sábado, abril 30, 2011

Creepy data

Es imposible hablar de Creepy y no recordar el taco de comics en blanco y negro que ocupa una balda completo de mi estantería. Esos comics en los que zombies, vampiros, asesinos u hombres lobo viven aventura tras aventura rodeados de bellas amazonas, o decrépitas brujas malvadas enganchan con su negro humor.

Los comics de Creepy, Dossier Negro, SOS, Vampus o Rufus son los que llenan esa necesidad estomacal que me da periódicamente de disfrutar del dibujo a blanco y negro con una pizca de humor macabro y maligno que tanto me encanta. Estoy seguro de que a muchos de vosotros también os gustan.

Y no es de extrañar que debido a cierto humor macabro le hayan puesto ese nombre a la herramienta que colecta todos los datos de geoposicionamiento que un usuario expone consciente o inconsciemente a través de su cuenta de Twitter.

La utilidad, que tiene ya unos meses, es de esas que, al estilo de Firesheep o iPhoneTracker vienen a simplificar, y poner en una herramienta de botón gordo, algo que ya se sabía hace bastante tiempo: que es posible seguir los pasos de una persona que tenga una exposición social descuidada en twitter.


Figura 1: Selección de target

La idea es tan sencilla como recoger la información de posicionamiento que se puede sacar de los twitts o fotos publicadas que publica persona. En el caso de Twitter recoge información de posicionamiento de Twitts con:

- Información GPS cuando se hace desde determinados clientes para teléfonos móviles.
- Twitts asociados a una ubicación.
- Triangulación basada en la IP desde la que se hizo el twitt.

Además, al estilo de Please Rob me, recoge la información GPS de los twitts que viene desde Four Square y de los metadatos EXIF de las fotos publicadas en los servicios de publicación de: flickr, twitpic, yfrog, img.ly, plixi, twitrpix, foleext, shozu, pickhur, moby.to, twitsnaps y twitgoo, tal y como decía Yago de seguir a los famosos que twittean. La idea de la herramienta es poder hacer algo similar a el fake de Ex-Girl/Boyfriend detector.

La herramienta permite buscar y seleccionar una cuenta de Twiter o Flickr y despúes extraer toda la información GPS y de fechas que se pueda desde esas cuentas, para después generar una base de datos de visualización de coordenadas por fechas que además puede ser exportada en formato CSV o KMZ.


Figura 2: Base de datos generada

Creepy, en principio, solo saca información que el usuario libremente ha puesto en Internet, y que, al generar un fichero CSV o KMZ, puede ser complementada con otras fuentes de información que se consigan del objetivo para completar una buena historia de un usuario.

Hay que tener en cuenta que el registro de posicionamiento GPS se hace con otros servicios, como el Google Latitude que algunos publican en su blog, las Geotags que usan algunos bloggers para publicar sus posts, el Facebook Places o cualquier otro repositiorio de fotografías que se os ocurran de una persona. Eso, sin contar con hacerse con la caché del Android o el famoso consolidated.mdbd de los iPhone, que ya cuenta hasta con módulo de metasploit para buscarlos.

El asunto es que, antes de que saliera Creepy, yo les había propuesto un proyecto a uno de mis grupos del Master de seguridad de la UEM que hicieran algo como Creepy, y ahora, como ya está hecho, les quiero pedir que completen la base de datos que genera con más información GPS obtenida desde otras fuentes, así que, si tenéis alguna idea más, será bienvenida.

Por cierto, puedes descargar un Creepy para Windows/Linux y probarla con cualquier cuenta de Twitter y/o Flickr que te guste desde: Creepy.

Saludos Malignos!

viernes, abril 29, 2011

La FOCA antes y después de un ataque

Aprovechando que han publicado una referencia en H-Online sobre cómo se puede utilizar FOCA para preparar un ataque como el HBGary o RSA, voy a aprovechar para enseñaros algunas capturas que un informante anónimo nos envió.

Si una empresa no tiene cuidado de los documentos que sus empleados publican - en cualquier sitio - entonces los datos de la infraestructura interna que en ellos queden pueden ser extraidos con FOCA para generar un informe táctico que permita fijar el ataque.

Sin embargo, una vez que se tiene éxito en el ataque, y los datos quedan publicados por todos los rincones de Internet, la información que de ellos se pueda extaer está a disposición de todo el mundo, y cualquiera puede obtener esos datos.

En este ejmeplo, el informante anónnimo se descargó los ficheros publicados de HBGary y pasó todos los documentos adjuntos por la FOCA, para obtener, de todos ellos, una jugosa información que hay que suponer que ahora está en manos de todo el mundo.


Figura 1: Correos electrónicos

Como se puede ver, de uno de los buzones había disponibles más de 1.000 documentos, con información muy valiosa no solo de usuarios, sino de servidores internos de la organización.


Figura 2: Printers e internal Servers

Por supuesto, la lista de usuarios obtenida es una valiosa pieza para utilizar en ataques de fuerza bruta a aplicaciones internas, para búsqueda de hashes en servidores robados, etc...


Figura 3: Usuarios en documentos

Y el problema que se plantea es que, una vez que el ataque ha tenido éxito, ¿cuanto hay que cambiar la infraestructura interna? Es evidente que hay que cambiar las políticas de seguridad, los mecanismos de defensa y fortificar mejor toda la organización pero... los datos de la infraestructura interna ya están liberados.

Así que, hay que plantearse el cambiar nombres internos de servidores, nombres de cuentas de usuario en todos los servicios, direccionamientos internos... y hasta el nombre, marca y modelo de las impresoras. Una fiesta, vamos. Yo supongo que toda esta información ya no es útil porque HBGary habrá hecho los deberes...

Saludos Malignos

jueves, abril 28, 2011

Asegúr@IT 9 is comming on...

Como ya sabéis, el próximo 5 de Mayo tendrá lugar en Málaga el evento Asegúr@IT 9, en el que participarán el gran Sergio "Pajarraco" de los Santos de Hispasec, D. Jose "El Padre" Parada actual director de seguridad en Spectra, Enrique Rando compañero de Black Hat y FOCA, Alex Rocha de Swivel Secure y yo "pispo".

Ya que bajamos a Málaga, vamos a organizar un megacenote la noche antes, a la que puedes venirte - siempre que te pagues tu cena, "clarostá" - solo tienes que enviarme un mensaje de correo electrónico que diga: "Me muero por cenar y tomarme unas copas con vosotros!" y ya'ta.

Además, desde Hispasec e Informática 64 queremos agasajar a los asistentes, así que vamos a dejar a los asistentes que puedan adquirir el libro de Una-al-día: 12 años de seguridad informática, al 50% de precio, asumiendo nosotros la diferencia.

Enrique Rando, además, dará una charla que tendrá que ver con el nuevo libro que vamos a publicar en Informática 64, sobre Hacking con Buscadores: Google, Bing y Shodan Hacking, que se ha currado nuestro amigo de Málaga.

Hispasec hablará de Malware, nosotros de la nueva versión de DUST, Alex Rocha de como usar PINSafe como segundo factor de autenticación - y seguro que algo de lo qúe pasó a la RSA -, El "abuelo" Parada de lo del iPhon... digo... de Seguridad y Cloud Computing.

Así que nada, solo hay 100 plazas, y si quieres venirte, tienes que registrate en esta URL: Asegúr@IT 9.

Saludos Malaginos!

miércoles, abril 27, 2011

Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (1 de 4)

**************************************************************************************************
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (1 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (2 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (3 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (4 de 4)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************

Hoy en día, los trabajadores en su mesa de trabajo con su equipo personal asociado a una roseta o un único equipo portátil están pasando a la historia. Los sistemas tienen a estar centralizados, lo que permite un mayor control por parte de los administradores, mayor movilidad para los usuarios y un ahorro de costes.

Debido a esto, los sistemas en la nube y la publicación de aplicaciones cada día tienen más impacto en las organizaciones, que están adoptando soluciones que van desde el uso de Servicios de Virtualización de Escritorio hasta la Virtualización de Aplicaciones, pasando, como no, por la publicación de las aplicaciones a través de Internet.

La adopción de este tipo de tecnologías, existe desde tiempo ha. En el pasado, y todavía siendo funcional en muchos entornos, se pueden publicar aplicaciones gráficas en sistemas X-Windows, que securizan la conexión tunelizando el tráfico través de conexiones SSH, por ejemplo. Otras soluciones para conectarse a clientes remotos con sistemas como VNC o escritorio remoto se han utilizado durante años por los técnicos para administrar sistemas y dar soporte.

Sin embargo, las soluciones de uso remoto de aplicaciones y sistemas hoy en día son parte de la línea base de aplicaciones de negocio de las empresas que tienen necesidades de:

• Publicar aplicaciones corporativas al exterior
• Ahorrar el coste de licencias para ciertas aplicaciones
• Dar soporte a partners y colaboraciones puntuales
• Ofertar servicios B2C a clientes externos
• Eliminar problemas de movilidad

Las dos principales soluciones empleadas para este tipo de servicios son las basadas en los Terminal Services de Microsoft y Citrix XenAPP o Metaframe. Cada una de ellas se basa en protocolos propietarios que ofrecen características, en algunos casos similares y en otros disitintos, a la hora de publicar algún tipo de aplicación o escritorio.

