domingo, julio 31, 2011

sábado, julio 30, 2011

FOCA 3.0: El re-styling de la FOCA

Al final, después de que os avanzase las novedades que tendría la FOCA 2.7, decidimos no publicar esa versión. Tal vez os estéis preguntando por qué, pero no hay ningún misterio. Se está trabajando en la versión 3.0, que será utilizada y presentada en el próximo workshop de Defcon.

Para ello, Alejandro Ramos, que de pentesting sabe una miajica, se pasó un día por el SOCtano y se sentó con nosotros un rato. Sacó la katana y nos hizo una lista de cosas que debían cambiarse en la FOCA.

Como de esto sabe, decidimos hacerle caso, y cambiamos todo el interfaz a cómo él pensaba que debía estar. Añadimos un log en la ventana, quitamos la información redundante, y centramos toda la información en un único árbol desde el que se van lanzando todas las acciones con el botón derecho.

Durante el proceso, también decidimos incluir Shodan dentro del algoritmo principal, y se encontró un error que hacía que la FOCA crasheara más de la cuenta. Se añadió la opción de autoguardado en la versión PRO, y la posibilidad de añadir dominios y direccciones IP manualmente.

Al final, tras mucho mover cosas, y un trabajo contra-reloj de Manu, el aspecto que tiene la nueva FOCA es el que véis a continuación.


FOCA R00lez!

Aún hay que depurar cosas, pero os juro que estamos super contentos y orgullosos del resultado final de la herramienta, que esperamos que podáis disfrutar todos en su versión free pronto.

Saludos Malignos!

viernes, julio 29, 2011

El misterioso asunto de la aparición de .listing

Hace ya algún tiempo hablamos del asunto del fichero .listing que se encontraba en muchos servidores web, permitiendo listar el contenido de un directorio mediante la invoación de este archivo. En aquel momento no teníamos mucha idea de porque aparecía en muchos sitios, pero lo cierto es que está en más de los que pueda parecer a primera vista.

Al final, tras un café con Guachi, me enteré de la explicación porque me contó que ese ficherito lo crea el programa WGET cuando realiza conexiones FTP. Así, en el punto 2.9 del manual de WGET, donde se habla de las opciones FTP, se puede descubrir esta opción:

‘--no-remove-listing’

Don't remove the temporary .listing files generated by ftp retrievals. Normally, these files contain the raw directory listings received from ftp servers. Not removing them can be useful for debugging purposes, or when you want to be able to easily check on the contents of remote server directories (e.g. to verify that a mirror you're running is complete).
Es decir, que hay un flag para decirle a Wget que deje el fichero en el servidor. Evidentemente, por defecto lo borra (salvo que la cuenta pueda crear archivos pero no borrarlos). Lo curioso, es que en la descripción de esa opción aparece un párrafo relativo a la seguridad que dice:

Note that even though Wget writes to a known filename for this file, this is not a security hole in the scenario of a user making .listing a symbolic link to /etc/passwd or something and asking root to run Wget in his or her directory. Depending on the options used, either Wget will refuse to write to .listing, making the globbing/recursion/time-stamping operation fail, or the symbolic link will be deleted and replaced with the actual .listing file, or the listing will be written to a .listing.number file.

Even though this situation isn't a problem, though, root should never run Wget in a non-trusted user's directory. A user could do something as simple as linking index.html to /etc/passwd and asking root to run Wget with ‘-N’ or ‘-r’ so the file will be overwritten.
O lo que es lo mismo, no te precoupes por la seguridad, ya si alguien crea un link simbolico a /etc/passwd y hace usar Wget al usuario root, nosotros ya hemos pensado eso y lo hemos resuelto.

Con este párrafo se da una falsa sensación de seguridad, ya que, como hemos visto, es fácil utilizar este fichero para obtener información sensible de la web de una empresa símplemente buscándolo [ "al Maligno style" };) ] con la FOCA.

Saludos Malignos!

UPDATE: Un lector, Jesús Losada, se miró el código fuente de wget, y resulta que si ha sido compilado para Windows, wget genera los ficheros con el nombre de _Listing:

/* File where the "ls -al" listing will be saved. */
#ifdef MSDOS
#define LIST_FILENAME "_listing"
#else
#define LIST_FILENAME ".listing"
#endif

jueves, julio 28, 2011

Vegas 2011: Schedule

Ya tengo el calendario de Las Vegas 2011 organizado, así que os dejo la lista de actividades en las que seguro que me váis a poder encontrar, en el caso de que os vengáis a Las Vegas y queráis verme, por supuesto.


Día 3: BlackHat USA 2011 y Pwnie Awards 2011

El día 3 y 4 tendrán lugar las conferencias de la BlackHat USA 2011. Yo pasaré el día 3 viendo las conferencias (aquí el schedule) y no faltaré a la cita ineludible de los Pwnie Awards 2011, que será a última hora del primer día.

Día 4: BlackHat USA y BlackHat Asenal 2011

Para el segundo día, ya me tocará "trabajar" un poco, así que estaré, además de viendo las charlas, presentando DUST en el BlackHat Asenal, así que me puedes localizar en mi Booth.


Día 5: HackCup 2011 y Defcon 19

El día 5 es para que los hax0rs se partan las piernas en el Reto hacking más subrealista que he podido echarme a la cara: La HackCup. Un torneo de fútbol entre profesionales de la seguridad informática que pasan más tiempo rompiendo cosas que entrenando... aunque algunos se lo toman muy en serio y se dopan. Será por la mañana, y si ninguna fiesta de BlackHat ha podido romperte, puedes venirte a jugar en el FOCA Team 2 o a asistir de público.

Cuando acabe a las 12 de la mañana, iremos corriendo a la Defcon 19, porque a las 14:00 horas nos toca exponer, así que la cosa va a ir justita. Esta primera charla será de DUST, y nos han puesto en el teatro, junto a unos "noobs" como Moxie Marlinskpike, Dan Kaminsky, Charlie Miller, David Litchfield, Bruce Potter, Deviant Ollan y Alexander Kornbrust, entre otros... Vamos, que estamos acojonados.

Depués, por la tarde, en el Track 2, a las 18:00 horas nos tocará presentar la charla de "Bosses Love Excel, Hackers too" en la que "Silverhack" y yo hablaremos de Terminal Hackpplications y como enredar con Citrix y Terminal Services.

Día 6: Workshop FOCA

El sábado será el último día de trabajo, y durante todo el día estaré dando un Worshop de la FOCA en la Defcon 19. En esta ocasión el seminario es de 1 jornada completa, y seguro que me deja exhausto, pero dará igual, porque ese día es SÁBADO NOCHE EN LAS VEGAS. Primero habrá un cenote, y luego una visita a...

Si quieres hacer algo conmigo, ya sabes, envíame un correo, y te apuntas a lo que quieras con nosotros.

