lunes, octubre 31, 2011

Un becario publica el programa del PP para salir de la crisis

Hoy parece que va a ser el día de las webs de los candidatos. Después del defacement por parte de "Anonymous" de la web de Rubalcaba, toca ver que el programa del PP lo ha publicado el becario.

Figura 1: Defacement de "anonymous" a la web de Rubalcaba

La verdad es que la historia es curiosa, ya que el documento del programa del PP es un PDF que puede ser descargado y analizado con la fantastica FOCA 3.

Figura 2: Metadatos en el documento del programa del PP

En los datos, tal y como han publicado en twitter, se puede ver que se ha hecho desde un Microsoft Office 2007, que además el documento es un re-aprovechado de un documento anterior que se llama "Viaje de Javier Arenas a San Sebastian", y lo más curioso, que está hecho por un tal Javier Vidueria.

Figura 3: ¿Linkedin del autor?

Buscando en Linkedin, podemos ver que este señor es un becario en la actualidad dentro del partido. ¿Es que hoy es el día de los sucesos en las webs de los partidos políticos? 

Saludos Malignos!

PD: Puedes ver más ejemplos de "malas pasadas" con metadatos en Análisis Forense de Metatadots: Ejemplos Ejemplares

Noviembre: Eventos durante la primera quincena

Ya se acaba el mes de Octubre, y mientras todo el mundo prepara la noche de Halloween, yo voy a ver si hago lo propio. Pero antes de irme de recogimiento vampírico, a ver si muerdo algo que me guste (nada de coñas que os conozco), os dejo aquí la lista de Cursos, Eventos y Saraos de esta primera quincena (hasta el día 18) del mes de Noviembre, que viene bien cargada.

Entre las cosas destacadas está la IV Jornada de Ciberamenazas y Ciberdefensa de la UEM, en la que yo pasaré como asistente, para saludar además a los que van a hacer este año el Master de Seguridad de la UEM.

También, los seminarios online de la FOCA 3, donde se distribuirá una versión de la FOCA 3 PRO a todos los que se apunten. Habrá una nueva (y última edición por este año) del Curso de Análisis Forense de Dispositivos Móviles que impartirán Juan Garrido "Silverhack" y Juan Luís G. Rambla. Además yo pasaré por Tudela a dar una charla gratis sobre Seguridad Web, y un training de Pentesting Web Sites de toda una mañana. A todo esto, hay que sumar los Hands On Lab de Seguridad, Legalidad y Análisis Forense, junto a los Virtual Hands On Lab de Windows 8, lo que no es poco.

Para terminar, el día 18 de Noviembre en Chile, tendrá lugar la esperada CON para los más hax0rs 8.8, donde se darán cita una buena cantidad de profesionales de la seguridad y grandes personas, con ponentes de Argentina, Alemania, Estados Unidos, Chile, etcétera. Una oportunidad para los chilenos de juntarse y compartir conocimientos y experiencias en seguridad informática y hacking.

El calendario día a día, con todo lo dicho y algo más, es el siguiente. En él, los eventos que impartiré yo los he indicado con un * y los que son gratuitos con una [G].

02 [Madrid] HOL Forefront TMG 2010: Instalación y Configuración
02 y 03: [Online] VHOL implementación de Windows 8
03 [Madrid] HOL Forefront TMG 2010: VPN y Branch Offices
03 [Villaviciosa de Odón] IV Jornada de Ciberamenazas y Ciberdefensa UEM [G]
04 [Online] FOCA PRO 3 inglés *
07 y 08 [Online] VHOL Administración de Windows 8
08 [Madrid] HOL SharePoint Server 2010. Arquitectura e Implantación
08 [Online] FOCA 3 PRO 3 español *
09 [Tudela] Seguridad en Aplicaciones Web [G]*
10 [Tudela] Pentesting Web Sites *
10 [Madrid] HOL SharePoint Server 2010. Entornos de colaboración
10 [Madrid] CEUS VII [G]
10 [Móstoles] Análisis Forense Dispositivos Móviles
10 [Online] Quest Software: Toad Virtual Expo [G]
11 [Madrid] HOL SharePoint Server 2010. Gestión de Contenido
11 [Madrid] Creo en Internet *
14 [Madrid] HOL Normativa en el comercio Electrónico. Aplicación Técnica
14 y 15 [Madrid] HOL System Center Configuration Manager 2007 R2
15 [Madrid] HOL Aplicación del Esquema Nacional de Seguridad en entornos Microsoft
16 [Madrid] LOPD Aplicada a entornos Windows: Sistemas Operativos
16 y 17 [Madrid] HOL System Center Configuration Manager 2007 R2 Avanzado
17 [Madrid] LOPD Aplicada a entornos Windows: Correo y BBDD
18 [Madrid] HOL System Center Operations Manager 2007 R2
18 [Chile] Conferencia 8.8

Saludos Malignos!

domingo, octubre 30, 2011

No Lusers 106 - Hulk: The Increible Pentester




Sí, ya sé que los presupuestos van justos, que no hay mucho dinero, que estamos en crisis, la coyuntura internacional, las elecciones y el parón de la administración pública, que hay que cumplir con lo que se puso en los objetivos anuales del departamento, etcétera... pero un auditor de seguridad necesita tiempo para hacer las cosas, y muchos comerciales cumplen a pies juntillas con una tira de Dilbert - que no he encontrado así que si sabes cuál es pásamela - en la que un comercial/marketing propone o vende algo totalmente imposible y Dilbert dice que eso no es posible, a lo que el comercial/maketiniano responde: "Bueno, yo hice y mi trabajo, la culpa es de los ingenieros".