En esta serie de artículos, abordaremos los problemas de seguridad que se pueden encontrar con ellas, que van desde cómo utilizar los sistemas en las fases de footprinting y fingerprinting, cómo elevar privilegios en un sistema a través de aplicaciones inseguras publicadas y cómo ejecutar comandos en los sistemas a través de fallos de seguridad en la configuración de aplicaciones.

Citrix y el protocolo ICA

Idependent Computing Architecture (ICA) es propietario de Citrix y está diseñado principalmente para ser usado en servidores de aplicaciones heterogéneos que publican las mismas aplicaciones al mismo tiempo. Gracias a esta característica, soportada por ambos servicios hoy en día, logran eliminar el problema de la plataforma utilizada y hacerlos muy atractivos para las empresas.

La publicación de aplicaciones, en ambos productos, se puede realizar de distintas maneras, entre las que destacan las siguientes:

• Publicación de ficheros de conexión con los datos de la conexión
• Publicación a través de un Panel Web
• Publicación a través de ejecutables MSI

Ficheros de conexión a Citrix

Para la correcta conexión a una aplicación publicada a través de Citrix, se suele utilizar un fichero de conexión, en donde se encuentra toda la información necesaria para acceder a la aplicación publicada. Son ficheros en formato de texto plano y, en su interior, se puede encontrar información útil para un proceso de auditoría, como son usuarios, contraseñas, direcciones IP - algunas veces internas -, puertos de conexión, rutas de aplicaciones y protocolos de conexión.


Figura 1: Fichero de configuración ICA

En los ficheros de configuración de Citrix, que tiene extensión .ICA, destacan entre otros los siguientes campos:

- HttpBrowserAddress: Es la dirección del servidor Citrix. Se usa para el descubrimiento de aplicaciones que se publican vía HTTP. En este campo puede haber varios, si hay algún balanceador de carga por ejemplo.

- Address: Almacena la dirección IP o el nombre DNS del servidor de aplicaciones. Si se ha cambiado el puerto por defecto, que es el 1494, también irá configurado.

- InitialProgram: Es la aplicación publicada. La cadena de ejecución empieza con un carácter #

- AutologonAllowed: Indica si se permite el autologon. Es muy útil para ficheros de configuración en los que aparecen valores de User y Password en la cadena de conexión.

- SSLEnable: Habilitar SSL.

- EncryptionLevelSession: Nivel de cifrado a usar.

- Username: Usuario que se va a utilizar para identificarse en el servidor de aplicaciones.

- Password: La contraseña del usuario.

- Domain: Si existe algún dominio de autenticación irá configurado en este campo.

- PersistentCachePath: Especifica dónde se va a crear la caché persistente. Si existe este parámetro, se puede descubrir el usuario por defecto de la instalación de Citrix analizando esta ruta: Documents and settings\administrator, por ejemplo.

Con el ejemplo de la Figura 1, de un solo fichero ICA se puede obtener información de las direcciones IP, los puertos de publicación, que es un sistema Windows, con una versión de Oracle, el usuario del servidor web y el usuario y password de la conexión a Oracle.

Descubrimiento de ficheros ICA con BING y Google

Estos ficheros son fácilmente descubribles a partir de Google o Bing, utilizando sencillos dorks:


Figura 2: Búsqueda de ficheros con Goolge

Como se puede ver en la Figura 2, en Google se puede sacar partido del comando ext para buscar ficheros publicados con esa extensión, y luego filtrar por cualquier parámetro de interés.

En el caso de Bing, como ya vimos en artículo de Bing Hacking, no existe el modificador ext, pero este fichero es de tipo texto plano, así que se puede filtrar por tipo de fichero TXT y luego filtrar por los parámetros del fichero. La Figura 3 muestra un ejemplo con BING que detecta un gran número de ficheros ICA publicados.


Figura 3: Búsqueda de ficheros ICA descubiertos con BING

A partir de este momento, es fácil descubrir ficheros con datos específicos configurados en ellos.

**************************************************************************************************
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (1 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (2 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (3 de 4)
- Hacking Remote Apps: Fingerprinting con Terminal Services & Citrix (4 de 4)
**************************************************************************************************

martes, abril 26, 2011

Spectra tiene un color especial

Hay que reconocer que Bill Gates consiguió unir a todos. Es un mago haciendo eso. Con él es fácil poner a todos de acuerdo: La culpa es de Spectra y de Bill Gates, que es el demonio. Cualquier cosa que ha sucedido en la historia con su persona o la compañía de la eme y la ese ha recogido las más duras críticas y las menores de las defensas. En eso hay que reconocerle que llegó al límite del éxito.

Sin embargo, con el resto de empresas la cosa es como que más pasable. Si Microsoft hubiera sido la empresa que hubiera comprado Sun Microsystems en lugar de Oracle, y hubiera hecho lo que ha hecho la compañía de la base de datos con MySQL, OpenOffice y Solaris seguramente estaríamos hablando de un cambio en la legislación para dictaminar en contra del uso de Microsoft a nivel mundial.

Si Microsoft hubiera hecho lo que ha hecho Sony con Geohot, denunciándole y persiguiéndole por crackear la PlayStation o tener los servidores de juegos caidos, en lugar de enviar una bonita camiseta al hacker, entonces los ejecutivos de Spectra hubieran sido ejecutados públicamente para después ser juzgados y, por supuesto condenados, en un tribunal Internacional que cambiaría la legislación para permitir la penitencia sumarísima.

Y cómo no, si Microsoft hubiera sido la empresa que hubiera grabado los datos GPS de las conexiones de los usuarios de Windows Mobile o Windows Phone 7, en lugar de ser Apple quién lo hizo con ay!fon o Google con Android, estaríamos viendo como el mundo entero se hubiera echado a la calle, con antorchas y guadañas para ejecutar, no solo a Bill Gates y cualquier trabajador pasado, presente o futuro de la compañía, a todos los MVPs, se hubieran derribado los edificios donde estuvo alguna vez una sede de la compañía. En el futuro tendríamos películas al estilo de Poltergeist con edificios fantasmagóricos creados sobre alguna sede de Microsoft, en la que los fantasmas viven una penitencia eterna instalando Window 95 en disquetes … ¡de cinco y un cuarto pulgadas!

Como es de suponer, El lado del mal hubiera sido cerrado sin esperar a orden judicial, yo habría tenido que cambiar de nombre, y abandonar el país con el pelo corto, afeitado y… ¡duchado!,para vivir un atroz exilio bajo un nombre como i-Smael, y poder simular ser un Apple fanboy.

Pero no, ha sido Steve Jobs, y aquí no ha pasado nada. No os espiamos, lo hace Google.

Así dice un supuesto correo, enviado desde un ay!fon, que se dice envió el propio Steve Jobs. Y todos le hacemos la ola… “oe, oe, oe,oe, ¡Qué no nos espían tontos! ¡Qué sólo se guardan esos datos para… para… bueno, aún no nos lo ha dicho, pero seguro que es para alguna cosa útil, como conocer la potencia y la cobertura de los teléfonos! ¡Qué no te enteras!”

Y a todo el mundo le parece bien. Le parece bien que Apple pueda, guardando las conexiones de las antenas acceder a los datos de posicionamiento de los usuarios por medio de triangulaciones. Le parece bien que Apple no tenga que requerir un orden judicial a España para solicitar esos datos: “Si total, ya los tiene Telefónica y Orange”. Les parece bien que el gobierno de los Estados Unidos pueda saber dónde están todos los usuarios del mundo que usen ay!fon sin pedir ninguna orden judicial a ninguno de los países donde estos usuarios sean ciudadanos, incluso muchos que han luchado contra la Ley Sinde solicitando que nadie cierre una web sin orden judicial.

Total, Steve y Google son buenos. El primero nos da dispositivos muy chulos y el segundo nos da cosas gratis, así que… ¿por qué quejarse o preocuparse?

Con los datos que recolecta Apple se puede identificar de forma única un teléfono a una cuenta iTunes en el 99% de los casos, y eso implica a una persona. Esos datos, quiera Apple seguir o no a los usuarios, quiera Apple tomar los datos de las antenas o preparar servicios de cupones por posicionamiento geográfico, sirven para identificar los movimientos de los usuarios. Atentan contra la privacidad de los usuarios.

Que ya la base de datos, que habrá que analizar en detalle, porque ese nombre de “consolidated” sugiere que se guardan datos de varias cosas, esté sin cifrar en el dispositivo y la pérdida o robo del mismo pueda suponer el acceso a todos los movimientos, es ya una bonita guinda para el pastel.

Que Android haga lo mismo y la gente esté tan contenta, y no se haya reaccionado en España desde el gobierno y la justicia para meterle mano me deja sorprendido. En Estados Unidos ya les han denunciado, los congresistas han requerido explicaciones a Apple y aquí… no pasa nada.

