolados a la fuerza tras una mala noche de alcohol o ávidos de oro y saqueos, me mantienen en vilo y nervioso mientras intento ser capaz de entender toda la terminología de piezas y archiperres que conforman la difícil germanía náutica.

Aprovechando un forzoso parón médico he aprovechado para bucear entre los libros de mi biblioteca, aún de oloroso papel, para rescatar del naufragio un libro con el que me obsequiaron unas navidades atrás, en el que D. Arturo Pérez Reverte recoge un misterio de los de tomo y lomo, con su asesino en serie, su oscuro y crudo policía, los gabachos de los obuses y vigía de la imperial napoleónica, en el asedio de uno de los puertos más famosos en la historia hispánica. El puerto de Cádiz, y nada más y nada menos, que a un año de que se proclame la Pepa.

Y en mitad del misterio, plagado de virus y con el tiempo más escaso que el presupuesto español en innovación tecnológica, me encuentro en medio de una nueva e inminente batalla naval. La guerra de los browers que tenemos en ciernes, y de la que ya se han soltado los primeros tiros, aunque de momento no se ha dado barra libre a la Santa Bárbara, y solo se han lanzado las primeras hostilidades desde pequeños falconetes.

Es una batalla con reminiscencias, ya que la guerra comenzó tiempo largo ha y no ha hecho nada más que vivir etapas de latencia, pero nada por el estilo a una posible tregua indefinida.

Hoy, día 14 de Marzo, Microsoft presenta la versión final de Internet Explorer 9, dispuesta a demostrarse digna sucesora de IE8 que se lanzó 2 años atrás, que puso los listones altos en la parte de seguridad. Con la nueva versión de IE9 acompañan múltiples funcionalidades nuevas, como los Tracking Protection Lists, el Download Reputation Filter, o el resto de pequeñas opciones de mejora.

Por su parte Google Chrome, que ha tomado carrerilla en la creación de versiones estables – ya va por la 10 en mi equipo – está poniéndose las pilas a la hora de acumular plugins y desarrolladores para tener lo que el usuario necesite en cuanto a funcionalidades. Respecto a seguridad, el producto sigue basándose en chromium y webkit y con resultados dispares. Sigue sin un filtro AntiXSS por defecto, enviando URLs y sufriendo las actualizaciones de las muchas vulnerabilidades de Webkit, que ya la versión 9, con un ciclo de vida cortisimo, tuvo 58 vulnerabilidades.

En la última Pwn2Own de la CanSecWest, Google Chrome, quedó sin ser explotado como sucediera el año pasado, y es que el truco de actualizar el navegador el día antes de que se paralicen las versiones de software les ha salido bien, aunque la vulnerabilidad encontrada en Blackberry afecta igualmente a Google Chrome, solo que el exploiter que la encontró estaba centrado en Blackberry y no en Chrome. Así que, aunque se encontró una vulnerabilidad explotable – que Google Chrome ha corrido a parchear inmediatamente – según las reglas quedó sin pwnear.

Además, Google Chrome está trabajando la parte de administración usando políticas, pudiendo hasta eliminar ya las actualizaciones automáticas para que sean manuales. Habrá que ver si podemos eliminar también en el futuro la opción de enviar las URLs de navegación.

Por su parte Mozilla prepara la nueva versión de su navegador, para intentar defender su segunda posición en el mercado de la navegación que cada día cuesta más defender por lo pujante de Chrome y Safari.

Safari sigue siendo "esa herramienta que Apple trae para que hagan jailbreak" en los dispositivos. En la última actualización, la 5.0.4 solucionó más de 60 vulnerabilidades. Soluciones que se aplicaron en Apple iOS 4.3 pero que dejan a los usuarios de iPhone 3G sin parche, creando un aluvión de críticas que han llevado incluso a que Apple bannee los mensajes en los foros oficiales. Gracias a una vulnerabilidad de Apple Safari, los productos Apple volvieron a ser hackeados en primer lugar, como en todas las ediciones de Pwn2Own.

Por supuesto, la guerra de los navegadores no va a terminar aquí, todo anda enfangado con los estándares HTML 5 y el cumplimiento o no por parte de ellos según la W3C, la inclusión o no de codecs abiertos o con copyright y, por supuesto, el rendimiento y la aceleración gráfica. Va a ser una temporada de batallas al más puro estilo de los grandes veleros, y yo me lo voy a pasar pirata por ahí en medio.

Saludos Malignos!

domingo, marzo 13, 2011

El filtro SafeSearch, la DigiFOCA y el Google Hacking

Pensando en el post de ayer sobre el filtro SafeSearch y el contenido indexado me asaltó la duda sobre cómo realiza la FOCA las búsquedas de documentos, si utiliza el filtro SafeSearch o no. Tras hacer una pequeña prueba se puede ver que FOCA no pone ninguna opción de SafeSearch, con lo que está utilizando la configuración por defecto, que creo que es moderado - no estoy seguro porque lo he tocado tantas veces ya en mi equipo que... -.

El caso es que se me ocurrió pensar si tal vez nos quedamos sin algún documento por el mero hecho de hacer las búsquedas con el valor de SafeSearch por defecto. La verdad es que puede ser que sí, si por el simple hecho de que el filtro funcione mal, un documento es catalogado con un nivel de contenido Violento, Porno, o de contenido inapropiado, podría quedarse fuera del proceso de Google Hacking.

Con la mosca detrás de la oreja, decidí buscar documentos en algunos sitios con el filtro SafeSearch activado y desactivado, a ver que ocurria... y lo que pasa es un autentico cachondeo.

Primero probé en Microsoft.com con el filtro desactivado y activado. Tal y como se puede ver en las siguientes imágenes, hay unos 100 documentos PDF que están catalogados con contendio que no sale en los resultados de búsqueda.


Figura 1: Búsqueda de PDFs en Microsoft.com con SafeSearch activado


Figura 2: Búsqueda de PDFs en Microsoft.com con SafeSearch desactivado

Es cierto que Google sólo nos va a mostrar los 1.000 primeros resultados, pero para evitar esto, en la DigiFOCA metimos la opción de búsqueda de documentos por servidores en los Huge Domains.

Luego lo probé en Google.com y el resultado fue más o menos el mismo, si lo buscas datos con el SafeSearch activo te pierdes documentos en el camino.


Figura 3: Búsqueda de PDFs en Google.com con SafeSearch activado


Figura 4: Búsqueda de PDFs en Google.com con SafeSearch activado

Sin embargo, el resultado más curioso lo obtuve cuando probé con Army.mil. Resulta que hay más documentos cuando activas el SafeSearch que cuando no. ¿Cómorl?


Figura 5: Búsqueda de XLSs en army.mil con SafeSearch activado


Figura 5: Búsqueda de XLSs en army.mil con SafeSearch desactivado

Pues no tengo ni idea de por qué pasa esto, lo cierto es que es un cachondeo desde el punto de vista de Google Hacking, y por lo tanto parece que habrá que repetir las búsquedas con los dos filtros y comprobar si se devuelven más o menos resultados con una o con otra.

Además, no olvidéis que si estáis lanzando la FOCA detrás de un fiewall que fuerza búsquedas SafeSearch os están mediatizando los resultados.

Saludos Malignos!

Entradas populares