Pues bien, si se tensa la cuerda, tu pentester puede convertirse en Hulk.... Ten miedo, mucho miedo....

Saludos Malignos!

sábado, octubre 29, 2011

No Lusers 105 - Tatuaje




Muchas aventuras de las que me pasan acabo contándolas en forma de historia, ya sean reales, como las Cagadas de cuando me detuvieron y llevaba un hacha en el maletero, cuando entré todo gracioso yo en el CNI, o cuando perdí mi computadora en el tren, o por el contrario sean totalmente inventadas, como mi ilusión en Un día cualquiera, mi época de rockero en Spectra The Band o esa visión ensoñadora y retrospectiva sobre cómo me sentía jugando por teléfono al Quake II en 1997 con mi amigo Rodol.

En este caso, he elegido reflejar en un No Lusers una conversación en la discoteca Skalibur, la noche del sábado del Asegúr@IT Camp 3, en la que con varias copas de Tochuelo, y algún espiritual encima, Niko y yo manteníamos una sesuda conversación en la barra de la discoteca - mientras las mujeres se arremolinaban a nuestro alrededor, creo recordar -.

Niko - "Cuando cumpla los 40 me pienso hacer un tatuaje en el brazo así de grande, con dos huevos."

Maligno - "¿Y dónde te vas a poner los huevos?"

Niko - "Uno aquí, y otro justo aquí."

[Risas en Off]

Niko - "Pienso hacerme un Tribal enorme."

Maligno - "¿Con sus quesitos y todo?"

[Pu-Pum, ta-ta, chissss]

Saludos Malignos!

viernes, octubre 28, 2011

"Anonymous" publica cuentas de webs de PSOE y PP

De nuevo, otra publicación del supuesto grupo "anonymous" que está metido en política para, en esta ocasión, publicar cuentas de usuarios y periodistas de naciones unidas, extraídas de las siguientes webs hackeadas.

Webs hackeadas

De nuevo, los datos han sido publicados en los sitios de publicación de pasteables habituales y las passwrods publicadas esta vez son bastantes.

Lista de passwords de periodistas

Saludos Malignos!

FOCA 3 FREE en descarga directa


Hola amantes de la FOCA,


como ya muchos sabréis, anoche se soltó la FOCA 3 en versión Free para que todos podáis jugar con ella. Han sido muchas horas de trabajo, muchos cambios, muchas pruebas, muchos arreglos, para tener una versión 3 disponible para que podáis jugar con ella.

Los que hayáis sido chicos aplicados y os hayáis estudiado bien los artículos de El lado del mal podréis entender fácilmente cómo funciona cada parte de la nueva versión. Lo que quizá más os llame la atención es el cambio de interfaz, la gestión de tareas, que ha desaparecido Google Sets (talk to Google), que hace una mayor integración con Shodan y Robtex.... no sé, ya me diréis si os gusta o no la versión.

Aquí os dejo unos artículos de cosas que trae la nueva versión de FOCA, para que la podáis entender mejor:

- Búsqueda de políticas anti-spam del dominio [SPF, DKIM, Domainkey]
- Búsqueda de ficheros ICA y RDP: Usuarios, software en ellos y adición rol de RemoteApp.

Por otro lado, tenemos una versión PRO que la entregamos en los trainings, así que si quieres aprender más sobre la FOCA o conseguir la FOCA 3 PRO puedes apuntarte a alguno de los trainings que voy a dar el día 4 de Noviembre en Inglés y el día 8 en Español.

Además, ya os informo que seguimos con el desarrollo y evolución de FOCA, y es probable que en la versión siguiente haya soporte para plug-ins, que está muy avanzada ya esa parte y tenemos internamente algunos desarrollados muy chulos.

Solo durante este fin de semana estará disponible la FOCA en descarga directa, sin registro previo, en la siguiente URL: FOCA 3 Free

Saludos Focunos!

jueves, octubre 27, 2011

No Lusers 104: Los primeros con iPhone 4S


Y esta noche estarán en la puerta de todas las Apple Store del mundo entero esperando poder salir en algún reportaje sobre "ellos". Aquí va mi pequeño homenaje a todos esos que han preferido pasar un frio de cojones durante la noche en las tiendas de Madrid para tener un iPhone 4S los primeros.... "pringaos".

Saludos Malignos!

DefCon 19: Bosses Love Excel, Hackers Too

Han publicado ya en la web de Defcon 19 los Vídeo Slides, una composición que mezcla la salida del proyector de la conferencia con el audio de la sesión. Yo he subido la que impartimos mi compañero en Informática64 Juan Garrido "Silverhack" y yo, titulada "Bosses Love Excel, Hackers Too", centrada en Terminal Services, Citrix, y un poco de hacking con Excel.

Aún no he terminado de publicar todo en el blog sobre los contenidos en esta charla, pero sí que tienes gran parte publicado y detallado en los siguientes artículos.

miércoles, octubre 26, 2011

Hacking Remote Apps: Jailbreaking (3 de 3)

**************************************************************************************************
Hacking Remote Apps: Jailbreaking (1 de 3)
Hacking Remote Apps: Jailbreaking (2 de 3)
- Hacking Remote Apps: Jailbreaking (3 de 3)
Autores: Chema Alonso y Juan Garrido "Silverhack"
**************************************************************************************************

Directo hasta el escritorio

Muchas veces los árboles no te dejan ver el bosque, y a veces la solución es tan sencilla como directamente solicitar el desktop de la máquina. Para ello, en el archivo de configuración de Citrix es suficiente con cambiar en el campo Innitial Program, aquel que haya por directamente explorer.exe. Puede que te sorprendan los resultados que se obtienen con este sencillo cambio.