Total, el Esquema Nacional de Seguridad y la LOPD la escribimos, pero no para iPhone/iPad ni Android. Para ellos hay un bulo oficial, que va en el apendice 3, que dice: "Apendice 3: Me la suda la privaciad, y yo uso el iPhone en mi trabajo, aunque tenga un puesto público de seguridad, o sea un juéz"

En estos momentos me acuerdo de los programas de compartición de código con gobiernos que empujó Bil Gates para que los países inspeccionaran y tuvieran acceso al 100% de código de Windows y Office. ¿Dónde están los adalides políticos de la libertad para solicitar a Apple una inspección del código de iOS? ¿Por qué no exigen certificaciones Common Criteria para que sean evaluados por los comités que garanticen el tratamiento que hacen con los datos?

Por favor, tratad a Apple, Oracle, Google y Sony, al menos, como a Microsoft.

Saludos Malignos!

lunes, abril 25, 2011

Formaciones: LOPD, ENS, FOCA & Security Management

Esta semana hay varios seminarios y conferencias dedicados a seguridad informática que tendrán lugar en Madrid, Barcelona, y a través de Internet. Tienes eventos dedicados a LOPD, a cumplimiento legal, al Esquema Nacional de Seguridad, la gestión de la seguridad en la empresa, tanto del punto de vista técnico como de gobernancia y los seminarios de la FOCA. Aquí tienes la agenda detallada:

Online: LOPD Aplicada a entornos Windows: Sistemas Operativos
Martes 26: A lo largo de este Virtual Hands On Lab se abordarán los mecanismos que permitan garantizar el cumplimiento de los elementos para la LOPD en los Sistemas Operativos de la plataforma Windows. Se evaluarán y establecerán los mecanismos de control de accesos, cifrado, sistemas de auditorías y aquellos elementos que ayuden a proteger y mantener aquellos datos implicados en el marco del cumplimiento de la LOPD.

Online: LOPD Aplicada a entornos Windows: Bases de Datos, Documentos y Correo
Miércoles 27: Otros elementos condicionantes para el cumplimiento de la LOPD son aquellos que pudieran deberse del almacenamiento de los datos y la difusión de los mismos. A lo largo del Hand on Lab estableceremos aquellos elementos de protección y control para los sistemas de almacenamiento o distribución de información que pudiera estar contemplada en la LOPD. Evaluaremos los mecanismos en SQL Server, Exchange y Office.

Online: Aplicación del Esquema Nacional de Seguridad en entornos Microsoft
Jueves 28: En este seminario práctico se abordará la aplicación de medidas de seguridad y auditoría atendiendo a la normativa de interoperatividad con la administración electrónica vigente en entornos públicos. Para ello se analizará desde un enfoque práctico la implantación de las medidas previstas en el Esquema Nacional de Seguridad en escenarios Microsoft.

Madrid: ISMS Forum: Modelo de Seguridad de Confianza Cero
Jueves 28: En el Hotel Eurostars de Madrid, tendrá lugar un desayuno de trabajo del ISMS Forum con el lema: Modelo de Seguridad de Confianza Cero. Este evento está dirigido a profesionales de la seguridad informática, por lo que es un marco ideal para cambiar experiencias, problemas y soluciones.

Barcelona: ADMTools: Herramientas de gestión de seguridad
Jueves 28: GFI MAX RemoteManagement™, GFI VIPRE® Business, Add-On® Resource Central, GFI WebMonitor, Exclaimer MailDisclaimers y ADMTOOLS® - Retos y Expectativas

Online: FOCA PRO 2.6 (Español)
Jueves 28: En este training podrás conocer las novedades de la nueva versión FOCA. Todos los asistentes recibirán gratis una versión de FOCA PRO con todas las novedades.

Online: Normativa en el comercio Electrónico. Aplicación sobre servicios Microsoft
Viernes 29: El comercio electrónico y la prestación de servicios en Internet constituyen un mecanismo habitualmente ofertado por las organizaciones para la prestación de sus servicios. Hay que tener en cuenta que determinadas leyes y estándares fijan las normas y reglas de uso para los mismos. A través de este laboratorio el asistente conocerá en qué medida se aplican dichas leyes y qué servicios Microsoft pueden verse afectados, aportando una resolución técnica a las medidas planteadas.

Online: FOCA PRO 2.6 (English)
Viernes 29: In this training you will discover how FOCA PRO works and how it should be used in a pentesting process. All attendees will recevie a FOCA PRO version for free.

Saludos Malignos!

domingo, abril 24, 2011

La fiesta, el badge y la Troopers 2011

Recientemente he tenido el placer de volver a estar en una de mis conferencias preferidas por lo familiar y lo a gusto - como si fueras una rock and roll star - que te hace sentir el equipo completo de ERNW: Troopers 2011 [diapos de todas las sesiones]. Enno Rey ha sabido juntar a un grupo de profesionales de la seguridad informática con un espíritu netamente técnico y de amor por la seguridad que se transmite en cada conversación, en cada punto del evento, y en la forma de comunicarte con ellos.

Entre los miembros del equipo puedes encontrarte a están Roger Klose y Matthias Luft, especialistas en virtualización y cloud computing, Dani Mende, espíritu y alma de Loki, que ahora está siendo migrada a Mac OS X o René Graft, al que podéis ver de Co-speaker presentando las novedades de la los ataques L-3 de la herramienta en BlackHat USA 2010, que tuve la suerte de ver en directo.


Enno, transpira a techie por todos los poros, y disfruta hablando a público técnico en conferencias de hacking así que la próxima donde ser subirá al escenario será en la Hack In The Box, donde se ha apuntado a dar otra conferencia en Amsterdam.

En esta ocasión, como han publicado en Cyberhades, repartieron un badge superespecial a cada asistente y speaker, al estilo de los badges de Defcon. En este caso lo diseño, artesanalmente, y con el nombre de cada participante en la conferencia, Jeffrey Gough, haciendo un trabajo precioso, tal y como explica él mismo en su blog. La idea del reto consistía en hacer pasar el número, del valor 0 al valor 9, para poder ganar el reto.


Por supuesto, como yo soy un manazas, ni me atreví a tocar el mío, ya que prefiero tenerlo intacto en mi colección particular de Badges espectaculares, en la que se encuentran los de la Defcon 16, Defcon 17 y Defcon 18 de speakers.

No sé lo que le habrá costado a Enno conseguir que Jeffrey le haga el badge, pero me parece una idea única para las conferencias de hacking, que hacen que la gente converse estas piezas de colección como oro en paño y siempre se acuerden de ella. Si quieres hacer algo muy especial para tus asistentes puede contactar con Jeffrey, que como él mismo dice: “I can build your idea; please get in touch”.

IMG_1359
Jeff construyendo los badges de la Troopers 2011

Además Jeffrey es un tipo divertido y simpático, con el que tuve una anécdota cuando estuvimos cenando y el pobre tiró unas copas. Yo, aproveché para decirle algo como: “No puedo creerlo! El chico del hardware hacking con problemas con las manos”. Y él me contestó: “¡El chico de hardware hacking necesitaba interactuar con el entorno físico!”

Por supuesto, la fiesta final de la Troopers estuvo genial, hay que reconocerle a Enno algo más: además de ser buen técnico, buen anfitrión y dar buenas charlas,… sabe cómo se organizan las fiestas. }:))

Thanks Enno for count on me for your CON!! It´s been a real big pleasure.

Saludos Malignos!

sábado, abril 23, 2011

Empadronamiento en Firewalls

La empresa Websense vende productos famosos por fastidiar los ratos de ocio de más de uno en la empresa. Su solución más famosa en appliance consiste en tener filtradas las conexiones que los empleados realizan hacia fuera de la empresa mediante una base de datos que cataloga, ampliamente Internet. Esta misma filosofía la realizan también otros productos como URL Filtering de Forefront TMG 2010 pero Websense es, quizá, el más famoso en este tipo de soluciones.

Es cierto que no se puede tener todas las direcciones de Internet en una base de datos, pero se puede conseguir una mejora en la productividad de los trabajadores filtran los periódicos deportivos, los juegos en flash o los foros de pornografía, así que, con tener una catalogación lo bastante extensa como para aumentar la productividad, y Websense dice reconocer más de 47.8 millones de sitios y más de 140 protocolos de red, se justifica la compra de este tipo de herramientas.

Dichos los preliminares, el otro día recibí un correo en el que me informaban que en una empresa que usa Websense se estaba empezando a filtrar este blog y los lectores se estaban quejando - ¡Que lectores más majos! - así que me picó la curiosidad para saber exactamente en qué categoría.

El pertenecer a una categoría o a otra hará que más o menos gente tenga filtrada la URL, ya que, por ejemplo, se pueden filtrar blogs y permitir computación. O filtrar hacking y dejar blogs. Así que quise saber en qué categoría había sido catalagado El lado del mal. La aplicación de testeo de URLs está en una zona restringida, pero la base de datos de Surfcontrol, uno de los productos de filtrado de Websense sí está disponible, así que me puse a enredar. Primero busquéalgunos blogs y sitios web para ver en qué categorías estaban, ya sabéis para cotillear un rato.