Saludos Malignos!

miércoles, julio 27, 2011

6 easy tests para evaluar la seguridad de tu web (o de tu empresa)

Normalmente, cuando hacemos un test de intrusión en Informática 64, antes de empezar y estimar más o menos el número de jornadas que vamos a tardar en realizar el análisis, miramos cosas como las tecnologías utilizadas en servidor, el tipo de información que maneja, el tamaño de la misma, y lo más importante, el nivel de concienciación en seguridad en el desarrollo.

Para mirar eso, comprobamos algunos trucos muy sencillos que os he ido contando a lo largo de mucho tiempo, pero os voy a resumir algunas pruebas que podéis realizar con vuestra web (o la de vuestra empresa) para saber si necesita un test de intrusión o no:

1. El test de la Viagra (o el software barato)

Este seguro que ya lo conocéis, es tan sencillo como buscar en Google en el site de vuestra web por “cheap viagra” o “cheap software” para ver si vuestra web está jodida por la viagra como la de Apple o por el software piata como la de la Nasa. Si esto aparece, es que hay un buen bug en el sitio web que alguien ha aprovechado.


Figura 1: Viagra en la web de Apple

2. Ficheros con usuarios en los metadatos

Podéis hacer un análisis de los metadatos de todos los documentos podéis utilizar FOCA, pero si queréis hacer una prueba rápida, basta con que miréis en Google los famosos ficheros PDF que tienen en el título la ruta al perfil del usuario, como hicimos con los espías. Esto implicaría que al ENS no le hacen mucho caso - y que no nos han comprado aún Metashield Protector }:) -


Figura 2: Usuarios del ejército americano

Nota: Si quieres mirar metadatos en ficheros en concreto, los Excel suelen ser los que más metadatos suelen contener.

3. La prueba de robots.txt

El domingo pasado os publiqué un ejemplo de lo que NO se debe hacer con un robots.txt, pero lo ideal es buscar los directorios que aparecen en ellos a ver si tienen alguna “sopresa” como un panel de administración, o una aplicación “escondida”.


Figura 3: Interesante robots.txt de Oracle.com

4. Listado de directorios abiertos

A veces los árboles no nos dejan ver el bosque, y lo más fácil es pedir el listado de directorios y obtener todos los ficheros allí almacenados. Para ello, basta con que busques las carpetas en las URL de la web y compruebes si te muestra la lista de ficheros. Esto no debería pasar nunca.


Figura 4: Listado de directorios abierto en EAJ-PNV.com

5. SQL Injection de libro en aplicaciones ASP o CFM con la comilla

El lenguaje ASP fue lanzado en 1996 mientras que el SQL Injection se descubrió en 1998, por lo que los ficheros ASP no traen una protección extra para los ataques de comilla. Para ello, busca en tu sitio ficheros asp con parámetros y añade al valor del parámetro algo como ‘asdf y mira a ver si canta algún error de aplicación o de ODBC. Si esto pasa, la web es vulnerable. Esta prueba puede realizarse de la misma marea con ficheros ColdFusion que también nacieron antes que el SQL Injection.


Figura 5: Búsqueda de aplicaciones ASP con parámetros


Figura 6: Ejemplo típico de error ODBC

6. Blind SQL Injection de Libro en ficheros PHP

En PHP añadieron las magic quotes, que hacen que se escapen las comillas, evitando los ataques con comillas. Sin embargo, nada protegen contra los ataques Blind SQL Injection en parámetros numéricos. Para hacer una prueba sencilla, busca en tu sitio ficheros PHP con parámetros numéricos y haz dos peticiones, una inyectando and 1=1 y otra inyectando and 1=2. Si los resultados son distintos, ese sitio es más que probable vulnerable a BSQLi. Una vez descubierto el Blind SQL Injection, ya le puedes dar caña a las tools.


Figura 7: Búsqueda de PHPs con parámetros numéricos. Hay que inyectar and 1=1 y and 1=2

Todas estas pruebas no son definitivas, y aunque la web de tu empresa las pase todas debería seguir haciéndose un test de intrusión de forma periódica pero, por el contrario, si alguna de ellas da resultado positivo, indica un fallo de seguridad y lo que es más gordo, una “preocupación” por la seguridad de la web “relajada”.

Saludos Malignos!

martes, julio 26, 2011

Pwnie Awards 2011

Ya están publicadas las nominaciones a los Pwnie Awards 2011, los premios que los investigadores de seguridad, con más mala leche y humor que, entre otras cosas, entregan a los mejores exploits, los mejores papers y las grandes cagadas. Aquí tienes un resumen de otros años.



El año pasado tuve la suerte de verlos en directo por primera vez, y me parti la caja, y este año parece que también va a ser ese el final. Los premios tienen, como siempre, una buena cantidad de candidatos dignos de remarcar, pero os voy a dejar mi selección personal.

En el mejor Server-Side bug tenemos, en primer lugar el Padding Oracles everywhere de .NET que pubicaron Juliano Rizzo y Thai Duong durante la última Ekoparty, toda una pasada de 0day lanzado al público en pendrives cifrados.

En la parte de Client Side Attacks, la cosa va a estar dura, pero me apunto al bug de Comex que dio lugar a JailbreakMe 3.0, para poder hacer jailbreak a todos los dispositivos Apple. También está en la lista el bug que permitió saltarse la sandbox de Google Chrome y el de Vincenzo Lozzo y sus compañeros en la Pwn2Own para tomar control de las Blackberry remotamente.

Para los mejores bugs de elevación de privilegios, hay un par de ellos para elevación en Linux, uno de ellos aprovechando un bug del kernel y el otro con créditos de Tavis Ormandy, un clásico ya en estas lides. El tercero en discorcia es para Windows CSRSS.

En la parte final es donde la cosa se suele poner más graciosa, ya que que tras el premio a la mejor freak song, llegan los esperados Lamest Response, Epic Fail y Epic 0wnage. Aquí suelen llegar las cervezas a la sala.

En la respuesta más lamer de un fabricante se encuentran Magix, Novel y la RSA con el ownage que les llevó a publicar los datos el día de los inocentes... creo que aquí va a haber unas buenas risas.

Para el más Epic Fail, todas las nominaciones son para Sony, por todo lo acaecido desde que en el CCC se publicara el algoritmo que llevaría a rootear la PS3... y todo lo que vino detrás.

Y el último, el más Epic 0wnage será una dura competición en la que se disputarán el premio el HBGary 0wnage, con el que quedaron al descubiertos los crappy services que vendían al gobierno y todos los correos electrónicos, los ataques de LulzSec... a todo el mundo, el asunto de Stuxnet (aquí seguro que uno canta eso del llueshey) y el nada desdeñoso tema de Wikileaks y Bradley Manning owneando al llueshey. Esto va a ser grande.

Lo dicho, que si tienes la posibilidad de estar allí.... no te lo pierdas, y si no, ya os lo contaré por twitter y por aquí. ¿Cuáles son tus elecciones?