Consulta el Active Directory

A veces, aunque tengamos capado un explorador de archivos, si la máquina está conectada a un Active Directory, siempre es posible buscar en algún lugar el sitio en el que hacer una consulta al árbol LDAP del Active Directory y sacar la lista de objetos allí contenidos. En este ejemplo, con los servidores de demo de Citrix, se tiene acceso por Terminal Services a un escritorio capado que no permite ver nada del equipo local.

Figura 8: Explorador capado

Sin embargo, el explorador de archivos está dotado de las opciones de compartir que tienen todas las máquinas que están en un Active Directory.

Figura 9: Compartir un documento con gente específica

Así que, con acceder al menú de compartir, se puede acceder a la lista de usuarios que tiene este Active Directory, por ejemplo.

Figura 10: Objetos del Active Directory

Pide ayuda sobre cómo administrar tu sistema

Un sistema Windows tiene cientos de herramientas de administración, y lo bueno de ellas es que están muy bien documentadas. Así que, si la ayuda no está capada, siempre puedes acceder a buscar una a una la lista de herramientas de administración, como en este caso la herramienta de gestión de DSN (Data Source Name) que se usa para conectar fuentes de datos con aplicaciones.

Figura 11: Búsqueda de ayuda sobre herramientas de administración

En Windows, estas herramientas están tan bien documentadas que vienen hasta con la opción de "Cómo se abre la herramienta".

Figura 12: Cómo abrir la herramienta de administración

Y una vez allí, pues nada, a buscar un panel de abrir que nos permita acceder a todo el sistema.

Figura 13: Explorador de ficheros en un componente de apertura de DSNs

Conclusiones

Al final, las aplicaciones de sistemas Microsoft Windows que fueron creadas para trabajar sobre un Windows tienen infinidad de conexiones con el sistema, poque utilizan componentes y librerías del mismo. Estos componentes y librerías son cambiados en cada actualización, con lo que si un componente de abrir fichero cambia de Windows Server 2008 a Windows Server 2008 R2 o de Windows Server 2003 SP1 a Windows Server 2003 SP2, puede que la aplicación que era "segura" en la versión previa se convierta en "insegura" tras la actualización, y alguien con ganas de "tocar el piano" o "aprender solfeo" puede pasarse horas vagabundeando por tus sistemas.

**************************************************************************************************
Hacking Remote Apps: Jailbreaking (1 de 3)
Hacking Remote Apps: Jailbreaking (2 de 3)
- Hacking Remote Apps: Jailbreaking (3 de 3)
**************************************************************************************************

martes, octubre 25, 2011

Ataque Man in the middle con DHCP ACK Injector

Si ayer os hablaba de GetMSNIPs para obtener las direcciones IP de los contactos del Messenger, hoy toca hablaros de otra herramientas más que han salido desde el departamento de Auditoría de Aplicaciones Web de Informática64 para ser usada en las clases del FTSAI, y que también se ha programado nuestro amigo Thor (@francisco_oca). Además de esta tool, en Seguridad Apple otro compañero, The Sur, ha revisado USB Dumping para robar datos de los pendrives enchufados a tu Mac OS X, con soporte para enviar los datos robados a servidores FTP. Además, ya está disponible desde hace poco tiempo C.A.C.A. la herramienta para hacer fingerprinting de aplicaciones en servidores Citrix que se picó nuestro compi Rodol. Ahora vamos con DHCP ACK Injector.

Introducción a los ataques Man in the middle

Hoy en día cuando se habla de realizar un ataque MITM en redes LAN a todos se nos viene a la cabeza el término ARP Poisoning. La técnica, a grandes rasgos, consiste en envenenar la cache ARP de un cliente de una red LAN para hacerle creer que la MAC de la puerta de enlace es la dirección MAC del equipo atacante, pudiendo de este modo situar la máquina del atacante en medio de las comunicaciones efectuadas entre el equipo víctima y la puerta de enlace. Con el siguiente gráfico sacado de la Wikipedia nos podemos hacer una idea de su funcionamiento:

Figura 1: ARP Poisoning

Sin embargo, para detectar estos ataques existen ya infinidad de herramientas  como ArpON, Patriot NG y nuestra querida Marmita que pronto verá la luz. Incluso para Mac OS X, nuestros compañeros de Seguridad Apple hicieron un script basado en nmap y arp_cop para detectar también los ataques man in the middle. Sin embargo, existe otra forma muy sencilla de realizar un ataque MITM en redes LAN utilizando el protocolo DHCP.

El Protocolo DHCP

Primero vamos a echar un vistazo al protocolo DHCP en Wikipedia:

DHCP (sigla en inglés de Dynamic Host Configuration Protocol - Protocolo de configuración dinámica de host) es un protocolo de red que permite a los clientes de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después.

Figura 2: Comunicación DHCP
Los pasos que definen su funcionamiento son los siguientes:

• El cliente envía un paquete DISCOVERY para que el servidor DHCP de dicha red de computadoras le asigne una Dirección IP y otros parámetros como la máscara de red o el nombre DNS.

• A continuación el servidor DHCP responde con un OFFER en el que suministra una serie de parámetros al cliente, IP, puerta de enlace, DNS, etcétera.

• El cliente selecciona los parámetros que le interesan y con un REQUEST solicita estos parámetros al servidor.

• Por último el servidor reconoce que se ha reservado correctamente los parámetros solicitados con un DHCP ACK y se los envía al cliente.