Como véis todos estaban en Computing and Internet, lo que es bastante normal, tratandose de sitos dedicados a tecnología. Sin embargo, cuando busqué este blog en la base de datos, con el nombre original del mismo, apareció en la misma categoría que ÉL.


El alarido silencioso que emití hizo que se le helara la sangre a Freddy Krueger. Por suerte, con el cambio al nuevo dominio, aun no estoy catalogado en esta base de datos (¿estaré en la que consulta directametne Websense?). ¿Por qué? ¿Qué hice mal en mi vida? Yo quiero empadronarme en otro sitio.


Así que, puestos a estar en la base de datos he hecho dos cosas: La primera, solicitar la baja elladodelmal.blogspot.com de la base de datos, ya que el dominio solo hace un redirect a www.elladodelmal.com y la segunda "entregarme" a la base de datos y autocatalogarme en otro barrio, a ver si me dejan. Prefiero empadronarme yo.


Saludos Malignos!

viernes, abril 22, 2011

DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)

***********************************************************************************************
- DKIM, Domainkeys, Identified Internet Mail y el Spam (1 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (2 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)
***********************************************************************************************

Un correo no firmado, DKIM discardable y Gmail

Terminaba la segunda parte del artículo de esta serie preguntándose sobre cuál sería la implementación que harían los sistemas que implementasen DKIM cuando un correo no viniera firmado ya que, como vimos, el estándar no exige que se compruebe la política del dominio.

Para probarlo con Gmail, que cómo ya puse en el primer artículo Google había anunciado que había implementado DKIM en GoogleApps, configuré un dominio con una política discardable, es decir, solicitando que se eliminen todos los correos que no vengan firmados con DKIM. Le tocó el turno al dominio del blog de Forefront-es.com, así que creamos la pertinente entrada de política DKIM.


Figura 7: Registro DKIM con política discardable


Como podéis ver, esta entrada de registro en el servidor DNS es de tipo TXT y puede ser encontrada a través del servidor público de DNS de Google.

Para probar qué política está aplicando Gmail, envié un correo sin firmar utilizando un servicio de Enviar a un amigo desde una página web. Lógicamente ese correo va sin firma DKIM alguna que valga, y el objetivo era comprobar si Gmail está haciendo una consulta a la política DKIM del dominio del remitente para aplicar el borrado del mismo dentro de sus filtros antispam/antispoofing que implemente.

El resultado, como era de esperar, es que el correo entra en la bandeja de entrada de Gmail, sin firma DKIM ninguna. Lo del toque de la venta de la viagra es solo un poco de testing extra del sistema SCL.


Figura 8: Correo falso en el inbox, a pesar de la política DKIM


Reflexiones finales

DKIM no sirve para cifrar los mensajes. Tampoco garantiza el origen del mensaje de forma fiable, ya que como vimos en la primera parte se puede hacer abuso de las firmas al re-enviar el mensaje y las firmas vienen intactas. Por último, como el estándar no obliga a comprobar la política, todo recae en la decisión de la implementación y, como habéis podido comprobar, Gmail no hace esa comprobación en sus filtros antispam, sino que permite únicamente la parte de firmar.

***********************************************************************************************
- DKIM, Domainkeys, Identified Internet Mail y el Spam (1 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (2 de 3)
- DKIM, Domainkeys, Identified Internet Mail y el Spam (3 de 3)
***********************************************************************************************

jueves, abril 21, 2011

La dura vida con un ay!fon

Tiempo ha, apareció un bug por el cual el teléfono ay!fon podía hacer llamadas de teléfono automáticamente solo con visitar un página web y yo, cuando tenía un poco más de tiempo, hice una serie de 3 tiras de la serie No Lusers, en las que el pobre Apple Fanboy sufría la extorsión por parte de su propio teléfono ay!fon en La dura vida en pareja con un ay!fon.


Sin embargo, en aquel entonces poco sospechaba que el teléfono ay!fon sabía tanto de la vida del pobre Apple Fanboy, como todos los movimientos que ha dado mientras tenía el teléfono conectado a la linea de comunicaciones.

Usando sistemas de triangulación de antenas, los terminales ay!fon y los ay!Pad con 3G, están almacenando las posiciones GPS en un fichero, con nombre ofuscado, y no cifrado, que se almacena en el terminal y en todos los backups. La gracia es que Pete Warden y Alasdair Allen han hecho una herramienta llamada iPhoneTracker que, al estilo de Firesheep, hace que todo el mundo se acojone mientras ve su vida pasar delante de sus ojos en un mapa. En Seguridad Apple hemos publicado una revisión más completa de la herramienta para que veas cómo funciona: iPhoneTracker.

Washington DC to New York from Alasdair Allan on Vimeo.


Esto se conocía desde Septiembre de 2010 y un experto en seguridad de Microsoft había alertado que esto podía suceder, ya que el contrato de ay!fon especifica, cláramente, que el terminal puede recoger información de localización, así que... Si lo has metido en tu empresa ahora no te quejes. ¿Es bueno esto para militares, jueces antiterroristas, políticos, directivos de empresas, etcétera?


Ministra de exteriores de la UE con su iPad vigilado

La gracia total es que:

a) No se puede desactivar el almacenamiento de estos datos.
b) ay!fon e ay!Pad no se puede cifrar el disco así que, como te roben el ay!cacharro, estás muy jodido. Recuerda que de momento sacan toda la info en 6 minutos con iOS inferior a 4.3, pero en la próxima Hack in the Box prometen hacerlo en 20 minutos para cualquier versión de iOS.

Por supuesto, si se quiere cumplir con iPad/iPhone el Esquema de Seguridad Nacional, la LOPD, o tener normas de privacidad, va siendo hora de tomarnos las cosas en serio y menos cool, ¿no?

Saludos Malignos!

miércoles, abril 20, 2011

El engima con Enigma

Cuando publiqué el artículo sobre los mensajes cifrados en las cajas de los Caballeros del Zodiaco que había escrito Rubén, no me planteé ningún problema con la solución de la máquina Enigma en la última fase del mismo y asumí que, si decían que lo habían descifrado así, es que lo habían descifrado así.

Sin embargo, en los comentarios que pusieron en meneame y en el propio post, un lector puso esto:

"Para el codigo enigma no basta con saber las tres letras de codificación (suponiendo la simple del ejercito, no la de la marina).

Hace falta saber cuales 3 de las 5 ruedas se estan utilizando.
Hace falta saber la posición de estas ruedas (no es lo mismo 4-3-1 que 1-4-3)
Cual de los dos "espejos" se esta usuando.
Posición de las lenguetas de salto de la segunda y tercera rueda (para hacer avanzar a la anterior).
Posición de las clavijas de entrada y salida (podriamos suponer que no hay clavijas, pero la enigma nunca se utilizaba así).

Por lo tanto, con el código ROE no se puede descifrar ningún mensaje encriptado con la màquina enigma a no ser que sepas todos los demas datos (si no fuera así, para romper los códigos alemanes habría bastado con probar AAA hasta ZZZ cada dia y ya... :) )

FAKE :D!"


Me dejó un poco preocupado ya que mi conocimiento de la máquina Enigma es más bien justito, así que, como no me quedaba otra carta que jugar, me puse a investigar la historia de la dichosa máquina y... bueno, da para largo y tendido. Sólo con ver la entrada de la Wikipedia sobre Engima queda claro que los sistemas de cifrado de la máquina pasaron por diferentes evoluciones y que el lector que hizo este comentario estaba en lo cierto... en algunos modelos.

Sin embargo, para alivio mío, otro lector, bien informado, puso un comentario en el que no solo dejó claro que sí que existía un modelo de esas características, sino que linkó un emulador en flash de la máquina que puede ser utilizado online.

"Las primeras si tenían 3 rotores solamente, luego los alemanes la modificaron al modelo que dices. Encontré esta aplicación flash que muestra como crea el mensaje cifrado http://enigmaco.de/enigma/enigma.swf"

Ya no me quedaba más que probar la combinación propuesta en el artículo y hacer la prueba del 9, es decir, configurar como parámetros modificadores los valores ROE, y como texto de entrada el que aparecía en la caja de la figura, que era X M Y M T U I F X M Y E K W C O B L K A H Z B P D P D E F I N I G K H C Q J. El resultado lo tenéis en la siguiente imagen.


Como podéis ver, la cadena descifrada es: IT IS AFTER EARLY SUMMER THAT NEXT GOD APPEARS, o lo que es lo mismo, los de Bandai son unos frikis de cuidado y se lo curraron que te cagas para decir lo que todo el mundo podía sospechar: "La próxima figura saldrá cuando acabemos de vender ésta, que será más o menos para después del verano".

Saludos Malignos!

martes, abril 19, 2011

El OCR-Scanning y La piel del "tarnbor"

De Arturo Pérez-Reverte he leído casi todo lo que ha publicado. Confieso que es uno de esos escritores que consigue transmitirme pasión por la lectura, no sólo por sus obras, sino por cómo habla de las de otros.