Saludos Malignos!

lunes, julio 25, 2011

Hacking driven by Robots.txt

El fichero Robots.txt es uno de los más incomprendidos por todo el mundo. A pesar de su aparente simpleza, cada uno lo escribe como le da la gana sin entender que no es un standard, y que cada buscador lo implementa como quiere, y que es muy sencillo de saltárselo. Ya, hace tiempo le dedique un periodo a juguetear con él y darme cuenta de que esos ficheros eran unos incomprendidos.

Sin embargo, hay que decirlo, para el mundo del hacking puede ser una fuente inagotable de conocimiento, no solo porque sea un sitio chulo para firmar un hackeo, sino porque además te puede dirigir totalmente el ataque. Este es el robots.txt de RTVE.es.


Figura 1: Robots.txt de RTVE.es

Como podéis ver, en este fichero se ha probido la indexación de ficheros *.flv *.mp3 y *.inc, o eso al menos es lo que cree el administrador del sitio web, porque como se puede ver, podemos hacer las pertinentes búsquedas en Google para ver si le ha hecho algún caso o ha pasado de él en cano.


Figura 2: Ficheros FLV


Figura 3: Ficheros mp3


Figura 4: Fichero inc

Como se puede observar Google pasa de lo que le cuentes, e indexa los ficheros que el administrador cree haber bloqueado. ¿Por qué? Pues porque el comodín * es muy cómodo en las consolas de los sistemas operativos, pero solo puede utilizarse en el USER-Agent de los ficheros robots.txt, es decir, no es interpretado. Es por ello que el administrador, mientras piensa que ha bloqueado esos ficheros, lo que ha hecho ha sido dirigir las miradas de los más curiosos.

Otra de las cosas divertidas son los directorios. Esto si es parte del formato más común de los ficheros robots.txt, pero se tiene que tener en cuenta que los más curiosos van a probar todos ellos. Sobre este hecho, hace tiempo escribimos un artículo en el que recomendabamos que esa carpeta no debería mostrar ningún dato, es decir, que por defecto devolviera una página vacía, así no se da ninguna información extra. Sin embargo, si dejas como documento el menú completo de la aplicación vas a darle las llaves de acceso a mucha información a un posible atacante.


Figura 5: Menú de aplicación

Además, tampoco es santo de mi devoción solo proteger el menú, ya que si alguien consigue una password ya tiene donde usarla. Mejor que no vea ni la puerta para que no pueda meter la llave.


Figura 6: Petición de usuario y password

Y todo esto, porque aunque se haya prohibido una ruta, como en este caso scdweb, siempre puede acabar donde no te lo esperas. Mucho cuidadito con lo que escribes en los robots.txt.


Figura 7: ruta prohibida acabando en Google

Saludos Malignos!

domingo, julio 24, 2011

No Lusers 82: Modernos estrategas en la Fórmula 1



El año pasado Alonso perdió el mundial en la última carrera por la estrategia. Durante el presente año, en las primeras carreras no se puede decir que se hayan lucido mucho, así que esperemos que hoy, en Nürburgring, esto no vuelva a pasar y se repita lo que pasó hace dos semanas. ¡Vamos Alonso!

Saludos Malignos!

PD: Si quieres seguir la carrera desde tu ay!fon o tu ay!pad, hay una tool que mola...

sábado, julio 23, 2011

1 Hack para los chicos: Regístrate hoy

Me encanta ver que entre tantos de eventos de hackers, en los que se rompen cosas, se presentran herramientas y se enseñan mil y un trucos para los amantes del mundo del hacking, aún hay alguno que encuentra tiempo para acordarse de los demás. Con esta iniciativa, un grupo de profesionales de la seguridad informática en la Argentina, están promoviendo un evento con el objetivo de recolectar leche en polvo y juguetes para niños entre 0 y 5 años.

La jornada solidaria 1 Hack para los chicos tendrá lugar el próximo 26 de Julio, en Buenos Aires, y aunque no hay costo para el registro, este deberá ser hecho por medio de una donación de un juguete o un Litro de leche en polvo. Las donaciones serán gestionadas por la Fundación Caminando Juntos. Es necesario, para asistir, que te registres en la web, con el objeto de controlar el aforo del recinto y evitar intrusos y curiosos en las instalaciones.

Por otro lado, los que no podáis asistir, podéis ayudar igualmente a esta iniciativa, mediante la difusión del evento para conseguir la máxima participación posible (blogs, redes sociales, twitter, boca-oreja) y el máximo número de recaudaciones.

A mí y a otros profesionales de la seguridad informática nos pidieron que hicieramos un vídeo de saludo y apoyo a esta inciativa, y aunque no sé en qué manera puede ayudar, me puse el traje de torero y lo grabé.


No olvidéis, que este evento no deja de ser un evento de seguridad informática, pero intentando acercarla a todo el mundo. Forman parte de este evento profesionales como Ezequiel Salis, Hernán Racciatti, Maxi Soler, Mariano del Rio, Claudio Caracciolo o Sol Argento entre otros. La agenda es la siguiente:

- Presentación del Evento 1HackParaLosChicos
- Seguridad en Dispositivos Móviles
- Presentación Argentina Cibersegura
- Seguridad vs Desarrolladores
- Filosofía Hacker
- Desventuras de Ser Paranoico 2.0
- Wifi @ HOME
- Técnicas de Infección de Malware
- La Familia en Internet
- Reputación Online
- Seguridad en Internet, padres e hijos


Tienes toda la información del evento en la web de la jornada: 1hackparaloschicos y en twitter se utilizará el hashtag #1hackparaloschicos. Así que, al tema que está que quema.

Saludos Malignos!

viernes, julio 22, 2011

¿Pero esto qué es?

Vamos, vamos, vamos. Si es que estamos de un político correcto que nos va a dar algo. Esto ya no es guerra ni na'. Si es que ahora todos somos amiguitos y así no va a haber quién monte un pollo en un bar. Ahora nos vamos a encontrar todos en una cafetería y en lugar de blasfemar de Apple, de Microsoft o de Linux, resulta que nos vamos a juntar todos, tomar cervezas y gritar algo que nos motive a todos. Algo tipo "LLu es ehy, Llu es ehy". Así todos juntos, arremolinadillos.

Si es que empezamos mal ya con las tartitas dichosas del equipo de Internet Explorer a los programadores de Mozilla Firefox para felicitarles por cada nueva versión. ¡Como si de verdad les felicitaran! Seguro que estaban pensando... Nueva versión, infinidad de problemas... ¡Enhorabuena! Pero no, ellos les regalan un dulce... ¿De verdad se arriesgarán a comerse la tarta o solo le tiran la foto?