Una vez que conocemos como funciona el protocolo, ¿cómo podemos aprovecharlo para realizar ataques MITM?

Servidor DHCP falso: Roge DHCP Server

Una opción es configurar un servidor DHCP falso, por ejemplo con el demonio dhcp3 de Linux. De esta forma cuando el cliente envía un DISCOVERY responden con un OFFER tanto el DHCP real como el servidor DHCP que hemos montado en Linux. Pero ¿a quién hace caso el cliente? Pues al que consiga enviar antes al cliente la respuesta DHCP OFFER, unas veces puede ser nuestro servicio dhcp3, otras el servidor DHCP real.

Para realizar esto de una forma sencilla se puede utilizar el programa Ghost Phisher. Éste monta un servidor DHCP falso utilizando el servicio dhcp3, también permite montar un servidor DNS que resuelva determinadas direcciones o todas hacia una IP que le indiquemos.

Lo malo de este ataque es que podemos detectar fácilmente que existen 2 servidores DHCP. Con Wireshark mismamente podemos ver que responden a las peticiones DHCP dos direcciones IP distintas:

Figura 3: DCHP Offer desde distintas direcciones IP

Otro de los problemas es que necesitamos conocer a priori el rango de direcciones IP válidas y podría darse el caso de que nuestro servidor DHCP asigne direcciones IP que ya se encuentras asignadas a otros usuarios.

DHCP ACK Injection Attack

Figura 4: DHCP ACK Injection attack
Existe otro posible ataque. Dado que toda la comunicación DHCP se realiza enviando los paquetes a la dirección MAC de broadcast FF:FF:FF:FF:FF:FF todos los clientes de la LAN reciben los paquetes DHCP. Así que existe la posibilidad de que un atacante monitorice los intercambios DHCP y en un determinado punto de la comunicación envíe un paquete especialmente formado para modificar su comportamiento.

Uno de los puntos donde nos interesaría intervenir es cuando el servidor reconoce con un DHCP ACK la configuración del cliente. Primero se tiene que escuchar toda la comunicación poniendo atención en el paquete REQUEST donde el cliente solicita la IP, DNS, Gateway de aquellos datos que anteriormente le ha ofrecido el servidor DHCP.

Una vez recibido el REQUEST podríamos responder con un ACK como lo haría el servidor DHCP real pero estableciendo la configuración a nuestro antojo.

Ventajas e Inconvenientes de DHCP Injection Attack

La ventaja de este ataque es que no se necesita conocer el rango de direcciones IP válidas ni que direcciones están libres y cuales ocupadas. Dejamos que el servidor DHCP real nos dé toda esta información y solo se interviene en la fase final, en el reconocimiento que da el servidor sobre la configuración seleccionada.

Otra ventaja es que es más difícil de detectar a día de hoy que los ataques ARP-SPoofing. Solo se envía un paquete y este puede ser enviado con la IP spoofeada del servidor DHCP, y sería necesario que existieran reglas que validasen todos los paquetes DHCP de la red.

El problema como en el anterior escenario es que respondería tanto el atacante como el servidor DHCP real y el cliente solo hará caso al primero de ellos que responda. Algunas veces será más rápido el servidor DHCP otras nuestro programa.

DHCP ACK Injector 

Para automatizar este ataque en Informatica64 hemos desarrollado una aplicación en C#, es necesario tener instalado el .NET Framework 3.5. Aquí podemos ver su aspecto:

Figura 5: DHCP ACK Injector

En Wireshark la comunicación DHCP de un cliente que solicita una nueva dirección IP se ve así:

Figura 6: Captura de Wireshark con el DHCP Injection Attack

En rojo se han remarcado los dos paquetes ACK, el falso y a continuación el verdadero. La IP es la misma lo único que varía es la dirección MAC de origen del paquete ya que a los routers no les gusta mucho reenviar paquetes con su propia dirección MAC. Nótese que la diferencia entre el primer y el segundo ACK es de escasos 750 ms. Es importante responder lo más rápido posible.

En los detalles del protocolo DHCP podemos ver los datos falsos enviados en nuestro paquete ACK.

Figura 7: Detalles del paquete DHCP modificado

DHCP ACK Injector se ha desarrollado este mismo programa en C y, aunque ha sido desarrollado para Windows haciendo uso de WinPcap, creemos que no tendrá que ser muy complicado migrarlo a Linux, así que es probable que lo portemos.

Modo de uso:

DHCP ACK Injection Use: DHCPACKInjection.exe [-l|-i -g -d ]     
-l: List interfaces -i : Use the interface N        
-g : Change the gateway to IP_GATEWAY        
-d : Change the gateway IP to IP_GATEWAY

Figura 8: DHCP ACK Injector funcionando

Puedes descargar el programa desde DHCP ACK Injector.

lunes, octubre 24, 2011

GetMSNIPs: Obtener dirección IP de contactos Messenger

El mes pasado, nuestro compañero del SOCtano Thor publicó una herramienta destinada a obtener la dirección IP de los contactos que uno tiene añadidos al Messenger sin necesidad de enviar o recibir un fichero, tal y como se dice en muchos foros. La idea es hacer uso de la negociación de las condiciones de red, tales como direcciones IP, arquitectura de conexión (NAT, UPnP, etc..) que se utilizan en la negociación del protocolo P2P que usa MSN.

Si se analizan todas las conversaciones que se producen, se verá que no es necesario iniciar la transferencia de ficheros, ya que, por ejemplo, el envío de avatares, imágenes e incluso las conversaciones en algunos entornos, funcionan con conexiones directas entre los contactos.