El primer trabajo que leí de él fue El Club Dumas. Llegó a mis manos casi por casualidad, no recuerdo muy bien porqué ni por dónde, en una edición de Alfaguara que abrí distraídamente para ver de qué iba. Desde ese momento ese libro se implantó en mi vida para siempre. Suelo tener memoria de pez, lo que me permite releer los libros varias veces y experimentar la misma sorpresa y fruición que la primera vez, pero de ese libro no olvidaré jamás el olor de los libros incunables, el primer suicidio del coleccionista y la sonrisa de conejo del expoliador protagonista. Ver las láminas impresas en las páginas, intentando resolver el misterio antes de llegar al final, me cautivó.

Tras ese libro, fue inevitable ir a leer El Maestro de Esgrima, La Tabla de Flandes, Territorio Comanche, La Reina del Sur, La Sombra del Agila, El husar, las páginas de artículos del semanal y, cómo no, las Novelas del Capitán Alatriste, que he devorado varias veces, para poder leerlas todas del tirón.

Repasando su bibliografía completa, creo que me faltan tres por leer, que además los tengo ya en mi biblioteca esperando, ya que a mí, lo más fácil, es regalarme libros. Como no podía suceder de otra forma, tras leer la pasión en los textos que escribe, también me tuve comprar el libro de Los 3 mosqueteros y disfrutar del señor Dumas.

El caso es que actualmente estoy leyendo El Asedio, un libro de casi 800 páginas, que me regalaron en la edición especial que viene acompañada de otro libro - sí, a mí me gustan los libros grandes – pero en mi último viaje a París no pude llevármelo por motivos de peso, espacio y la santa madre que trajo a los maleteros de la T4 que son capaces de mandar mi equipaje a honrar la ciudad de Cádiz en cuando lo facturo. Así que opté por ver qué me podía llevar.

Para tan ilustre momento, ya que me iba a llevar el iPad al que estoy desmenuzando, decidí probar la lectura de un ebook en él, y qué mejor elección seria que buscar algo que ya hubiera leído. Como estaba con el comisario Tizón entre manos, y Pepe Lobo embarcando con la patente de corso lista, busqué algo de Pérez-Reverte en Google y en formato PDF, con lo que rápidamente apareció la bibliografía completa en un montón de sitios. Me descargué en iPad uno de ellos, y elegí, ya que andábamos por Andalucía, La piel del tambor, para volver a disfrutar de Sevilla, Triana, la Calle Sierpes y el barrio de Santa Cruz con el Potro de Mantelete, el padre Quartz, el padre Fierro y el Arzobispo Corvo en su peculiar guerra en la que la Pencho Gavira y la belleza Macarena Bruner se enredan, y enredan para acabar en …

Y me lo llevé, y la experiencia fue triste.

No porque con iPad se lea mejor o peor un libro en eBook. La verdad es que la experiencia técnica en cuanto a la lectura no fue mala, pero me decepcionó ver que la mayoría de los libros que circulan por la red son escaneos hechos con un programa OCR a los que ha faltado una depuración seria de los errores que este tipo de aplicaciones cometen. Encontrar cosas como ¡dea, ma^nana, tarnbor o cono en lugar de las bonitas palabras correctamente escritas, es el menor de los problemas, aunque no deja de ser como leer un libro con una mosca cojonera revoloteando a tú alrededor.

Lo triste es que Arturo Péreze-Reverte nos deleita en muchos de sus libros con los vocablos usados por miembros cerrados de las germanías, grupos sociales, ya sean maleantes o cortesanos, poetas de mal vivir o curas que latinean entre estocada y estocada de verborrea, que el intérprete OCR, en su pobreza de espíritu, no llega a comprender correctamente.

Llegados a este punto, yo, que adolezco de un vocabulario mucho menor que el del escritor que hablo, cuando me topo con un término que apunta a Null en mi almacén de memoria, me enfrento a una duda cruel. ¿Será esto lo que puso Don Arturo o es una mala jugada del escáner? Así, llegado a esta diatriba debo parar, abandonar el mundo en el que estoy, y salirme para comprobar con un diccionario si “andamies” es un término utilizado en algún oficio, un objeto que desconozco o simplemente una mala interpretación de la auténtica palabra “andamios” por parte del lector OCR.

De esta guisa, una placentera lectura se convierte en un insoportable camino de baches que te obliga a crear un diccionario de “errores típicos del escáner OCR que se utilizó para digitalizar este texto” e intentar no perderle el hilo a la bobina para saber qué pasará al final con La Virgen de las lágrimas

Es decir, que tendríamos que al igual que para los medios de vídeo existen los formatos DVD-Rip y el DVD-Screener, para los libros, habría que tener muy claro si es el original o el OCR-Scanning, porque si es un asesinato ver Avatar en DVD-Screener, leer a D. Arturo Pérez-Reverte en OCR-Scannig es un crimen que debe ser investigado por Tizón.

Por suerte para mí, tengo todos los libros en Pérez-Reverte en mi biblioteca - sí, me gustan los libros grandees y el olor papel - y no tendré que enfrentarme a los latigazos para confesar el delito.

Saludos Malignos!

PD: Puedes seguir a Arturo Pérez-Reverte en Twitter.

lunes, abril 18, 2011

Da Vinci Myth Code: Mensajes ocultos en las figuras de los Caballeros del Zodíaco resueltos con Enigma

Quiero empezar este post con un recuerdo de aquellos maravillosos años donde me encontraba pendiente de que terminara el programa de Jesús Vázquez en Telecinco - Hablando se entiende la basca o algo así - porque a continuación transmitían los dibujos de los Caballeros del Zodiaco. Me imagino que muchos de vosotros disfrutabais, al igual que yo, de dichos dibujos animados.

Por aquel entonces, año 87 más o menos, Bandai lanzo una distribución de figuras Vintage de los personajes de dicha serie, que se me antojaban un tanto molonas.

Figura 1: Andromeda en Figura Vintage

Pasados los años, a partir de 2003 Bandai empezó a lanzar una línea de figuras denominada Myth Cloth, con una elaboración más detallada de las mismas - Figuras con armaduras de metal más estilizadas -. Ahí fue donde empezó mi afán de coleccionismo por dichas figuras.

Figura 2: Las figuras modernas

Ya más mayorcito y con mejor poder adquisitivo, aún hoy día me encuentro en la labor de ir adquiriendo las figuras con las que de pequeño tanto disfrute, y es aquí donde enlazamos la historia con el título del post. Durante mucho tiempo los acérrimos seguidores colecciones de estas figuras estuvimos preguntando a Bandai por cuál iba a ser el lanzamiento de las siguientes figuras sin respuesta alguna al respecto.

Fue al cabo de casi 2 años después cuando un blogero del sitio saintseiyagallery encontrándose a punto de cenar en nochevieja con su familia, se dedicó a observar el exterior de las cajas en las que distribuyen las figuras - imágenes, logos, etc... - cuando detectó que en los bordes de los embalajes aparecía una frase.

En un principio pensó que la frase que aparecía en el envoltorio era la típica parrafada de marketing hablando del personaje o figura en cuestión. Pero cuando la observó con detenimiento, y gracias a que había estudiado algo de griego en su época universitaria, pudo observar y traducir una frase coherentemente al inglés. Si señores, he dicho griego. Como por aquella época se había lanzado la película El Código Da Vinci, desde su blog decidieron llamarle Da Vinci Myth Code.

Resulta que la gente de Bandai había estado poniendo desde abril de 2004 (a partir de la figura de Leo) en todas sus cajas mensajes codificados que generalmente anunciaban el lanzamiento de las siguientes figuras al mercado con un tiempo considerable de adelanto. Y todos nosotros, coleccionistas, dando el coñazo a Bandai para que nos indicara cual era la siguiente figura en salir, ;). Aquí podéis observar parte del mensaje en la parte superior del envoltorio.


Figura 3: Envoltorio con mensaje cifrado con alfabeto griego

“…Nadie se había dado cuenta de nada en este jueguecito que Bandai nos había propuesto.”, comentan desde SaintSeiyaGallery. “¡¡ Cómo se tuvieron que divertir los grafistas de Bandai al ver que no nos percatábamos!! Al menos yo, si fuera uno de ellos, estaría tirado en el suelo de la risa. Muy probablemente algún diseñador gráfico de Bandai Japón leyó el libro del Código Da Vinci, le gustó y se le ocurrió la idea de insertar los textos en clave en las cajas de los Myth. Estos japoneses siempre tan copiones...”

A partir de ese momento, la comunidad dedicada a los santos de Atenea empezó a traducir los textos ocultos, analizando las pistas aportadas por Bandai. Por poneros un ejemplo, para anunciar el lanzamiento de la figura del caballero de oro de Piscis (Afrodita en la serie), se proporcionó el siguiente texto, puesto en la siguiente imagen de forma continua, cortesía de SaintSeiyaGallery.


Figura 4: Texto que anunciaba al Caballero de Oro de Piscis

En el texto traducido se podía leer: THE LAST GOLD A GODDESS OF BEAUTY AFTER VENUS A URSA MAYOR FIX STAR (El último santo de oro, diosa de la belleza después de Venus, una estrella de la Osa Mayor.). Con él, estaban indicando claramente que la siguiente figura era Afrodita, caballero de la última casa, la de Piscis.