Figura 1: Tarta de felicitación del equipo de iE por el lanzamiento de Firefox 5

Entre Apple y Microsoft Bill Gates y Steve Jobs van a partir un piñón, yéndose a programas de televisión juntitos, haciéndose chistecitos el uno al otro. Con miraditas acarameladas, lejos ya de la guerra entre ambos porque Steve le llamara ladrón y Bill le dijera que para ladrón él, o de los momentos televisados en que Bill gates reconocía públicamente que Macintosh era bueno. ¡Pero si hasta Steve Balmer le dio lo que Steve Jobs quería cuando este se enfadó por el robo de Halo!.



Figura 2: Steve Jobs y Bil Gates de amigos en la televisión

Luego que si Spectra colabora en el kernel de linux, que si es sponsor platinum de Apache Software Foundation, que si apoya a Mono para que funcione .NET en Linux, que si dará soporte a iPad e iPhone en System Center, que si gana más pasta con Android que con Windows Phone7.



Figura 3: Microsoft sponsor platinium de Apache Software Foundation

¿Donde vamos a llegar? Si hasta se hacen vídeos de felicitaciones, que desde Microsoft Alemania han enviado un vídeo para congratularse por los 20 años de Linux pidiendo ser amiguitos.



¿Qué será lo próximo? ¿Linus Torvalds siendo políticamente correcto? ¿Richard Stallman dando sus charlas con un Windows 7? ¿Steve Jobs diciendo que va a sacar un iPhone que solo funcionará con Powershell? ¿Microsoft portando Active Directory a un servidor Debian? ¿IIS corriendo nativamente el Angry Birds y el Farm de Facebook? ¿Zukerberg con perfil en Google+ (aps, que ya tiene)? ¿Las distribuciones de Linux uniéndose en una sola y trabajando todos juntos en paz y armonía? ¿Oracle liberando OpenSource el código de su RDBMS? ¿Internet Explorer instalado por defecto en Mac OS X? ¿Apple dando soporte a hardware clónico?

Así no hay quien monte pollos y discuta como Dios manda en un bar, "cohone". Vamos a acabar todos como si fuéramos de un grupo de apoyo, diciéndonos "Te queremos hermano". Esto ya no es guerra ni es na'.

Saludos Malignos!

jueves, julio 21, 2011

Traceando personas al estilo Google con rogue javascipts

Con todo el escándalo del posicionamiento de los usuarios por parte de Apple con iPhonetracker, que llevó hasta cachondeo en South Park, el tema del geoposiconamiento de direcciones MAC de Routers WiFi por Google, que llevó a la polémica de que posicionara también teléfonos móviles personales, o el asunto del seguimiento de personalidades mediante Creepy, me pareció una buena idea el proponerles a uno de mis grupos del Master de Seguridad de la UEM un proyecto de seguimiento de personas mediante código javascript maliciosamente inyectado.

La idea del ataque es conseguir inyectar en el navegador de la víctima un código javascript que se cargue en él, y por lo tanto se ejecute, con mucha asiduidad para poder obtener los datos de la conexión del navegador. Estos datos, lógicamente, no incluyen un posicionamiento GPS, pero si se puede ejecutar un código javascript en el navegador, evidentemente se puede obtener mucha información, como el sistema operativo, la versión del browser, los plugins cargados y la dirección IP de acceso, que puede utilizarse para triangular, en el caso de conseguir una buena cantidad de datos, no solo la posición sino las rutas, como hace Creepy.

El problema radica, en este caso, en elegir un buen javascript que esté siendo cargado muchas veces en muchas páginas web, suplantarlo, y hacer que envíe los datos al servidor de seguimiento, controlado por el atacante. Y esto no es muy complicado, ya que hay algunos javascript que los creadores de páginas web, y bloggers, utilizan masivamente: El script de Google Analytics ga.js.

Este fichero es cargado desde la mayoría de los blogs del mundo, con lo que un usuario que navegue por un abanico medianamente normal de sitios web, acabará pidiendo y metiendo en su navegador, y lo que es mejor, ejecutando este script de Google. Si esta petición puede ser interceptada por un atacante e inyectarle un fichero ga.js, que aparentemente venga desde los servidores de google-analytics, cada vez una página web o blog lo invoque, estará ejecutando el falso fichero javascript y enviando todos los datos a los servidores controlados.

Para conseguir esa inyección es necesario hacer un envenenamiento en el nombre de dominio desde donde se está solicitando ese archivo. Esto se puede conseguir mediante un ataque Man in the Middle que se realice en un entorno vulnerable, como una red WiFi insegura o un lan local.

Como única dificultad queda luchar contra las opciones de caché, ya que es necesario que la perdurabilidad del mismo sea larga, y no se solicite cada vez que alguien invoque el fichero. Para ello, es fundamental que no esté cacheado y sin caducar este fichero en local y luego entregar el rogue js con una fecha de expiración muy larga en el tiempo, de manera que solo cuando se borre manualmente de la caché del navegador se pida su actualización.

Por defecto, el ga.js de Google Analytics tiene unas 2 horas de duración, por lo que es fácil encontrarlo caducado en las máquinas de las víctimas si se acaban de conectar a la red. El único problema para este esquema son aquellos usuarios que configuran su navegador para eliminar todo el contenido cacheado al cerrar la aplicación, ya que eliminaría el rogue js, pero esta no es una opción por defecto, por lo que el porcentaje de usuarios que configuran así el navegador es pequeño.

Una vez inyectado el rogue js de Google-Analitics, ya se podrán recibir datos del usuario cada vez que se conecte a un blog que haga uso de él, como por ejemplo El lado del Mal }:) El proyecto se presentará en Septiembre, pero como ya está funcionando, os publicaré un step by step próximamente.

Este truco no es nuevo, y ya la industria del malware ha estado haciendo uso de este truco y distribuyéndose utilizando trucos como el del uso de servidores DHCP y DNS para infectar en redes locales, como el que contaba Thor en su blog.

Saludos Malignos!

miércoles, julio 20, 2011

Presentaciones del IV Curso de Verano de Seguridad Informática en la UEM

Dentro de las acciones del Master Universitario de Seguridad Informática de la UEM tuvo lugar la IV edición del Curso de Verano de Seguridad Informática, en le que hubo un plantel más que interesante de ponentes. Los compañeros de Eventos Creativos ya han subido todas las presentaciones para que estén disponibles online, así que aquí las tienes todas:


- Client Side-Attacks en Web Applications
- Ataques Man in the Middle en IPv6
- La dura vida de un pentester
- FOCA 2.7
- Amenazas de seguridad en comunicaciones de datos móviles
- Cloud disaster and recovery plan
- Autenticación y fima digital en entornos VDI con DNIe
- El malware en Mac OS X no es un juego de niños
- Cifrado de discos en entornos corporativos
- DUST: Tu RSS es tuyo
- Sharepoint 2010: Seguridad
- Hacking SCADA
- Aclarando algunas dudas sobre RSA
- Auditing mobile applications
- Terminal Hackpplications
- El malware hoy en día (actualizado a día de hoy)
- Implantación de un sistema NAP

Y sí, si te haces la pregunta, las charlas estuvieron muy bien en persona. Las que más gustaron fueron las de Terminal Hackpplications de Silverhack y la del Malware de hoy en día de Sergio de los Santos (En twitter como @ssantosv), que estos dos andaluces pusieron todo "el jarte y el harma" en sus exposiciones. Ahora si quieres apuntarte a algo así, deberás esperar hasta el III Asegúr@IT Camp que se hará en Octubre. Ya sabéis un evento en fin de semana lleno de alcohol y fiesta o de charlas técnicas y geeks.

