miércoles, noviembre 30, 2011

Hacking Remote Apps: Jailbreaking con Excel (IV de IV)

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************

Saltar la política de No Macros

Cuando le echamos un vistazo a la política de seguridad de No Warnings but disable all macros, pensamos que iba a ser la aplicación de la política de Disable VBA in Office Applications, pero solo para Excel. Sin embargo, nos sorprendió ver que no era así.

Para saltar esta política basta con abrir el documento desde una ubicación de confianza, es decir, desde una Trust Location. Estas rutas son directorios especiales a los que no se aplica ninguna política de seguridad de Excel por motivos de implementación - según conversaciones con miembros del equipo de seguridad de Microsoft -. Así, basta con buscar una de esas ubicaciones, como la de la ruta dónde se almacena el libro pro defecto de Excel, y guardar allí nuestro archivo.

Figura 16: Guardando el fichero en una ubicación de confianza

Una vez guardado, bastará con abrir ese mismo fichero y acceder al contenido VBA sin ninguna alerta ni nada, lo que nos dejará usar todos los comandos implementados en nuestra querida navaja suiza basada en Excel.

Figura 17: Y ya se pueden ejecutar las macros

Trusted Locations o Ubicaciones de Confianza

La configuración de las Trusted Locations puede hacerse desde el Active Directory y, como se puede ver en la figura siguiente, hay una política para deshabilitar todas las ubicaciones de confianza. Sin embargo, muchos componentes del sistema Excel, como la personalización del libro por defecto, hacen uso de esas ubicaciones, por lo que podría dejar un Excel menos funcional que dejándolo sin macros con la política de deshabilitar.

Figura 18: Ubicaciones de Confianza en la política de seguridad de Excel

Para saber exactamente qué ubicaciones de confianza están configuradas en el Excel que se está utilizando, se debe ir a las opciones y configurar, dentro del Trust Center o Centro de Confianza, la opción de Ubicaciones de Confianza. Ahí se podrán ver las rutas excluidas de las políticas de seguridad.

Figura 19: Rutas de confianza aplicadas en una instancia de Excel concreto

Todo archivo que se abra desde una de esas ubicaciones se saltará la política de seguridad que se haya configurado en Active Directory.

Saltar las restricciones de software

Por supuesto, no solo las políticas tienen su importancia a la hora de fortificar una plataforma como Excel. En la primera parte hablamos de las Software Restriction Policies o las ACLs como forma de hacer más robusta una plataforma Excel. Sin embargo, si está activado VBA, siguiente los trucos de Didier Stevens, es posible llevarte tu propia herramienta allí incrustada.

Para la presentación en Defcon 19 de estos contenidos, llevamos un fichero Excel con el regedit y el cmd de ReactOS, para poder saltar cualquier lista negra generada por medio hashes, firmas digitales o ubicaciones, ya que el programa está dentro del Excel.

Figura 20: Ejecutando el interfaz de comandos de ReactOS desde VBA

Con esto, es posible llevase casi cualquier herramienta que se os ocurra y sea necesaria para realizar un ataque. Por ejemplo: ¿Herramientas puramente de hacking?

No solo Excel

Excel es una herramienta poderosa, y de hecho nosotros seguimos investigando las posibilidades de esta aplicación desde el punto de vista de hacking - dentro de poco os publicaremos algún truco nuevo - pero nos gustaría recordar que el problema en Terminal Services y Citrix no es sólo con Excel o cualquier aplicativo de Microsoft Office, sino que cualquier herramienta, cualquiera, con capacidades de realizar cosas en el sistema se podría convertir en un problema. 

OpenOffice, LibreOffice, un compresor, un visor de documentos, o una aplicación a medida, podrían ser un arsenal en manos de un atacante con tiempo y/o talento para usarlo.