Otro de los casos curiosos y más difíciles de descifrar consistió en el mensaje oculto incorporado en la caja de Poseidon Royal Ornament Edition (Edición de armadura real). Tan difícil resultaba traducir el mensaje oculto, que se hizo un llamamiento a la comunidad solicitando ayuda para resolver el enigma.

El código original lanzado fue: X M Y M T U I F X M Y E K W C O B L K A H Z B P D P D E F I N I G K H C Q J

“La única pista proporcionada que Bandai dejó entrever para su resolución fue que había que eliminar del código las letras A E G I M N, nada nuevo ya que en anteriores códigos, dichas letras estaban ausentes en el abecedario interior de la caja, y lo que se hacía usualmente con ellas era eliminarlas. Después de darle una y mil vueltas al código no nos apareció nada coherente así que, desistimos.”

Al final, alguien se dio cuenta de que las palabras extraídas formaban la palabra ENIGMA. Y así fue como dieron con la solución.

"Buscando en la red formas de criptografía para resolver este código, resulta que una de las entradas hablaba de una máquina utilizada en la segunda guerra mundial llamada "Máquina Enigma". En esta máquina, insertando una pauta o referencia (en el dibujo se denominan Modificadores), y a su vez al introducir una palabra aparentemente inconexa, daría como resultado un texto descifrado.


Figura 5: Máquina Enigma. Foto extraída de SaintSeiyaGallery

“Ya estábamos en el camino correcto, ahora solo faltaba insertar la pauta a seguir para la resolución, pero… ¿cuál era el modificador? Al ser solo de 3 letras, había que pensar una combinación adecuada para ello. Uno de nuestros foreros dio con la clave, que deberíamos haberla tenido presente pero a nadie se le ocurrió: el código de 3 letras que había que introducir era ROE, siglas de nuestro Poseidón Royal Ornamental Edition. Y gracias a ello, apareció la resolución de dicho enigma y, nunca mejor dicho, aquí tenéis la frase que ha estado escondida durante casi 3 años.”


Figura 6: Descifrado final con la máquina Enigma

Desde luego que resulta de lo más interesante. ¿No os parece?

Un saludo,
Autor: Rubén Alonso

UPDATE: Aquí está la solución detallada con la máquina Enigma del último texto cifrado.

domingo, abril 17, 2011

Más FTSAIs para todos los gustos

Para hoy domingo, apunto ya de terminar la actual edición del FTSAI, es decir, de la Formación Técnica en Seguridad Auditoría Informática, que desde hace ya varios años realizamos en Informática 64, os dejo el calendario de las nuevas ediciones. En esta ocasión termina la 6ª edición y ya están planificadas las 7ª y 8ª edición.

Antes de que comiencen, hay creada una extensión, que será en forma en un curso de 10 horas de Análisis Forense de Dispositivos móviles, que tendrá lugar los viernes 6 y 13 de Mayo y al que se puede apuntar cualquiera. No, no hace falta que hayas hecho un FTSAI antes para asistir, puedes apuntarte si te gusta.

Por otro lado, la 7ª edición del FTSAI comenzará, continuando con la tradición, todos los viernes por la tarde, una vez terminado el curso anterior. Comenzará el 20 de Mayo y acabará...en Abril del 2012, con pausa para el verano.


La 8ª edición del FTSAI es el experimento, por eso, a pesar de ser la 8ª, comenzará antes que la 7ª - es lo que tenemos los de Móstoles, que somos capaces de hacer estas cosas - y se impartirá en horariod e Lunes a Jueves por la tarde. Comenzará el lunes 9 de Mayo, y terminará el 29 de Septiembre.


En cualquier caso, todos las sesiones se imparten en las instalaciones de Informática 64, en Móstoles, y te puedes apuntar a módulos sueltos o curso entero. Tienes toda la información en la página del FTSAI.

Saludos Malignos!

sábado, abril 16, 2011

Un Tip para las presentaciones: Ponte Porno

En muchas presentaciones, cuando quieres hacer una demo que comienza con una búsqueda, porque vas a hacer Google Hacking, o símplemente porque vas a hacer clic en un enlace que ya has probado antes, el camino se queda marcado con los colorines de "enlace visitado".


Figura 1: Links visitados en moradito

Sin embargo, si no te interesa que se vean los links visitados, puedes borrar el historial, borrar las cookies, etc... o justo antes de empezar a hacer la demo abrir el navegador en modo porno, es decir, inPrivate. Es rápido y cómodo.


Figura 2: Modo InPrivate

Este truco también es útil para cuando estás haciendo las capturas para un artículo o un post en un blog. Os dejo este truco aquí, porque he visto muchas presentaciones de speakers que pierden un poco de frescura símplemente porque ya se sabe donde va a hacer clic.

Saludos Malignos!

viernes, abril 15, 2011

¿Debe un CERT jugar a esto?

Durante la semana pasada me estuvieron poniendo en Facebook, twitter y en mi correo personal un advisory que había sacado INTECO, el CERT nacional por excelencia, dentro de la sección de Avisos de Seguridad Técnicos, y me pareció tal chorrada, que no he podido contenerme para escribir este post.

Vaya por delante que conozco a bastantes de los técnicos que allí trabajan y sé que son buenos profesionales, pero en este caso, la elección de lo que se debe publicar me parece erronea, pues juega casi a ser un blog. Y eso no es lo que debe ser un CERT, aunque pueda contar con un blog para profundizar o debatir sobre cuestiones en otro nivel de comunicación.

Un CERT, es un Centro de Emergencia y Respuesta Temprana ante incidencias, y cuando hablamos de Inteco, estamos hablando de un CERT nacional, con soporte de dinero público, que debe ocuparse de eso, de las emergencias de seguridad de España, y no de hacer publicidad a VUPEN, y me explico.

La compañía VUPEN, igual que muchas otras empresas de seguridad a lo largo del mundo, ofrece para sus clientes un servicio de exploiting, de patching, de información, sobre vulnerabilidades descubiertas por ellos, exploits realizados por ellos o workarrounds de fortificación de estos fallos. Así, empresas como ZDI, Core o Immunity desarrollan exploits sobre vulnerabilidades descubiertas por ellos, o no, que ofertan a sus suscriptores, tal y como vimos en el ejemplo de Canvas de Immunity con Apple Safari.


Figura 1: Expediente de Apple Safari con 0day y exploit disponible para sus clientes publicado por VUPEN

De hecho, el informe que publicó Inteco, en la sección de Artículos de Seguriad técnicos, no difiere prácticamente en nada con el que publicaron un mes atrás con las vulnerabilidades de Apple Safari 5.0.3, con el que VUPEN ganó el Pwn2Own, qué también eran de nivel crítico, y también habían puesto a disposición de sus clientes un exploit. Ese es su business, y lo hacen prácticamente a diarío con todo los productos.


Figura 2: Últimos expedientes publicados por VUPEN

Ahora bien, la pregunta que me viene es... ¿Por qué publicar el 0day de ie9 en RTM y no el 0day de Apple Safari en versión final o el de Google Chrome del día 12?

Sin embargo, en la sección de artículos técnicos, el CERT nacional no ha dicho nada de la operación Lizamoon, que tiene a día de hoy, más de 5.000 Urls afectadas en España.


Figura 3: más de 5.000 URLs en dominio .es afectadas

Según la web, INTECO-CERT tiene como finalidad es servir de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información y la comunicación tanto a entidades como a ciudadanos, y estas cosas sí son importantes para los ciudadanos.

Tampoco ha dicho nada de que Apple, con la actualización de iOS a la versión 4.3 ha dejado sin parches de seguridad a muchisimos ciudadanos españoles con móviles 3G (perdonad que no os de los datos, pues no los tengo, pero habría que buscar el número exacto de dispositivos que se vendieron).

También me llama la atención de que avisen de la actualización de Google Chrome, algo que por defecto es automático, y sin embargo no alerten de que las empresas deben probar antes sus aplicaciones, y que Google Chrome puede ser configurado para que la actualización sea controlada, y no cuando Google decida.

No creo que esta sección esté teniendo el rigor que una sección como esta debería tener en un CERT, ya que, lo más triste, es que VUPEN no ha publicado el expediente de seguridad aún, ni hay CVE aún, ni nada, solo un twitt y una referencia en una entrevista que, desde Inteco, ya sirve para hacer una aviso de seguridad técnico y calificarlo de "Nuevo 0day en IE9". ¿A vosotros os parece que se debe "jugar" a esto desde un CERT?

Saludos Malignos!

jueves, abril 14, 2011

Ataque selectivo con estación base falsa GSM/GPRS

Normalmente, un atacante que emplea una estación base falsa GSM/GPRS busca comprometer las comunicaciones de un usuario determinado, a la vez que intenta generar la menor actividad posible para el resto de usuarios móviles en su radio de alcance. A esto lo denominamos “ataque selectivo”. Para realizarlo, el atacante debe conocer el IMSI (identificador asociado a la tarjeta SIM) de la víctima.