Saludos Malignos!

lunes, julio 18, 2011

Turismo Interior con David "The Man" Hasselhoff

Uno de los proyectos más interesantes que se presentaron en el Master de Seguridad de la UEM de este año lo dirigió Alejandro Ramos "Dab", sobre la fortificación de kioscos interactivos por medio de una herramienta llamada F*CKTool. La idea es dejar un equipo en un punto de venta o información lo más robusto posible, para que no pase lo de esta historia.

La pelicula es que unos anónimos se encontraron con un nuevo punto de información en nuestra querida y concurrida Estación de Atocha. El punto de información tiene el sugerente mensaje de "Utilízame", así que suponemos que todo lo que sea usar la máquina está totalmente consentido por los tipos que ponen el equipo.

Nuestros queridos amigos, lo primero que hicieron fue, evidentemente, ponerse el escritorio cómodo, así que nada, a cambiar el escritorio y dejarlo fetén de la muerte con el gran David Hasselhoff allí puesto.


Figura 1: Utilizando a gusto el punto de información

Una vez configurado el fondo como mandan los cánones de la buena estética, el siguiente paso fue revisar los documentos del pérfil. Curiosamente el perfil pertenecía a un usuario llamado Dani (como se puede ver en la carpeta creada en elescritorio), que solo tenía dos archivos para cambiar la clave de Windows XP. La clave se pone con un bonito script descargado de la web principiantes.info.


Figura 2: Software de cambio de claves desde principiantes.info

Suponemos que la empresa tendrá registrados todos los números de serie corporativos que está implantando Dani en todos los puntos de infomación, porque sería muy feo que usara serials de Internet para ello.

Además de esto, el equipo tenía instalado un bonito software de control remoto con licencia gratuita de uso no comercial. Esto significa que no se puede utilizar en empresas, ¿no?


Figura 3: Software de control remoto con licencia no comercial

En fin, que para que no te pase esto, dale un vistazo a F*CKTool, aunque creo que Atocha quedó mucho mejor decorada con las fotos de David "The Man" Hasselhoff.

Saludos Malignos!

domingo, julio 17, 2011

Spectra cambiando el kernel de Linux

Curiosa la noticia que espera que salir publicada para todo el mundo el día 21 de Julio en la que se dará a conocer que Microsoft es la quinta empresa que más ha contribuido en los cambios del kernel 3.0.0. Y es que Spectra, al igual que RedHat o Intel, participan en adaptar el kernel, evidentemente teniendo especial cuidado de lo que más les afecta a su línea de negocio.

K. Y. Srinivasan es el principal desarrollador de Microsoft tocando el kernel, y tiene contabilizados 343 de los 361 cambios apuntados a Spectra y que suman 11.564 líneas cambiadas. En el caso de Micro... Spectra, los cambios tienen que ver principalmente con el driver de virtualización de Hyper-V que lleva más de 2 años en el kernel.

No, no os asustéis, a pesar de que es la quinta empresa en cambios realizados, como dicen en H-Online, solo es un 1.3 % de las líneas cambiadas, ya que otras empresas han hecho cambios que han supuesto mucho mayor trabajo en cantidad de líneas de código.

Ahora, los más Microsoft-haters, deberán realizar un análisis completo del código para detectar las posibles puertas traseras introducidas, los fallos de estabilidad dejados a drede y todas las funciones malignas que Spectra haya podido dejar allí dentro. Algunos creen que es posible que con los nuevos cambios, si pulsas F1 sale Clippy - al que ya le buscaban recolocación laboral -, así que habrá que testear mucho antes de introducirlo en los nuevos entornos de producción.

A otros usuarios, por el contrario, les parece bonito haber conseguido que una empresa como Microsoft esté invirtiendo en el kernel de Linux, como ellos siempre han solicitado. Así, el espíritu del Software Libre del kernel de Linux se ve apoyado por empresas que de verdad están apoyando a Linux, no como otras que hicieron mucho lirili y poco larala.

Yo no sé que pensar, me siento más perdido que Messi jugando con Argentina, ya que mi malignidad personal no sé si me permitiría este tipo de concesiones contra el enemigo, o es que tal vez la unión en amor de todos me abotarga los sentidos como una película de final de final feliz empalagoso de Hollywood.

Pero que sabré yo de negocios, que soy solo un técnico al que le gusta el cachondeo, y que se sorprende de que Microsoft gane dinero con Linux, de que gane más dinero con Android que con Windows Phone 7 o del lio pornográfico de patentes y demandas que se traen las empresas con los teléfonos móviles.

Saludos Malignos!

sábado, julio 16, 2011

Dust: Un Indeseable buscando hogar

DUst ya se ha enviado a todos los que pidieron participar en el experimiento inicial, y ya tenemos montado un nodo en i64 para que sirva como puente de entrada a la red Gnutella por si alguien se encuentra perdido y sin conexión. Esta semana comenzará a publicarse el RSS de El Lado del Mal a través de DUST, para mejorar el funcionamiento del sistema, con cuanto más uso se dé a la herramienta, y más feedback podamos obtener para mejorarla.

Mientras tanto, para poder ponerlo disponible públicamente a todos los usuarios, estamos buscando un hogar para hospedar el código del proyecto, y nos hemos encontrado que para Source Forge, DUST es un proyecto indeseable. Es decir, nos admitirían, pero seríamos indeseables, por lo que hemos preferido no subirlo allí, ya que uno no va donde no le quieren.


Figura 1: Política de indeseabilidad en Source Forge

En definitiva, que hemos reservado hueco en Codeplex, donde ya reposan algunos otros proyectos como Marathon Tool, OOMetaextractor, o los programas para tablets Windows, desde donde podréis descargar los paquetes de DUST para Linux y para Windows junto con todo el código fuente del proyecto.

Saludos Malignos!

viernes, julio 15, 2011

Barrelfish: Un Sistema Operativo de Microsoft para múltiples cores heterogéneos

A veces tengo la sensación de que las cosas pasan delante de mis ojos pero no las veo. El mundo avanza, y yo me peleo por seguir enterándome qué está pasando, y cuando creo que entiendo los movimientos tecnológicos, resulta que aparecen nuevas cosas, que llevan trabajándose durante años, y de repente cobran forma.

En el mundo de los sistemas operativos, mientras siguen predominando los Windows, se habla de Windows 8 por todas partes, Apple tiene a punto de caramelo a Mac OS X Lion y siguen utilizándose las múltiples distribuciones de Linux, tenemos otras alternativas que cubren otros huecos.