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
**************************************************************************************************

martes, noviembre 29, 2011

Nuevo Libro de Hacking y Seguridad en Comunicaciones Móviles GSM / GPRS / UMTS / LTE de Taddong



Pues aquí está ya, el décimo libro de la biblioteca que estamos construyendo en Informática 64 sobre textos dedicados a la seguridad informática. Hace alrededor de dos años que vi por primera vez y en primera persona el trabajo de estos pedazos de profesionales de Taddong, y desde que los vi quise saber más de sus cosas, así que me encargué personalmente de irlos liando para meterlos en todos mis fregados. Por supuesto, su trabajo no pasó desapercibido para nadie, y acabaron en la RootedCON, en BlackHat atacando iPhone e iPad con redes falsas GPRS/EDGE, etc... haciendo las demostraciones que lo que se puede hacer cuando entiendes la tecnología de las comunicaciones móviles.

Y tuve que liarlos más.

Así, hicimos un acuerdo de colaboración entre las empresas, para impartir sus Cursos de Seguridad en Comunicaciones Móviles, para publicar sus artículos en nuestros blogs, de los que ya habéis podido leer Busca las diferencias en las direcciones inalámbricas - WiFi y BlueTooth - de tus dispositivos Apple, Ataque selectivo con estación base falsa GSM/GPRS o iPhone no alerta de conexiones GSM sin cifrar, para colaborar en proyectos comunes y, como no, para publicar un libro... ¡y aquí está!. David Pérez, José Picó y Raúl Siles, 1024 gracias.

Si queréis saber el tipo de cosas que hacen estos "bichos", y el porqué de que me tengan maravillado desde hace tiempo, os dejo el vídeo de la RootedCON 2011 de este año para que disfrutéis un poco y me digáis si no es genial que haya conseguido que estos señores me hagan unos "apuntes" en un libro.



David Pérez y José Picó de Taddong - Un ataque práctico contra comunicaciones móviles (Rooted CON 2011) de rootedcon en Vimeo.

El libro pasará a formar parte de la colección de libros de seguridad informática de Informática 64, que pasa a estar formada como sigue:

- Libro 10: Hacking y Seguridad en Comunicaiones Móviles [NOVEDAD]
- Libro 9: Máxima Seguridad en Windows
- Libro 8: Fraude Online: Abierto 24 x 7
- Libro 7: Hacking con Buscadores: Google, Bing y Shodan
- Libro 6: Una al Día, 12 años de Seguridad
- Libro 5: DNI-e: Tecnología y usos
- Libro 4: MS SharePoint 2010: Seguridad
- Libro 3: MS Forefront TMG 2010
- Libro 2: Aplicación LOPD en la empresa
- Libro 1: Análisis Forense en Sistemas Windows

Saludos Malignos!

lunes, noviembre 28, 2011

Entrevista a César Cerrudo

Como el buen vino o el whisky de malta de 12 años, así veo a César Cerrudo en este mundo. Con la mirada que tienen solo los que llevan una vida en las trincheras, viendo pasar las balas y estallar los cohetes mientras siguen al pie del cañón arreglando la radio para que funcionen las comunicaciones y lleguen los refuerzos sin perder un ápice de serenidad. Esa solera que tienen los buenos vinos que han sido mimados porque venían de buena uva y que son capaces de satisfacer y convencer a los más detractores, con ese sabor que dejan a posteriori en el paladar. Así es la sensación que deja César Cerrudo.

Llevaba años sabiendo de su existencia, incluso leyendo artículos de aquella NCN a la que asistió lo mejor de cada casa, y donde hizo acto de presencia este argentino rubio. A lo Robin Hook o Flecha Verde, llevando en su carcaj una lista ingente de trabajos en seguridad informática e investigación en hacking que siempre se olvida de recordar, no vaya a ser que algo cambie.

Es como ese soldado de la tropa que se va a la cantina después de haber estallado las baterías enemigas, a fumar con sus compañeros y tomar un trago de cerveza relajado y entretenido - que no será él el primero que se vaya de la fiesta - , mientras se le busca para darle una medalla que el se ha olvidado de recoger.