Explicación manual de la idea

Así, manualmente, uno puede monitorizar el proceso de comunicación que utiliza Messenger, que se llama wlcomm.exe y ver con quién establece las comunicaciones. Así, en un rápido ejemplo, primero se localiza el ID del proceso en nuestro sistema (con el administrador de tareas) y luego miramos qué conexiones de red están activas con él. En este caso, se hace nada más inicar una sesión Messenger, con lo que solo estará la conexión con los servidores Microsoft.

Para ello se hace uso del comando tasklist | find "wlcomm.exe", que permite encontrar el PID del proceso y luego se filtra con él la salida de netstat para ver solo las conexiones que realiza dicho proceso (requiere permisos de administrador): netstat -nabo | find "PID_ENCONTRADO".

Figura 1: Análisis de conexiones de wlcomm al inicio

Ahora, si se hace uso del truco de enviar un emoticono personalizado a un contacto, se estará forzando el  envío de un fichero por debajo, lo que lanzará que el sistema negocie la conexión P2P entre ambos clientes, permitiendo descubrir la dirección IP del contacto. Para ser menos sospechoso, un emoticono con un gif transparente y listo. Si repetimos el proceso aparece la IP del contacto.

Figura 2: Análisis de conexiones en una conversación

Análisis con Wireshark

Sí el tráfico generado en la conversación se graba con Wireshark y se analiza con el filtro que ofrece esta herramienta para el protocolo de Messenger, que se llama msnms, se pueden ver los paquetes generados en la transferencia del avatar.

Figura 3: Paquetes filtrados con msnms en Wireshark

Viendo el contenido de ellos, es posible descubrir las direcciones IP de la conexión y el nombre del contacto que se encuentra en el extremo de la conexión, ya que se aparece en el campo FROM.

Figura 4: Direcciones IP de la conversación en el paquete de red

Lo curioso es que en ese paquete también aparece la dirección interna del cliente de Messenger. ¿Por qué? Pues porque si dos contactos comparten la misma dirección externa y están en el mismo segmento de red, la negociación P2P se intenta hacer directamente por la LAN, sin pasar por Internet, lo que alguna vez generaba errores de conexión en situaciones en las que había conversaciones múltiples con contactos locales y remotos.

Con toda esta información es posible hacer un filtro en Wireshark para descubrir los contactos y sus direcciones internas y externas en un momento dado de la conexión, y es esa info la que ha automatizado nuestro amigo Thor en la herramienta GetMSNIPs.

Descubrir las direcciones IP de todos tus contactos conectados con GetMSNIPs

El funcionamiento es sencillo, pero requiere la instalación previa de WinPcap.

Una vez instalado, se arranca GetMSNIPs para luego iniciar una conversación con Messenger.

Entonces se debe poner un nuevo avatar, distinto, que no haya sido utilizado antes.

Después, esperar o forzar el inicio de una conversación con algún contacto que interese. El resto se irá viendo por pantalla.

Figura 5: Salida por pantalla de GetMSNIPs

Puedes descargar la herramienta  y el código fuente directamente desde el siguiente enlace: GetMSNIPs

Saludos Malignos!

domingo, octubre 23, 2011

Asegúr@IT Camp 3 is over: ¡Que venga el 4!

Aún no han abierto la cafetería para el desayuno final del Asegúr@IT Camp 3, así que no os puedo decir aún como son las caras de los que anoche dieron todo y más en Skalibur, pero seguro que os podéis hacer un idea. Un año más lo he pasado genial, y este año mucho mejor, ya que no he tenido ninguna enfermedad que me impidiese disfrutar del Tochuelo, la Skalibur y el botellón en la cabaña de i64 - aunque por decisión propia opté por no probar nada de la botella esa que se llamaba "Alcatraz 30" -.

Las charlas, a excepción de la mía que no tenía nada que contar y era un relleno para que los demás se pasaran de tiempo, han estado genial. Sergio de los Santos debugeando, explotando buffers overflow y soltando perlitas técnicas extraídas de su libro de Máxima Seguridad en Windows: Secretos Técnicos, del que ayer me enseñó varias cosas que desconocía - os pondré alguna por aquí -, Dani Creus y Mikel Gastesi desvelándonos el lado oscuro de los que se dedican al Fraude Online, con algunas fotos extraídas de foros privados dignas de ver, Pablo Gonzalez haciendo un recorrido a Windows 8, Internet Explorer 10 y Live completo, completo, como anticipo de los cursos de Windows 8 que va a impartir, Horatio explicando el funcionamiento de los ataques APT resumida con una frase: "Un APT es alguien que sabe más que tú, tienes más recursos que tú, y va a por tí. Suerte", el gran Juan Garrido "Silverhack" mostrando las Triana Tools para iPhone que usa en sus Curso de Análisis Forense de dispositivos Móviles, y alegrando la cena a todos con los chistes de "los sellos de correos, trabajal y el del caracol" -IM PRE SIO NAN TE - y por último Niko, pira... instalando el Flash desde el principio y enseñándonos cómo se anima todo desde el principio hasta el final - flipante verle empezar con un círculo que va de A a B y terminar con una secuencia de Los Telepis -.

Después, cenas y comidas, con viejos compañeros, para acabar en el futbolín de Skalibur donde, esta vez sí, Raúl impuso su ley y se besó el anillo, celebró goles e hizo el Bruce Lee más veces que nadie. Para cumplir con el San Benito de "Pupas", un defensa atlético sufrió un lamentable incidente y hubo que repararlo a lo McGyver. Luego, todo pasó de repente...