No hablo de los sistemas de teléfonos móviles como iOS, Windows Phone, Android o Symbian, ni de las alternativas en los sistemas operativos en la web, sino de otros que buscan cubrir algunos entornos más peculiares, y que empujan la investigación.

Me encantó descubrir ReactOS, que hoy en día nos da ya bastante juego en el mundo de la seguridad, o el proyecto del sistema operativo TORO, escrito en Pascal, y centrándonos en Microsoft, la idea de Syngularity también es bastante llamativa, al hacerlo con código manejado.

El otro día me sorprendió el anuncio de la liberación de otro sistema operativo creado en un proyecto de investigación de Microsoft Research, llamado BarrelFish, con un objetivo bastante concreto. Que se ejecute sobre sistemas multicore con hardware heterogéneo.

Tal vez al principio pueda parecer algo extraño la primera vez que se oye por pensar que pueda existir un sistema multicore que funcione con diferentes microprocesadores, pero desde hace bastante tiempo esto sucede con las tarjetas gráficas, por ejemplo, y la CPU principal. Sin embargo, en esos casos el funcionamiento es totalmente independiente y se conforman con un interfaz de comunicación entre ellos, sin haber una gestión coordinada de tareas, como se describe en la siguiente imagen:


Figura 1: Arquitectura SO multicore heterogéneo

Pensando en un futuro más cercano, en el que los equipos informáticos pueden estar formados por un Tablet que se enganché a un equipo más potente, como si fuera una dock station, puede hacer más que necesaria una integración mucho mayor a nivel del sistema operativo.

Además, viendo la patente que ha pedido Microsoft para tener teléfonos móviles con partes independientes que se conectan y desconectan, pero funcionan coordinados, hacen ver que en el futuro los sistemas operativos se verán obligados a funcionar con múltiples cores, y que estos se agreguen y se quiten dinámicamente.

Detrás de Barrelfish se encuentra el Grupo de Sistemas del centro ETH de Zurich, y han puesto disponible el código fuente y la documentación del mismo, junto con un paper que describe toda la arquitectura y otro con las pruebas de benchmarking realizadas con él, comparándolos con otros sistemas operativos multicore como HeliOS o Corey, para los más entendidos en hardware.

En la actualidad el sistema operativo funciona con microprocesadores x86-64 y ARM, o directamente con sistemas que utilizan multiprocesadores multicore con distintos roles en cada core, como son el micro de 48 cores de Intel (single-chip cloud computer) y Beehive del MIT o equipos con múltiples chips construidos con arquitecturas FPGA. Me encantan estos proyectos de investigación en tecnología.

Saludos Malignos!

jueves, julio 14, 2011

Presentaciones del Curso de Verano de Análisis Forense

El pasado mes de Junio tuvo lugar el I Curso de Verano de Informática Forense en la Universidad de A Coruña, y la gente de Eventos Creativos ya se han encargado de subir todas las presentaciones a SlideShare para que tengáis disponible el material. Evidentemente no es lo mismo que asistir a las charlas, pero al menos sabéis de qué se habló allí.


- Buscando información: Logs y eventos en Sistemas Windows
- Antiforensics: Técnicas y herramientas
- Cumplimiento legal de un análisis forense
- Realización de Time-Line en Sistemas Operativos Windows
- Caso de Estudio: Análisis Forense en un entorno de Malware
- Siguiendo la pista a un pederasta en la red
- Un caso forense: Analizando un servidor Linux
- Un caso forense: Delito de pederastia en Windows
- Un caso forense: La red y la memoria RAM
- Oxigen Forensics Made Easy
- Análisis Forense de tarjetas SIM y de teléfonos Android
- Análisis Forense de Windows Mobile y Symbian
- Análisis Forense de dispotivios iOS: iPhone, iPad e iPod Touch
- Análisis Forense de memoria RAM
- Helix: kit de supervivencia para analístas forenses
- Análisis forense de Apache: Detectando ataques en Logs

Además de esto, los asistentes recibieron una copia del libro de Análisis Forense Digital en Entornos Windows, y una noche de San Juan en A Coruña }:))

Saludos Malignos!

miércoles, julio 13, 2011

HPC: HTTP Parameter Contamination

Curioso y útil el trabajo presentado por RSnake, j0rgan y lightos sobre la técnica que ellos han llamado HPC, es decir, HTTP Parameter Contamination, que puede ser utilizada fundamentalmente para dos tareas:

1) Hacer Fingerprinting de servidores web.
2) Saltarse filtros en los WAF (Web Application Firewalls).

La idea de la técnica es contaminar el query string de una petición HTTP con caracteres que los servidores web no acepten, y reemplacen, obteniendo un resultado distinto del esperado por el programador, y por lo filtros de seguriad.

Para ello han realizado un análisis basado en el envío de peticiones a servidores GET de caracteres no permitidos en los propios nombres o valores de los parámetros de un quey string para ver qué le estaba llegando realmente a la aplicación. Lo curioso, como se puede ver en las tablas, es que hay muchas más modificaciones de las esperadas, que abre un abanico de posibilidades a la hora de saltar filtros.

Por ejemplo, en un servidor Web con Apache, las peticiones que devolvieron cambios en la Query String fueron las siguientes:


Figura 1: HPC en Apache

En estas pruebas llama poderosamente la atención el reemplazao del caracter [ por un caracter _ lo que abre la posibilidad de llamar a los famosos procedimientos almacenados de MS SQL Server y saltarse los filtros de ModSecurity, como explican en su paper.


Figura 2: Saltarse modsecurity y llamar a un procedimiento almacenado con HPC

En el caso de IIS también sucede algo similar, y estas son las pruebas que produjeron cambios en el comportamiento


Figura 3: HPC en IIS 6

Por supuesto, en este caso, es el caracter nulo el que puede usarse cómodamente para saltarse el URL Filtering de, por ejemplo, los ataques LFI que usan la escalada de directorios con los ..


Figura 4: Evasión de URL Filtering con HPC

Y en el caso de servidores con Tomcat con JSP, sucede más o menos lo mismo, pero con otras poluciones HPC.


Figura 5: HPC en Tomacat con JSP

En definitiva, un paper curioso que puede resultar muy útil, y que hará que haya que modificar muchas aplicaciones y scripts para aprovechar estas características de los servidores web en ataques SQL Injection. Puedes descargalo en PDF desde: HPC: HTTP Parameter Contamination.

Saludos Malignos!

martes, julio 12, 2011

Cursos de Seguridad AntiHacking gratis en Madrid

Como hace tiempo, desde Informatica 64 vamos a impartir 4 curos gatuitos de 105 horas sobre Seguridad Antihacking en Entornos Windows. Los cursos comenzarán 2 en Septiembre - del 12 de Septiembre al 10 de Octubre - y 2 en Octubre de este año - del 17 de Octubre al 10 de Noviembre - y serán totalmente gratis para personas en paro o en situación de búsqueda de mejora de empleo.