Sí, si has leído hasta aquí, te habrás dado cuenta de que tengo admiración por César Cerrudo, no lo puedo evitar, y tal vez deberías descubrir el porqué. Aquí tienes una entrevista que le he arrancado, puedes seguirle en Twitter en @cesarcer o verte alguna de sus charlas. Yo a lo fan-total, con esta foto de la Ekoparty 2011, en la que estoy con César, Rubén y Claudio a lo Green 0-Day como dijo el de León, me siento feliz. Gracias César por todo.

César Cerrudo, Rubén Santamarta, el que suscribe y Claudio en la EKoparty 2011

1.- César, lo primero es lo primero, y tú tienes fama de ser re-tranquilo, porque dicen que todos los que son de tu región son re-tranquilos… Para los que no te conocen… ¿de dónde es César Cerrudo? ¿Es verdad que sos retranquilo? ¿Son re-tranquilos todos por allá? ¿Esteban también es de la región?

Hay que ver que entiendes por re-tranquilo :) si es alguien pacifico y que trata de tomarse las cosas con calma entonces puede ser que a veces sea re-tranquilo, salvo que me hagas enojar mucho :) Yo soy de Paranáuna ciudad que queda en la provincia de Entre Ríos en Argentina, bastante lejos de todo (a veces me gustaría vivir mas cerca de losaeropuertos internacionales :) )

Aquí en mi ciudad el ritmo de vida es mas lento que en las grandes ciudades, se duerme mucho la siesta por lo general (salvo que tedediques a la seguridad o sistemas ;)), de 1pm a 4pm cierran todos los comercios lo cual no esta muy bueno sino dormís la siesta :) Esteban Martínez Fayo también es de aquí.

2.- ¿Cómo empezaste a buscar fallos de seguridad? ¿Cuál fue el primero que recuerdas?

Empecé primero probando cosas de MS SQL Server, ya que conocía la herramienta porque la usaba en mi trabajo de programador. El primero querecuerdo es un overflow en OpenRowset. Seran pronto 10 años desde que encontré ese primer fallo, ¡qué tiempos aquellos! :`( En el advisory se puede observar que ya empezaba a tener mis primeros problemas con MS :)

3.- Y ahora en iOActive… ¿cómo has acabado ahí? ¿Cuál es tu misión en la compañía?

Mi empresa, Argeniss, venia trabajando desde hace muchos años con IOActive, pero con contratos por trabajos específicos. Me hicieron una interesante oferta que me convenía tanto económicamente como profesionalmente así que acepté. Estoy a cargo de organizar el research en distintas areas, con todo lo que ello implica. También yo hago algo de research que luego presento en conferencias. Y otras cosas más de lasque no puedo hablar públicamente ;)

4.- De todos los fallos de seguridad que has encontrado… ¿cuál es que más te gusta a ti?

Esta es una pregunta complicada, hay varios. El research de Token Kidnapping que incluye varios fallos es uno de los que más me gusta porque fue una conjugación de fallos de distintos tipos que permitían sobrepasar todas las nuevas protecciones de los servicios en Windows (al día de hoy estas protecciones no sirven de mucho) y la forma de explotarlos era bastante interesante. El exploit Churrasco se volviobastante popular :)

5.- ¿Y el que más repercusión mediática tuvo?

Lo anterior creo que fue lo que más repercusión mediática tuvo aunque también un 0day de kernel en Win XP y Win 2000 que había publicado causo algo de revuelo. También Story of a dumb patch. En general siempreque se publica algo de MS tiene repercusión mediática.

6.- ¿Qué pasó con Oracle en la semana de los fallos de Oracle? Cuéntanos la historia para los que no conozcan esa aventura aún.