Por lo demás, muchas anécdotas en privado, risas para dar y tomar y un ambiente único que quiero agradecer a Microsoft, Bitdefender, Telefónica, Hispasec, S21Sec, Eventos Creativos y mis compañeros de Informática 64 por haberlo hecho posible.

Saludos Malignos!

PD: Por el bien de todos, espero que las fotos que salgan a la luz sean filtradas previamente }:))

sábado, octubre 22, 2011

Luchar contra las nubes es duro...

Hoy pensaba hablar de otras cosas, ya que estoy en el Asegúr@IT Camp 3 y hay muchas cosas que contar, pero una vez más, este sistema operativo llamado Mac OS X Lion me ha vuelto a hacer otra jugada, - y ya van varias que tengo coleccionadas para quién me diga que esto es "usable" - en este caso con la nube, así que he decidido contar esto.

Ya publiqué hace tiempo el tema de que si tienes un problema con la nube en la solución está en la nube, tienes dos problemas, y justo eso es lo que me ha pasado con Mac OS X Lion 10.7.2 e iCloud. Os detallo la situación.

Supongamos que quiero configurar la red para tener conexión a Internet, como era el caso de ahora, y necesito entrar en las Preferencias del Sistema para hacerlo. Supongamos que en ese momento las Preferencias están en la pestaña de iCloud, en las que el servicio está intentando acceder a los datos de la cuenta ne la nube. Evidentemente no puede conectarse.

Sin embargo, el panel de iCloud no tiene time-out, ni deja salir de este panel de control, por esa cosas que os dije que me echaba para atrás, en las que los chicos de Mac OS X hacen cada panel de control como les da la gana. Así que... nada, estamos en una situación que los que habéis estudiado programación concurrente conoceréis como Interbloqueo. ¿Solución?

Como ya estaba cansado, opté por reiniciar pero...al hacerlo, mirad que cosa más bonita me dice el sistema.

Figura 1: ¿Y ahora qué majete?

Así que nada, botonazo y a apagar el sistema a lo bestia, ya que el sistema no me da otra opción.

Figura 2: ...y Apple hizo la magia otra vez...

Después de llevar 3 meses ya trabajando con Mac OS X, y con Lion desde el primer día que se puso a disposición pública, puedo deciros que, bajo mi punto de vista, Mac OS X Lion es lo que podéis ver en el siguiente dibujito que he hecho.

Saludos Malignos!

viernes, octubre 21, 2011

No Lusers 103: Cloud Computing


(No comments)

Saludos Malignos!

Rearmar un Windows caducado usando las Sticky keys

Una de las aplicaciones que tiene saber tocar el piano, es que puedes utilizar los trucos de jailbreak en remote applications en sitios muy curiosos. En este caso es un truco para aquellos que usamos muchas máquinas virtuales para probar demos con Windows Server 2008 o Windows 7 y que un día se nos caducan sin que nos hayamos acordado de "rearmarlas".

El rearme de un sistema Windows no es nada más que un periodo de extensión de la licencia de la versión de prueba por unos 120 días. Este rearme está limitado en el número de veces que se puede aplicar - 3 en total - y en cuántos días después de que se haya caducado la licencia se puede lanzar. Es decir, si la máquina ha sido rearmada 3 veces y te ha caducado ya no puedes hacerlo más veces.

Sin embargo, si el tiempo sin activar la máquina que ha pasado es grande y no sale la opción de "Activate Later", entonces puedes usar el truco de las Sticky Keys de mi amigo Silverhack. El funcionamiento es muy sencillo.

Figura 1: Activate Later desconectado (aunque aún funciona en esta máquina)

Cuando salga el panel de Activate Now, darle al Mays 5 veces seguidas para que salga el panel de las Sticky Keys.

Figura 2: Se llama a las Sticky Keys con las mayusculas

Le damos un clic al enlace de la ayuda, tal y como vimos en el artículo de Jailbreak en Citrix y Terminal Services Applications.

Figura 3: Ayuda de las Sticky Keys en el panel de control

Desde el panel de control de las Sticky Keys, el siguiente paso es sencillo, invocar el Explorador de Archivos.

Figura 4: Abrir el cmd.exe para ejectura slmgr -rearm

Y una vez allí abrir el cmd.exe para ejecutar el comando de rearme slmgr -rearm. Un truco curioso que tal vez te venga bien en algún momento.

Saludos Malignos!

jueves, octubre 20, 2011

Jugando con RoundCube (5 de 5)

************************************************************************************************
Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
Jugando con RoundCube (3 de 5)
Jugando con RoundCube (4 de 5)
Jugando con RoundCube (5 de 5)
Autor: Enrique Rando
************************************************************************************************

Episodio 7. Revisando lo del XSS

El ataque anterior tiene sus problemillas. Por un lado, el atacante ha enviado un correo mediante el webmail y, si la cosa se investiga, lo pillarían. Por otro, ha necesitado encontrarse con un problema de configuración que permitiera listar y acceder a los contenidos de la carpeta temporal.