Existen al respecto de este tipo de ataque dos ideas bastante extendidas:

A.- Que es difícil conseguir el IMSI del usuario al que queremos atacar
B.- Que es difícil no afectar al resto de usuarios en el radio de alcance de la estación falsa

Sin embargo, hay varias técnicas para solventar los puntos anteriores. En este artículo explicaremos, como ejemplo, una de ellas.

Descubriendo el IMSI de la víctima

Para resolver el punto A, el atacante podría realizar lo siguiente:

Paso 1: el atacante se ubica en la zona donde reside su víctima (su casa) cuando ésta se encuentra en ella y captura todos los IMSIs en su radio de alcance (preferiblemente con una antena direccional para limitar el área geográfica donde está capturando IMSIs). Durante esta operación rechaza todos los intentos de registro de los móviles hacia su estación base falsa, a la vez que anota los IMSIs que están intentando registrarse.

Paso 2: Posteriormente, el atacante se ubica en la zona donde la víctima trabaja y realiza la misma operación. Es de esperar que el primer IMSI de la segunda captura que coincida con alguno de los IMSIs de la primera sea el de la víctima.

Paso 3: En ese momento, el atacante debe autorizar el registro de ese IMSI (y sólo de ese IMSI) en su estación base para poder interceptar sus comunicaciones y bloquear los intentos de registro del resto de IMSIs.

Evitando afectar al resto de los usuarios

Una vez resuelto el punto A, vamos a ver cómo el atacante puede abordar el punto B.

En primer lugar, debemos darnos cuenta de que el atacante no ha dejado el registro abierto para todos los terminales, evitando así cualquier síntoma que pudiera alertar a la víctima (cambio brusco del indicador de cobertura, algún fallo en las llamadas salientes, falta de llamadas entrantes, etc.) y cualquier problema de sobrecarga de su estación base falsa (que típicamente tiene unas capacidades de gestión de tráfico y llamadas limitadas).

En cada uno de los pasos descrito anteriormente, el atacante realiza las siguientes acciones de configuración para conseguir afectar lo menos posible al resto de terminales a su alcance:

Paso 1: al atacante le conviene, para minimizar cualquier síntoma en los móviles a su alcance, y también para tener la menor información redundante o inútil posible en los logs de su estación base falsa, que cada IMSI sólo se intente registrar una vez en su celda falsa. Para ello configurará un código de causa de rechazo 0x0C “Location Area Not Allowed”. Este código de causa de rechazo lo incluye la estación base falsa en el mensaje “Location Update Procedure Reject”, que es el que envía cuando rechaza un intento de registro. Según el documento de la norma 3GPP 24.008 (también lo hemos verificado en nuestro lab) el móvil anota el LAI (Location Area Identifier) de la celda que le ha dado esa respuesta en su lista de LAIs prohibidos (denominada “forbidden location areas for regional provision of service”) y no se intenta conectar más a ninguna celda con ese LAI (no al menos hasta que el móvil se apague o se le quite la SIM). De esta forma está impidiendo que los móviles que se han intentado registrar una vez en su celda lo vuelvan a intentar, pero que no tengan problemas en volver a las celdas legítimas.

Paso 2: ahora el atacante persigue que el terminal de la víctima sea de nuevo rechazado la primera vez. Puede configurar su estación base con un LAI diferente al del día anterior, para asegurar que los terminales intentan registrarse de nuevo. Una vez capturado el primer IMSI que coincida, apaga la estación base.

Paso 3: el atacante que ya conoce el IMSI enciende la estación base con un nuevo código LAI, y con el IMSI de su víctima autorizado. Cuando la víctima intente registrarse en su estación base el registro se aceptará y el atacante puede comenzar a interceptar las comunicaciones. El resto de terminales se intentarán registrar una sola vez en la estación base falsa y no lo volverán a intentar pues el código de causa de rechazo sigue siendo 0x0C.

El atacante de esta forma puede conseguir identificar el IMSI de su víctima con una primera sesión de captura de IMSIs que durará algunos minutos, y una segunda sesión en la que ya puede interceptar selectivamente las comunicaciones de su víctima. Por el contrario, el único efecto colateral sobre el resto de terminales a su alcance es que intentan realizar un registro en su celda falsa una sola vez.

José Picó
Taddong

Taddong tiene planificados tranings de seguridad GSM/UMTS para profesionales a los que te puedes apuntar en Madrid, Valencia y Barcelona, en Español y en Inglés.

miércoles, abril 13, 2011

Apúntate ya para asistir al Asegúr@IT 9

Ya tocaba hacer otro Asegúr@IT y este año bajamos el próximo 5 de Mayo a Málaga, que si no sacar a los Hispasectarios de la tierra es más dificil que conseguir que dos políticos se pongan de acuerdo [aunque sean del mismo partido]. Y esta es la agenda que hemos preparado, con su pertinente cena/fiesta la noche anterior, a la que podrás venirte. Esta es la agenda que hemos construido así que vete apuntándote, que solo hay 130 plazas....

En esta ocasión estará la gente de Swivel Secure, con Alex Rocha a la cabeza, el gran Sergio "pajarraco" de los Santos, el "abuelo" Parada, Enrique Rando y yo, que presentaré una versión mucho más evolucionada de DUST que espero que os guste }:))

El lugar será El Salón de Actos del la sede social del PTA, y para poder tener sitio deberás registrarte en el siguiente enlace: Asegúr@IT 9

09:00 - 09:30 Registro

09:30 – 10:00 Las passwords dan miedo. Swivel Secure – PINSafe

En esta sesión Swivel Secure mostrará soluciones de autenticación multifactor con mensajes OTP mezclados con algorítmica para evitar la vulneración del canal de envío OTP. Esta tecnología se podrá aplicar a las conexiones Forefront IAG o UAG para implantar sistemas de VPN robusta.

10:00 – 10:30 Algunos trucos de hacking usando buscadores

Enrique Rando, responsable de informática de la delegación de trabajo en Málaga de la Junta de Andalucía, dará una sesión en la que enseñará algunos trucos nuevos y curiosos en el uso de Google, Bing y Shodan para realizar auditorías de seguridad y hacking ético.

10:30 – 11:15 Dust: Tu Feed RSS es tuyo

Las legislaciones en el mundo sobre los contenidos que se pueden publicar o no hace que cada vez esté más en riesgo un canal de comunicación RSS. En esta sesión, Chema Alonso hablará de DUST, una solución para compartir fedds RSS por redes P2P y generar canales redundandes de lectura de tu audiencia.

11:15 – 11:45 Café

11:45 – 12:30 El malware se adapta a los tiempos

Pensar que el malware es estático y se puede solucionar con un plan de protección no revisado continuamente es un riesgo. En esta sesión, Sergio de los Santos, escritor del libro “Una al día: 12 años de seguridad”, hablará de como el malware está más adaptado que nunca a los nuevos cambios de Internet.

12:30 – 13:15 Cloud Computing: Security & Compliant

José Parada, Director de Seguridad de Microsoft Ibérica, dará una sesión sobre la seguridad en las tencologías de Cloud Computing, no solo desde el punto de vista de protección, sino del cumplimiento legislativo de las mismas.

13:15 – 13:45 Preguntas

Saludos Malignos!

martes, abril 12, 2011

Mañana en Tudela: Jornada de Seguridad

Este año no he podido asistir a la Semana de la Seguridad que organiza la Fundación Dédalo en Tudela desde hace años. Sin embargo, el cartel yo creo que es mejor, y mañana, justamente, hay una tarde que merece la pena que te reserves para escaparte un rato.

Esta es la agenda, en la que destaca el gran Mikel Gastesi, de S21Sec, en la que hablará de lo que ya se comentó con el whitepaper sobre seguridad en Smartphones... y que está acabandome un libro... ¿Cómo va el libro Mikel?.

17:30 a 18:00 h - Las auditorias, una experiencia valida en la seguridad de la información y protección de datos en el entorno local
Ponente: D.Carlos Adín. Director del Servicio de Calidad y Modernización
Departamento de Administración Local. Gobierno de Navarra.

18 a 19 h - Gestionando la Seguridad de la información con entidades públicas
Ponente: D. José Ángel Valderrama. Gerente de Nuevas Tecnologías de AENOR.

19 a 20 h - Cuando tu teléfono Smartphone está en el punto de mira

Charla en la que Mikel Gastesi analista e-crime de S21sec, hará una exposición de los riesgos que implica el uso de los smartphones. ¿Nos hemos parado a pensar qué implicaciones tiene su uso? ¿La información sensible de tu teléfono está cifrada? ¿Qué pasa si lo pierdes?...

Saludos Malignos!

Ganar pasta con la publicidad de tu web y tu red de amigos con iPad/iPhone

El negocio de la publicidad online se ha visto sujeto a montones de estafas en Internet, por lo que los Ads Servers más avanzados han tenido que desarrollar sistemas de protección contra los más elaborados ataques, que al principio ni soñaron. La publicidad en los medios online se suele contratar de diversas formas, pero principalmente de cuatro maneras:

a) A cuota fija por unidad de tiempo: Se confía en el medio y se le pide simplemente que durante un tiempo ponga un determinado banner. Aquí no hay mucho que rascar.

b) A tanto por impresión: Ahí entra el juego el coste que se negocie por millar de impresiones, el famoso CPM.

c) A tanto por clic: Se monitorizan los clics que se hacen en los banners y se identifica la fuente de alguna manera, que suele ser el Referer o un parámetro id que identifica al medio.

d) A tanto por objetivo: En este caso se plantean objetivos de suscripciones a newsletter, eventos, me gustas de facebook o seguidores de cuentas facebook. Es más para agencias que para medios online.