Es una larga historia. Yo estaba harto de Oracle y de su incompetencia (todavía sigo igual) y decidí publicar 0days de Oracle por una semana para ver si esto provocaba alguna reacción. Antes de hacerlo hablé con uno de mis principales clientes para asegurarme que no habia problemas y me dijeron que estaba todo bien. 

Todo iba muy bien hasta que mi cliente fue "presionado" por Oracle. Basicamente Oracle le dijo a mi cliente que por qué trabajaban conmigo, que yo era hacker malo (no recuerdo bien las palabras pero era algo así :)) que yo ponía en riesgo a sus clientes (excusa universal de los software vendors como si los researchers fueran los que venden el soft lleno de fallos :)), etc.. También Oracle le hizo saber a mi cliente que si yo publicaba las fallas, Oracle podría no hablar bien de mi cliente, etc... Indirectamente (o no) Oracle le dio a entender que lo podría perjudicar en sus negocios.

Mi cliente me llamo y me contó lo que pasó y me dijo que preferian que no publicara nada, en un principio pensé en hacerlo igual, ya que era un problema de mi cliente (dejarse apretar por Oracle) ademas mi cliente primero me habia dicho que no habia problemas. Pero luego tuve que pensar que si yo me quedaba sin mi cliente por este problema, si bien yo me lo podia soportar, el tema era que ponia en peligro el trabajo de la gente que trabaja conmigo y eso no me gustaba para nada, así que decidi cancelar la publicacion de los 0days de Oracle.

Yo todavia tengo la esperanza que algún día la gente sepa lo que realmente es Oracle y lo poco le importa la seguridad.Veremos.

7.- Tu charla sobre 0days y otras yerbas nos encantó, pero de todos los Software Vendors… ¿cuál es que mejor te ha tratado ante fallos de seguridad?

El mejor sin dudas es Microsoft, si bien he tenido desencuentros, siempre tratan de buscar soluciones. A veces puedo no estar de acuerdo pero por lo menos siempre están abiertos al dialogo y te tratan muy bien.

8.- ¿Qué hace César Cerrudo en su tiempo libre? ¿Cuáles son tus hobbies?

¿Qué es tiempo libre? no conozco esa palabra :) Mi hobby es el hacking aunque cuando esto ya forma parte del trabajo y estás a cargo de una empresa cambia todo. Tendría que buscarme un hobby nuevo :)

9.- Has viajado por todo el mundo, dando charlas en las mejores conferencias del mundo. ¿Cuál es la que mejor sabor de boca te ha dejado?

Cada conferencia tiene algo especial. Yo la he pasado bien en cada una en las que he estado. Particularmente me gustan las conferencias pequeñas porque uno puede convivir más con un grupo pequeño de gente y las llega a conocer y entablar una buena relación. Ekoparty es una de mis preferidas ya que juego de local :) La he pasado muy bien en conferencias como NcN, H2HC, Infiltrate, FRHack, IT-Defense, BlueHat, BlackHat, Cansecwest, HITB, Bellua, etc...

10.- Y de toda la gente que has conocido… ¿quién es el que más te ha impresionado?

Nunca me lo he preguntado. No creo que haya alguien que me haya impresionado más que todos, conozco un montón de gente muy buena profesionalmente y como persona. Tal vez me impresionan más la gente que hace o ha hecho cosas similares a las que yo hago o he hecho y que son de mi misma época, como son: David Litchfield, Barnaby Jack, Brett Moore, Dave Aitel, etc....

También tengo muy buena impresión tuya, eres una persona muy dedicada,trabajadora y muy buen speaker.

11.- ¿Y el que mejor te cae?

Nuevamente, nunca me lo he preguntado, poniéndome a pensar, la verdad que creo que me llevo bien con casi todos.

12.- Durante un tiempo David Litchfield (You are the next answering an interview!) y tú estuvisteis en el punto de mira de Oracle. ¿Os coordinabais para buscar los fallos? ¿Competíais por ellos? ¿Os pisasteis alguno? ¿Está Esteban Fayo siguiendo tu trabajo?