¿Podría haberse hecho mejor? Seguro que sí. Para empezar, remitiendo el correo de una forma más conveniente. Desde un equipo que sea difícil de controlar, se lanza un telnet, netcat o similar al servidor de correos y, si el SMTP no pide contraseñas, … En este caso, el atacante sólo tenía a mano el programa putty para Windows, de manera que se puso manos a la obra. Primero, usó el Bloc de Notas para crear un fichero con el siguiente contenido:

Figura 30: El mensaje en el bloc de notas
Después, arrancó putty con: putty.exe -raw -P 25 webmail.example.com y copió todo el contenido del bloc de notas y lo peguó en el putty (botón secundario del ratón). La ventana del putty se cerró. El correo había sido enviado con lo que el jefe recibió entonces un correo que parecía provenir de un superior:

Figura 31: El mensaje recibido

Se supone que el texto (“bla,bla,bla”) es suficientemente largo como para que no se vea en pantalla el código HTML/JavaScript del final, el cual sirve para explotar una vulnerabilidad que presenta RoundCube cuando es utilizado con Internet Explorer 8 o anterior. Vayan ahora el código de “evil.php”, que se encarga de redirigir al usuario a una URL que explota la vulnerabilidad (también se podría haber usado de un IFRAME en lugar de la redirección):

Figura 32: evil.php

El fichero “evil.js” debe resultar familiar a estas alturas. Era aquel que robaba los correos y los mandaba a un servidor controlado por el atacante. “Más me vale hacer caso a mi superior” – pensó el jefe. Así que hizo clic en el enlace y:

Figura 33: Esto está haciendo algo

El resto de la historia es conocido. El atacante obtuvo los correos de su víctima:

Figura 34: Hay un correo nuevo
Figura 35: Su contenido

En fin… del resto, quizá nos enteremos algún día.

Epílogo

Esta vulnerabilidad fue reportada al equipo de RoundCube, que la cerró al considerarla un duplicado de otra anterior que decía:

Contents of attachments (such as pictures) which are embedded in HTML (multipart/related) messages should be checked before sending them to the client.
Internet Explorer executes javascript code within images (!) if <script> ... exists in content. It entirely ignores mimetype headers but does content sniffing. This is a XSS vulnerability which exists when using Internet Explorer and is an attack that takes advantage of a bug which exists in the web browser.
Reproduction Procedure: Disguise HTML which contains a SCRIPT tag as a picture file (.jpg, .gif, etc.) or create a picture file that contains a SCRIPT tag and attach it. Send this email and when this attachment is opened/viewed, the javascript is executed.

Y modificaron ésta para que hiciera referencia a los ejemplos que yo les mandaba (que eran distintos de los de este artículo). Pensándolo bien, creo que la mía está bien cerrada, ya que los dos problemas tienen un mismo origen. De hecho, realizando unas (muy) ligeras modificaciones al código usado anteriormente, también se pueden incrustar los scripts en ficheros adjuntos, en lugar de colocarlos en el cuerpo del mensaje. Si es posible encontrar una solución común que acabe con ambos... ¿Para qué tener dos incidencias abiertas relativas a una misma actuación?

Lo que me preocupa es que la otra incidencia era de hace 5 meses. Esperemos que se arregle pronto.

EPILOGO:

Esta vulnerabilidad fue notificada a los desarrolladores de RoundCube, quienes determinaron que la solución pasaba por detectar los adjuntos con contenido Flash que tuvieran una extensión "falsa". De este modo se trataría de evitar que se engañe al usuario para que haga clic donde no debiera.

Yo les pregunté sobre qué pasaba con los ficheros SWF sin renombrar. Si tras su solución seguía siendo posible que el usuario los abriera y que se ejecutara el código JavaScript en el contexto de la sesión del correo. Y me respondieron que sí, que RoundCube no bloqueaba ese tipo de adjuntos. Que eso ya sería algo similar a que un usuario recibiera un adjunto de Word con VB malicioso dentro.

A mí, eso de que la decisión final la tome el usuario... También indicaban que era posible deshabilitar manualmente la visualización en el navegador de los documentos SWF, anulándola en la opción de configuración 'client_mimetypes' de RoundCube. Y yo les pedí que ésta sea la configuación por defecto.

Ya veremos si lo hacen o no. Y, aunque se haga, siempre habrá quien tenga sistemas RoundCube que, por una u otra razón, no pueda (o no se atreva a) actualizar. De modo que si administras un servicio de webmail basado en RoundCube ahí va mi consejo: asegúrate de que está deshabilitada la visualización en el navegador de los documentos SWF. Que nunca se sabe.

************************************************************************************************
Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
Jugando con RoundCube (3 de 5)
Jugando con RoundCube (4 de 5)
Jugando con RoundCube (5 de 5)
************************************************************************************************

miércoles, octubre 19, 2011

No Lusers 102: Filostros y Forlayos



Esta historia es un homenaje al futuro joven consultor la empresa TeddyBear Consulting que se hizo mayor, se casó, y se separó debido al estrés, aunque para muchos seguro que este personaje os suena de alguna otra consultora que conocéis. ¿Cómo? ¿Que no sabes qué empresa es TeddyBear Consulting? Entonces debes ser salvado y no dejar de leer el libro de Alfredo de Hoces (@fuckowski) (ahora escribe en Perspicalia) "Fuckowski: Memorias de Ingeniero".

Este libro, que está disponible en PDF y que puedes comprar para regalar a cualquier joven con ansias de entrar a ganar pasta en una consultora, fue uno de los que más me hizo reír. Entre las historias que tienes está la de TeddyBear Consulting, donde un joven futuro consultor con la hora de overtime baratita está a punto de dar el paso en el apasionante mundo de las superficies cuadrúpedas. Todo un reto para especialistas en filostros y forlayos.

Saludos Malignos!

martes, octubre 18, 2011

Sólo 3 días para el Camp!

Ya estamos a 3 días para el Asegúr@IT Camp 3! y está todo listo... o casi. Ya tenemos la agenda definida completamente... o casi, ya que están definidos los ponentes, pero como siempre, el listo de turno aún no sabe de qué va a hablar...o casi.