Las acciones formativas se impartirán en horario de mañana de 09:00 a 14:00 o en horario de tarde de 16:00 a 21:00 horas en el Centro de Formación en Tecnologías de la Información y las Comunicaciones Madrid Sur de Getafe, sito en la Avenida Arcas del Agua, s/n (Sector 3) - 28905 - Getafe (Madrid), junto a la parada de metro Conservatorio (Metro Sur – Línea 12).

Para poder acceder a una de las plazas es absolutamente necesario hacer una pequeña prueba de acceso el próximo 14 de Julio, es decir, el próximo viernes jueves, a las 10:00 de la mañana en el citado centro. No es necesario reservar cita, basta con presentarse a la hora establecida.

En caso de que tengas cualquier duda, puedes ponerte en contacto con Informática64 por cualquier medio e intentaremos resolvertelas todas.

Si eres un estudiante universitario, tienes una opción perfecta para compaginar al comienzo del curso escolar, y llevarte aprendida alguna cosa antes de meterte de lleno con el nuevo año escolar. Si estás en paro, nada mejor para aprovechar este tiempo en un proceso de reciclaje. Eso sí, las plazas, como os podéis imaginar son limitadas.

Saludos Malignos!

lunes, julio 11, 2011

Reportar un fallo a Apple

La semana pasada nos dimos cuenta de que Apple.com nos había dado las gracias en su web por haberle notificado unas vulnerabilidades en su web que les envíamos, y nos hizo ilusion. Eso de aparecer referenciados en Apple.com nos llena de "orgullo y satisfacción".


Figura 1: Agradecimiento de Apple por el reporte

Inicialmente ibamos a escribir un artículo titulado La web de Apple necesita un repaso en nuestro blog de Seguridad Apple, pero decidimos cambiarlo por un artículo de Cómo reportar un fallo de seguridad a Apple y enviarles la información a ellos.

La verdad es que no pensabamos que nos fueran a contestar, y menos a dar las gracias públicamente por un par de XSS y un unos Path Disclosure, pero nos han sorprendido gratamente, al igual que otros nos sorprenden negativamente. Lo que le reportamos está aquí:

XSS bugs

http://evaluatemacs.apple.com/demo/index.cfm/log-in/index.cfm?display=login&returnURL="><script>alert(document.domain);</script>


Figura 2: XSS en Evaluatemacs.apple.com

http://consultants-locator.apple.com/index.php?fuseaction=home.directory&offset=0&rppg=8&q=sadsad%22%3E%3Cscript%3Ealert(document.domain);%3C/script%3E


Figura 3: XSS en Consultans-locator.apple.com

Errors with Path disclosure

http://consultants-locator.apple.com/index.php?fuseaction[]=home.directory&offset=0&rppg=8&q=sadsad%22%3E%3Cscript%3Ealert(document.domain);%3C/script%3E


Figura 4: Path disclosure en Consultants-locator.apple.com

http://evaluatemacs.apple.com/demo/index2.cfm


Figura 5: Path disclosure en Evaluatemacs.apple.com

Errors with software version disclousure

https://wdg2.apple.com/ssowebapp/null


Figura 6: SW disclosure en Wdg2.apple.com

http://bizwidget.apple.com/RetailBusinessWidget/faces/webform.jsp?LANG=CN'd


Figura 7: SW disclosure en bizwidget.apple.com

Le reportamos un par de cositas más, como que con los metadatos aparecían muchos servidores internos e información sensible si usabas FOCA y que tienen un servidor Buildbot abierto sin usuario ni contraseñas, pero eso no lo han atajado, así que suponemos que han preferido dejarlo así porque no es importante.

Aun así, la web de Apple sigue necesitando un repaso, como ya ha demostrado la caida sistemática de itunes.apple.com en ataques automatizados y el robo de datos por la operación AntiSec, pero el contacto con Apple ha sido mejor de lo que esperabamos. Si encuentras algo, repórtaselo, no te van a dar un iPad, pero tampoco te van a insultar.

Saludos Malignos!

domingo, julio 10, 2011

Pánico versus Pasión

El ruido sigue bloqueando mis pensamientos. Desde que comenzó este zumbido ronco no he podido pensar con claridad. No consigo discernir mis pensamientos entre el ruido y los gritos nerviosos de la gente. Otra caída. Esta ha sido por lo menos de 50 metros. El estómago se me va a salir por la boca. Me agarro desesperado a la butaca con el cinturón de seguridad apretado al máximo. Las luces de cinturones de seguridad hace ya rato que están encendidas, pero no creo que sean necesarias. La gente está muy nerviosa, y a pesar del tono de tranquilidad que el capitán quiere transmitir, el ver a las azafatas sentadas y abrochadas en sus asientos no ayuda en nada. Ellas también están preocupadas. Supongo que muchas de ellas ya saben que es parte de su trabajo. Puede pasar esto en cualquier momento, la climatología y la mecánica es lo que tienen, se pueden aliar en cualquier instante.

Me duelen los oídos por la presión. Al quitarme uno de los tapones que llevo descubro que el ruido es más infernal de lo que pensaba, y que hay gente llorando bajo. Entre todos los sonidos se pueden escuchar los gritos de un bebé. De repente botes, turbulencias enormes, y yo en la cola del avión, donde más se notan. ¡Joder!, debería haber viajado en primera que seguro que ellos tienen hasta paracaídas especiales. Estoy acojonado. El pánico hace tiempo que se ha apoderado de mí, pero sé que no puedo salir de esta caja, solo me queda esperar, y tener esperanza de que sea un susto. Ya he pasado por muchos de estos en otros viajes. Mis dedos están blancos de tanto apretar el reposabrazos.

Caída en vacío otra vez. Esta vez he dado un grito. Mi cara debe ser un poema, pero supongo que nadie está para risas en estos instantes. El ruido ha cambiado, parece ser que al cambiar la presión, el sonido del aire que se cuela por la grieta emite en otra octava distinta. Si supiera música seguro que se me ocurriría un algoritmo para hacer música moviendo la altitud de un avión con una grieta en el fuselaje. Me asomo por la ventana con la esperanza de ver algo que me tranquilice, pero solo veo puntos de luces pequeños entre la tormenta. No sé si prefiero agua o tierra. De repente bosquejo lo que parece ser una ciudad, pero veo que la tengo casi arriba, como si fuésemos en picado hacia ella. No, no lo parece… es evidente que estamos cayendo.

Esto no va a terminar bien. Ipso facto se abren las escotillas superiores y nos caen las máscaras de oxígeno y el avión se convierte en una discoteca de luces rojas, pitidos de alarma y gente gritando. Miro a todas partes y no sé qué hacer. He visto cientos de veces las recomendaciones de seguridad de un avión pero ahora no alcanzo a comprender si algo de lo que me han dicho sirve para algo y…

- “Che, loco, despertate, que llega la comida”

Me quito el antifaz y medio abro un ojo. Casi no oigo nada con los tapones. Me duele el cuello de la postura en el asiento, pero alcanzo a medio sonreír al porteño que me tocó de compañero en el viaje y darle las gracias.