Con David, si bien nos conocemos, nunca hemos trabajamos juntos. Nunca nos coordinamos ni competimos. Hubo un par de mismos fallos que David y yo encontramos y que David y Esteban encontraron. Esteban empezó a trabajar conmigo hace como 8 años, yo le explique sólo algunas cosas y él aprendió muy rápido por su cuenta más que nada. Hoy en dia Esteban es una de las personas que más fallos ha encontrado en Oracle (puede ser que más que David, habría que hacer las cuentas :)) y hace un tiempo encontró un nuevo 0day de Oracle que va a dar que hablar el año que viene seguramente.

13.- He visto que los Security Researchers en Argentina no suelen ser muy futboleros, ¿lo eres tú o lo mejor es compartir una cerveza da igual viendo qué?

Jajaja, me defiendo jugando al futbol, tambien puedo jugar tomando cerveza si quieres :)

14.- ¿Cómo es la vida del Security Researcher en Argentina? ¿Tenés que llevar saco para triunfar?

Jajaja, para triunfar sólo se necesitan los conocimientos necesarios. Creo que nunca he usado saco salvo para casamientos. Argentina es un país dificil para vivir, hay que acostumbrarse a los problemas, a que todo se complica siempre, a que siempre te jodan, etc... tal vez por esto hay tanta gente buena en seguridad :)

15.- ¿Qué le recomendarías a los jóvenes que quieren empezar en este mundo del hacking y el research?

Esforzarse al máximo, estudiar y experimentar sin rendirse, si es algo que realmente le gusta a uno, hay que seguir hasta conseguirlo. En un principio siempre es difícil pero con esfuerzo y perseverancia todo se puede lograr. Tratar de construir herramientas propias o aprender cómo funcionan las herramientas y no "sólo usarlas" ayuda a aprender. Hoy en dia con Internet es muy fácil acceder a un montón de material para aprender sólo hay que saber filtrar lo que no sirve. Básicamente la receta mágica es esfuerzo, dedicación y perseverancia.

16.-  ¿Cuándo te vamos a ver otra vez en España otra vez en una RootedCON o NoCONname?

Me encantaría ir pronto, me gusto mucho España la vez que fui. Lamentablemente Europa queda muy lejos de aquí y no es fácil organizar los viajes, viajar con la familia, etc... Espero el año que viene poder ira alguna de esas conferencias si es que me invitan :).

17.- ¿En qué estas trabajando mismo?

En lo ultimo que he trabajado es en lo que presente en Ekoparty y H2HCque es cómo sacar pequeños datos de la mayoria de los sitios web los cuales luego se pueden juntar y obtener valiosa información. Ahora estoy terminando de investigar un par de trucos para explotar localmente vulnerabilidades de kernel en Windows, lo cual estaré presentando en Infiltrate 2012 y tal vez luego en otras conferencias.

18.- ¿Qué tres libros recomendarías leer sí o sí?

No soy de leer libros de hacking y seguridad, es mas creo que no heleído completo ningún libro de esos :). Leo sí, papers y presentacionesde hacking y seguridad.

Los libros que recomendaria son "Funky Business", "Padre Rico, PadrePobre" y "Curso de Iniciacion Logosofica". No son nada que verlos libros entre sí, ni con seguridad ni hacking pero abarcan distintos aspectos muy interesantes.

19.- A ver, explícame porqué 9 de cada 10 frases en Argentina tienen que ver con el sexo. ¿Por qué suenan mal cosas como "vamos a coger unos perritos calientes", "me la pone para regalo" o "cuando acabes avísame"?

Jajaja, es que Uds. los españoles justo vienen a usar normalmente palabras que en América Latina en general se usan para cosas referidas al sexo. Como recomendación cuando vengan para América Latina no usen la palabra coger digan agarrar :)

20.- Y la última.. Hasta Kevin Mitnik usa la FOCA… ¿La usas tu? (Nota: en función de la respuesta te envío una FOCA PRO 3 o no)...