Entre los ponentes de la fiesta se han unido Pablo González, compañero de Informática 64, en Seguridad Apple, y miembro de Flu-Project, que vendrá a hablarnos y enseñarnos Windows 8 en Live!. Para ello dará una sesión mostrando algunas de las principales características de este nuevo Windows, resumiéndonos lo más importante de lo que va a impartir en los próximos Virtual Hands On Lab y Hands On Lab en Madrid dedicados a Windows 8.

Y como no podía ser de otra manera, se ha apuntado también al sarao el gran Silverhack. Nuestro mejor analista forense que vendrá a dar una sesión mágica de "Cómo hacer un análisis Forense a un iPhone, pero sin el iPhone" al i64's way! y con las iPhone Triana Tools, o lo que es lo mismo, cómo se lo monta para analizar un iPhone cuando toca hacerlo.

A estos dos ponentes, hay que sumar los ya conocidos Sergio de Los Santos que va a hacer alguna prueba práctica de lo que muestra en su libro "Máxima Seguridad en Windows"  (que es todo un betseller ya y ha quedado precioso) para bloquear y detener malware, Dani Creus y Mikel Gastesi que vendrán a presentar su libro de "Fraude Online: Abierto 24x7" y hablarnos del mundo del lucro ajeno, Pedro Sánchez y Horatio de Bitdefender que nos hablarán de los ataques APT (Advanced Persistent Threat), Niko que esta vez nos enseñará a animar sus muñequitos con esa cosa que está llena de malware siempre y yo que hablaré.... hablaré de algo.

A esto, hay que dar las gracias a Telefónica, Spectra, Bitdefender, Hispasec y S21Sec por colaborar en este evento en el que se han superado ya los asistentes del año pasado, así que nos lo pasaremos genial. Si quieres venir aún estás a tiempo. Hay un código descuento para el pase de día en el blog de Windows Técnico y aún queda disponible el Bungalow Loco de SecurityByDefault, al que solo se puede venir en grupo. A los demás... ¡nos vemos en 3 días!

Saludos Malignos!

lunes, octubre 17, 2011

Otra publicación de "anonymous" sobre Policía, UPyD e IU

Otra vez, el grupo que actúa con el nombre de anonymous en la intrusión a los servidores del Ministerio del Interior, publica datos en Pastebin con datos privados. En primer lugar han publicado las claves de acceso a los servidores, para seguir la publicación con datos privados de los Escoltas del Rey.

Figura 1: Datos de acceso y Datos de Escoltas del Rey

También supuestos datos de espionaje a miembros del partido UPyD - entre otros Rosa Díez - y una supuesta relación de Izquierda Unida con un acoso sexual y la trama del 11-M.

Figura 2: Datos de Rosa Díez (incluye su e-mail y su teléfono)

Estos datos parece que fueron obtenidos de forma similar y por el mismo grupo que que hizo públicos los datos de los escoltas de presidencia, datos de los GEO y las contraseñas del foro de la CNP.

Figura 3: Fichero que relaciona a Izquierda Unida con un escándalo sexual y el 11-M

En estos casos, no se sabe si son realmente anonymous, o un grupo que se hace pasar por anonymous, o una de las facciones de anonymous que tiene unos objetivos personales, pero lo que parece que está claro es que a están publicando datos robados de los servidores del Ministerio del Interior. 

Saludos Malignos!

Jugando con RoundCube (4 de 5)

************************************************************************************************
Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
Jugando con RoundCube (3 de 5)
Jugando con RoundCube (4 de 5)
Jugando con RoundCube (5 de 5)
Autor: Enrique Rando
************************************************************************************************

Episodio 6. La Trampa

La cosa está así: el malvado empleado está redactando un mensaje. El mensaje tiene un fichero adjunto con código JavaScript capaz de robar los mensajes de correo de otros usuarios. … Y, sin enviarlo, cierra el navegador. Si ahora se navega a la carpeta temporal de RoundCube, aparecerá un nuevo fichero llamado, en este caso, rcmD.tmp:

Figura 23: Ya hay algo

Ahí está el script: en una carpeta del mismo dominio del webmail. Esto de poder guardar ficheros en un servidor siempre es bueno (según para quién, claro). Cuando no vale para un LFI, se puede pensar en XSS y otras monerías.

Nuestro amigo manda ahora un mensaje a su jefe con formato HTML:

Figura 24: El mensaje

El enlace “Normativa” lleva a “http://webmail.example.com/roundcubemail-0.6-beta/temp/rcmD.tmp”, el temporal del script. Cuando el jefe lea el mensaje, verá algo del tipo:

Figura 25: Recibido el mensaje

Preocupado, el jefe hará clic en el enlace y se le abrirá una nueva ventana…

Figura 26: Tú lee, lee, que ya verás que divertido

Mientras el jefe lee, el script embebido consulta su bandeja de documentos enviados y los va mandando, uno a uno, a la web del atacante, donde un script PHP los almacena en una base de datos. La URL responsable de esta tarea es http://evil.example.com/captura.php y su correspondiente código (no es que esté demasiado depurado) es:

Figura 27: Captura.php

Y el resultado:

Figura 28: Cosas que apunté mientras leías...

Secretos de la organización, trapos sucios, datos personales… todo lo que había en los correos enviados por el jefe está ahora en manos del “amigo” Evil. ¿Y si terminara en los periódicos o en WikiLeaks?

Figura 29: Un mensaje

Quizá esto asuste más a los directivos que un mensajito en pantalla. Por probar…

************************************************************************************************
Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
Jugando con RoundCube (3 de 5)
Jugando con RoundCube (4 de 5)
Jugando con RoundCube (5 de 5)
************************************************************************************************

Entradas populares