- “Che, no sé cómo vos sos capaz de dormir en el avión, yo no puedo”, me dice simpático.

Me quito el gorro, los tapones, el antifaz, las legañas y me estiro disimuladamente en el asiento, mientras observo como el pasaje del avión se despereza también para el desayuno.

- "El viaje para mí es nocturno, y tengo que descansar que mañana, es decir, hoy ya, voy a dar un training en la Ekoparty, tengo que estar despierto para aguantar todo el día, que además luego hay que tomar cervezas en Roots", respondo.

- "Ya, pero yo no puedo loco, a mí volar en avión me da miedo, no me siento tranquilo sin poner los pies en el suelo. El señor nos hizo para andar y jugar al futbol, especialmente a nosotros los argentinos ¿sabes?, y no para volar, para eso ya están los pájaros. A mí la intranquilidad no me deja dormir. No como a vos, que se os ve dormir plácidamente en el avión. Ahí dormidito, soñando con los angelotes, pibe. Yo no podría. ¿Cómo vos lo hacés?"

- "Ya sabes cómo somos los gallegos, con tal de venir a dar por saco, montamos en lo que sea", le respondo mientras le guiño un ojo indicándole que estoy de joda.

El caso es que años después de volar, y volar, y volar, sigo teniendo pesadillas en los aviones. Siempre tuve miedo pánico a volar, pero si no, jamás hubiera podido ir a tantos sitios y conocer a tanta gente. Sí, me da miedo volar, y cada vez que subo a un avión sigo preguntándome eso de “¿será ésta la última vez?”. Pero hay una cosa que me ayuda a superarlo en cada viaje: La pasión por lo que hago.

Saludos Malignos!

PD: Esta historia la he escrito para dedicársela a un gran hacker que tiene el mismo problema que yo, y que sé que está luchando por superarlo utilizando la misma motivación: ¡Suerte!. Sé que lo va a pasar jodido cuando lea toda la primera parte, pero es que los que tenemos pánico a volar soñamos con esas cosas en los aviones. }:S

sábado, julio 09, 2011

DUST será parte del Arsenal de BlackHat USA 2011

Por una de esas extrañas cosas personales que solo yo me justifico a mí mismo nunca he enviado un CFP a BlackHat USA. Tal vez un día os lo cuente, pero baste decir que, a pesar de no aplicar nunca al llamado de trabajos sí que envié FOCA el año pasado al BlackHat USA Arsenal.

Arsenal es un apartado curioso para que se expongan herramientas de seguridad en un Booth, en el que el año pasado nos juntamos Franciso Amato y Fede con el evilgrade, Moxie y sus soluciones de comunicaciones cifradas y efímeras, Mariano Nuñez y sus Sapito tools o Claudio Criscione y sus virtual pwning tool entre otros. Es decir, un sitio en el que te paras a contarle a la gente en qué consiste tu herramienta y les haces unas demos.

El año pasado estuve enseñando FOCA, y este año envié como propuesta DUST para estar por allí, porque he decir que la experiencia fue muy buena. Charlas con la gente, te ries mucho, y ves a todo el mundo con lo que es perfecto para coordinar la lista de fiestas a las que se debe asistir cada día. Esto es importante que el lujo en Las Vegas es caro, y si lo paga otro mejor.

Hoy he recibido la confirmación de que DUST tendrá su hueco en el Arsenal, con lo que tendré mi entrada gratis a BlackHat, lo enseñaré en el Booth e irá en el DVD que se le entregará a todos los asistentes de la conferencia, es decir, a unas 8.000 cabezas.

Con esto, ya tenemos la agenda de actividades de Las Vegas, que será presentar DUST en BlackHat Arsenal, ganar la HackCup con el FOCA Team, presentar la charla con Silverhack de TS y Citrix en Defcon 19, animar a los Int3pids en el CTF, presentar DUST en Defcon, dar el Workshop de FOCA en los trainings y salir de fiesta para regresar death metal a Madrid. ¡Mola!

Saludos Malignos!

viernes, julio 08, 2011

Tu /etc/passwd en Google

Cada vez voy un poco más justo de tiempo, con lo que he agilizado la preparación de demos. Para ello he agudizado mis sentidos a la hora de utilizar los buscadores para encontrar sitios perfectos para realizar uan demo y con la lectura de trucos nuevos en el libro de [SPAM] Hacking con Buscadores: Google, Bing y Shodan[/SPAM] voy saliendo adelante.

En esta ocasión os voy a hablar de cómo he preparado alguna conferencia en 15 minutos buscando un passwd, es decir, el /etc/passwd de un servidor que haya sido hackeado y que todavía esté activo para enseñarlo a la audiencia.

Un /etc/passwd acaba en la base de datos de muchas formas distintas, pero lo que es evidente es que tiene que estar escrito en un fichero indexable por las arañas del motor, lo que hace que haya sido extraido previamente de su ubicación original.

Por ello, podríamos encontrarnos un passwd extraído por medio de un SQL Injection que haya hecho uso de la función Load_File de un MySQL que es atacado por una aplicación insegura.

Pero también podríamos encontrarnos un passwd volcado por una webshell que se haya introducido en un servidor por medio de una vulnerabilidad RFI o por medio de una aplicación web que permita subir ficheros de manera insegura.


Figura 1: /etc/passwd volcado por una PHPShell y cacheado por Google

En cualquier caso, si el fichero ya ha sido sacado de su ubicación original y puesto en una página web, Google podría indexarlo. Para ello puede que se encuentre con el link en un foro de hackers o que los usuarios estén usando Google Chrome y la URL quede reportada a la base de datos, o que alguien lo de alta, como vimos en la serie de Buscadores como armas de destrucción masiva.

El caso es que basta con hacer una sencilla búsqueda en Google por ficheros PHP, que pueden ser aplicaciones vulnerables a SQL Injection o WebShells, y una línea común de un passwd al uso.


Figura 2: Buscando una línea del /etc/passwd

Con esto aparecen muchos resultados, y no hay que buscar demasiado para encontrar los ficheros /etc/passwd en la cache, la vulnerabilidad SQL Injection, en la URL, o una vulnerabilidad aún activa que permita ver todos los ficheros del servidor.


Figura 3: La URL vulnerable indexada


Figura 4: SQL Injection aún disponible

Y por supuesto, nos queda la opción de ir directamente a por un passwd que haya sido "impúdicamente" publicado en Pastebin.com.


Figura 5: passwd en pastebin.com

Una vez que tienes esto, explicar las vulnerabilidades y que hacer una auditoría de seguridad web es importante suele resultar mucho más sencillo.

Saludos Malignos!

Entradas populares