:) Sí, la he usado y me ha sido muy útil. Recuerdo que en un pentest, usando los nombres de usuarios extraídos con la FOCA, se armó una lista y se pudo acceder por ataque de diccionario a un par de cuentas de un sitio.

domingo, noviembre 27, 2011

Back To Mad

He tenido la suerte de viajar mucho, y de haber podido hacerlo más si me hubiera decidido a ello. Es precioso, bonito, reconfortante, pero también lo es volver a casa. Cuando estoy de vuelta a Madrid suelo utilizar el mensaje de Back to Mad para indicarlo, ya sea en privado o en público, y representa eso mismo, que estoy de vuelta al lugar donde nací, donde vivo y donde un día moriré.


A la hora a la que se publica este post estaré volando, Back to Mad, para llegar a la ciudad donde regresa siempre el fugitivo. Siempre que esto es así, siempre que voy viendo la ciudad crecer desde la ventanilla del avión, me acuerdo de Joaquín Sabina y sus canciones en las que tan crudamente la describe.


Si no has venido a conocer Madrid, ya estás tardando.


Saludos Malignos!

sábado, noviembre 26, 2011

Brad Smith (TheNurse) hospitalizado

Recuerdo que hace un par de años, volviendo de haber dado aquella presentación en BlackHat en la que presentamos la FOCA, hablaba con José Parada sobre mi experiencia.

Y le comentaba que la charla había sido lo de menos. Lo que me había alucinado era la gente, poder compartir unos días con aquellos tipos que tan pronto me vieron me metieron en su grupo y que eran, a la vez, tan amigos y tan... cabroncetes entre ellos.

Pero, además de los hispanohablantes, hubo un tipo que me cayó genial. Alguien de la organización, con su camiseta de "Digital Self-Defense" y su apodo a la espalda. "TheNurse". Estábamos Chema y yo en la puerta de entrada a una de los salones cuando se nos acercó y se puso a hablar con nosotros. Lo que comenzó con unas cuantas recomendaciones sobre qué presentaciones le parecían más interesantes terminó derivando a Windows Vista y las razones por las que la gente se compra ordenadores que son una birria pero que, eso sí, tienen un montón de Gigas de RAM, pasando por un repaso a OpenOffice.

Ya entrado en años, pero con una mirada joven e inquieta. Sonriendo a cada instante. Y activo como una ardilla. Fue él quien nos hizo la introducción el día de la charla.

Hace unos días saqué tiempo para oir uno de tantos podcasts que tengo atrasados. Uno de "Infosec Dayly Podcast", creo. Y comenzaron a hablar de un experto en seguridad, Brad Smith, que había sufrido un "stroke" (creo que la mejor traducción sería un derrame cerebral) durante una presentación y que estaba en coma. Poco después Cuando mencionaron su nickname, TheNurse.

Confieso que, para haber coincidido con él en sólo dos ocasiones, la noticia me afectó. Y me puse a informame sobre el tema y encontré dos páginas de social-engineering.org.

La primera informa acerca del estado de TheNurse. Parece que últimamente está comenzando a reaccionar a las palabras de su mujer. Que le sonríe y que le hace señales. De vez en cuando voy echándole un vistazo y, dentro de lo grave de la situación, las palabras transmiten ilusión y esperanza. Algo difícil de encontrar hoy en día. Si alguien tiene interés en saber más y en ponerse al día, es:

http://www.social-engineer.org/brad-smith-updates/

Y la segunda pertenece a una campaña para recolectar donaciones para ayudar a la familia con los gastos de hospitalización, alojamiento de la esposa y demás que van surgiendo. Fue algo que no pidió la familia, sino que se organizó en la comunidad del mundillo de la seguridad. Ya se sabe cómo es el tema de los cuidados médicos en Estados Unidos, de donde es él:

 http://www.social-engineer.org/bradsmithdonation/

También han abierto una página de donaciones en Facebook. Seguro que hay alguien ahí que le conoce. O que ha oído hablar de él. Alguien a quien le interese o quien, de uno u otro modo, pueda ayudar. O que, al menos, se vaya alegrando de la evolución de su salud.