El caso es que en casi toda la publicidad se evalúa con la URL que viene por GET, la dirección IP del visitante que hizo clic y el parámetro HTTP-Referer en todo caso, para así valorar si el clic es bueno o fraudulento.

Los sistemas más avanzados ponen tres parámetros, como mínimo, en cada impresión, y que van en la lista de parámetros del enlace en el que se debe hacer clic, que son:

- El medio donde se mostró el anuncio.
- Un ticket que identifica un clic en ese medio y que cada vez que se hace clic se, originalmente incrementaba, ahora cambia.
- Un ticket que identifica cada impresión.

Además, en muchos anuncios se meten identificadores de campañas y hashes resumen de los parámetros para ver si han sido modificados. Con estos parámetros se intenta atribuir, de forma unívoca, una impresión o un clic a un medio publicitario.

Ahora bien, para evitar los ataques de los más listos, se tienen que detectar clics fraudulentos realizados desde mismas direcciones IP, porque si no uno podría poner un programa automatizado en una máquina a hacer clics en los anuncios de su web.

Además, se deben detectar ataques que se realizan con botnets, es decir, lo mismo pero utilizando una botnet de computadoras zombies para que vayan desde diferentes direcciones IP, así que se hacen perfiles de uso de los visitants, y se quitan clics dedes "ubicaciones extañas".

Debilidades

Jugando con la publicidad de los blogs esta mañana - espero que estarán contentos hoy con la cantidad de clics que he hecho en muchos de sus banners - puedes ver cúal es el sistema que implementan, para elegir qué compañía de publicidad te viene bien usar.

Algunos son fáciles de distinguir, como este de Accens, donde, como se puede ver, en este blog no se ha acordado un coste por muestra, ya que aparece sin usar donde debería ir el campo único de impresión.


Figura 1: No hay control de número de impresiones activado

En otros, es fácil comprobar si tienen las protecciones o no, basta con copiar la URL antes de hacer click en el banner y:

1) Actualizar la web sin hacer clic en el banner para ver si tiene un id por impresión.
2) Hacer clic en el anuncio y comprobar si tiene un id por clic.

Es muy común, muy, muy común, encontrarse muchísimos sitios que no tienen esas protecciones, aquí otra publicidad de Lancaster hecha con un redirect desde el sitio.


Figura 2: Publicidad hecha con URL redirect


¿Cómo ganar pasta con este sistema sin hacer una botnet?

Como hacerse una botnet es un poco coñazo, ya que puedes acabar en el trullo, necesitas un kit de exploits, un troyano, servidores hackeados como los de la operación Lizamoon para distribuir los bichos, etc...., puedes usar a tu propia "iPadnet" de amigos.

Primero móntate un blog de cualquier chorrada, algo así como éste. Después busca sistemas de publicidad que estén utilizandose por Internet que no tengan id único de impacto e id único de clic, y llena tu blog con un montón de estos anuncios.

Envíale a tu iPadnet una mail en el que generes, por cada correo electrónico 4 o 5 imágenes que se carguen desde la URL de hacer clic en el banner. Y a esperar.

Arreglar las estádisticas del sitio

Este truco lo puedes usar, no solo con el objetivo de ganar dinero con la publicidad, sino con el de ganar visitas a tu sitios para mejorar las estadísticas y enseñarlas luego a futuros clientes, así que ya sabes, ponte por defecto en la firma de tus correos un link a una imagen que se cargue desde la URL y haz muchos amigos con iPad. No tienes que preocuparte de tu iPadnet, si la imagen no se carga, no se vé ningún icono feo, solo un elegante blanco...

Si alguien aún no ha entendido que la política de cargar imagenes por defecto en el cliente Mail de iPad es una mala decisión, y que la opción se aplique por defecto a todos los correos, en lugar de uno a uno, es mala, yo estoy dispuesto a explicarselo otra vez, aunque será en privado, con algún otro ejemplo.

Saludos Malignos!

- Colecciona amigos con iPad (e iPhone) y gana votaciones
- El jefe hackeó la base de datos o cómo liarla poniendo un iPad/iPhone para leer el correo corporativo de la empresa
Actualización: En iOS 6 Apple arregló esta configuración por defecto en Mail.

lunes, abril 11, 2011

Colecciona amigos con iPad (e iPhone) y gana votaciones

Cuando publiqué el artículo sobre el problema de configuración insegura del cliente Mail de iPhone e iPad, aparecieron muchos que no se enteraban de nada, diciendo que eso era una chorrada, y que si el usuario no sabe para que cambiarlo.

Lo normal es que el cliente de correo electrónico bloquee por defecto la carga de todas las imágenes y archivos vinculados para que, si se confía en el remitente del mensaje, y tras ver una previsualización sin contenido externo, el usuario decida si quiere cargar o no las imágenes. Lógicamente, esto se hace mucho mejor si el cliente permitiera ver el código fuente del mensaje, para que los "dioses" que saben un poco de HTML puedan verlo... si lo desean. Sí, no es una solución perfecta, pero es la más segura.

El caso es que el problema con el cliente Mail de iPad es más putada aún, ya que si eliges no ver las imágenes remotas, no ves ninguna de ningún correo de tu buzón, y si eliges cargar las imágenes, cargas todas, es decir, que no se puede hacer con unos correos sí, y con otros correos no. Con la duda en el cuerpo, el sábado lo probé con el Windows Phone 7, que no es el teléfono que uso yo a día de hoy, y sí, funciona como debe.

En el ejemplo del otro día puse como hacer un SQL Injection, pero esto también puede ser utilizado para otras cosas más mundanas, como para ganar votaciones online, por ejemplo, sobre quién es la actriz más guapa...(aunque yo les daba el premio a todas, que conste en acta).

En una votación online siempre hay muchos riesgos de ataques automatizados, por lo que se deben tomar medidas de seguridad como:

- Que solo puedan votar usuarios autenticados.
- Que haya un sistema de captchas seguro para evitar scripts automatizados.
- Que haya un límite al número de votaciones desde la misma dirección IP por tiempo (si es una putada para los que salen por la misma IP, pero si no puedes exigir que los usarios estén autenticados, es la única opción)
- Que las peticiones sean por post.
- Que nadie vote un 14, si el límite son 9 puntos }:)

Si no se dan esas características de seguridad, como por ejemplo en la votación del diaro Las Provincias para elegir a la actriz más guapa, entonces puedes aprovechar toda la "fuerza" de tus amigos con iPad o iPhone.

El proceso es sencillo:

Paso 1: Colecta los e-mails de todos tus amig@s con iPad o iPhone: Para ello basta que revises tu correo electrónico y busques todos los correos electrónicos con el mensaje: "Enviado desde mi iPad", "Enviado desde mi iPhone" o sus versiones inglesas "Sent from my iPad" o "Sent from my iPhone". Yo tengo unos cuantos.

Siempre me gusta fijarme en cómo aparece el nombre del remitente, la firma del mensaje o alguna característica del correo electrónico para saber si el mensaje me lo han enviado desde su portátil, desde la web o desde el teléfono. Es una curiosidad personal. Sin embargo, con iPad o iPhone no es necesario comerse la cabeza pues, aunque se puede cambiar, por defecto iPhone e iPad llevan ese mensaje al más puro estilo Gollum - otra bonita característica de seguridad -.


¿No tienes suficientes amigos así?

No sufras, Internet está lleno de gente que te informa de que tiene un iPhone o un iPad y que estará deseoso de votar a quién tu quieras. Basta con hacer algunas sencillas búsquedas para crear tu base de datos. Yo lo hice mirando en mailinglistachive.com y saqué un buen número.


Seguro que si miras los foros de Apple encontrarás una gran cantidad de usuarios dispuestos a votar por quién tu quieras.

Paso 2: Busca la URL de la votación, en el caso de esta votación era bastante sencillo, ya que con mirar la URL que se invoca tras pulsar la estrella adecuada, es decir:

GET /backend/votar.php?p=5&id=4105

se puede ver que en el parámetro p está el valor de la votación y en id la actríz que se quiere votar. Sencillo y rápido.

Paso 3: Haz un correo electrónico en el que se incluya una imagen que realmente llame a la URL por GET con el voto que tú quieras y envíaselo a todos tus nuevos "amigos" con iPad e iPhone y espera que suban los votos.

Disfruta con el resultado de la votación

Sí, el fallo está en las protecciones del sistema de votaciones, pero desde que el cliente Mail de iPad funciona de esta manera, los spammers pueden aprovechar esta configuración insegura por defecto para realizar el ataque y conseguir saltarse protecciones basadas en direcciones IP en webs de votaciones... u otras cosas.

Saludos Malignos!

Actualización: En iOS 6 Apple arregló esta configuración por defecto en Mail.

Entradas populares