Enrique Rando

viernes, noviembre 25, 2011

Hacking Remote Apps: Jailbreaking con Excel (III de IV)

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************

Si no has sido capaz de imaginar cuál iba a ser el cambio que se ha producido en la alerta de seguridad referente a la macro auto-firmada tras haber instalado la CA de nuestra entidad certificadora es que has visto pocas demos de hacking. Si has pensado en que esa alerta iba a cambiar, entonces la respuesta es sí, una vez instalada la CA el cuadro de diálogo del warning muta, permitiendo habilitar el contenido de las macros VBA documento Excel, o lo que es lo mismo, ejecutar los comandos en el sistema.

Figura 11: La alerta cambia y permite habilitar el contenido y confiar en el publicador

Lo más curioso es que al ser una instalación a nivel de usuario se puede confiar en todos los certificados emitidos por esta CA. ¿Y esto para qué puede ser utilizado?

Comenzando la III guerra mundial

Una de las cosas curiosas de los certificados emitidos por una entidad certificadora es la de poder elegir diferentes CRLs, es decir, la ubicación de la Lista de Certificados Revocados, y que se usará para comprobar si una certificado en concreto sigue siendo válido o la Entidad que lo emitió ha decidido bloquearlo.

Figura 12: CRL en certificado digital

Esta CRL permite rutas en formato LDAP, como vimos en el artículo de "Cotillear la estructura PKI del Department Of Defense Americano", pero también en formato Http, lo que puede ser utilizado para realizar un ataque similar al de "Buscadores como arma de destrucción masiva". Es decir, se puede enviar un documento con una macro firmado por la falsa CA instalada, con un certificado con una CRL como la de esta imagen.

Figura 13: CRL Con SQL Injection

Esto hará que nada más abrir el documento se haga un GET a la URL de la CRL, lanzándose el ataque de SQL Injection que se ha dejado cargado como una bomba de relojería al confiar en la CA que los emite.

Figura 14: La CA más falsa que judas instalada en el perfil de usuario

¿Tiene esto sentido si la CA se ha instalado a nivel de usuario? Pues tendrá sentido en aquellos entornos en los que se utiliza un pool de usuarios para ejecutar las aplicaciones, y estos usuarios son compartidos por todas las conexiones a aplicaciones que se ejecuten, como sucede en muchos entornos Citrix.

Política 4: No macros

Viendo el éxito de las políticas anteriores nos queda la salida de la última opción, la de bloquear las macros en Excel. Esta opción no permite ningún warning ni ninguna supuesta excepción posible a la hora de ejecutar los documentos, lo que la hace aparentemente la más segura, a la par que la que más tonto dejaría a Excel, ya que le quitaría la potencia de VBA sin excepciones.

Figura 15: Warning que avisa de que las macros han sido deshabilitadas

Sin embargo, mientras que no se haya aplicado la "castración química" del paquete de Microsoft Office mediante la aplicación de la política de Disable VBA in Office Aplications citada en la primera parte de este artículo, va a existir una forma de saltarse esta restricción y volver a ejecutar las tan ansiadas macros VBA en Excel que le vuelvan a convertir en una poderosa herramienta.

¿Cómo? Pues tendrás que esperar a la última parte de este artículo.

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
**************************************************************************************************

jueves, noviembre 24, 2011

Seminarios Online de la FOCA 3 PRO en Diciembre

Como ya tenemos peticiones acumuladas, hemos programado dos nuevas fechas para los seminarios de la FOCA 3 PRO durante el mes de Diciembre.


Serán los días 14 y 15 (en Español e inglés). Estos seminarios se hacen por Internet, tienen 1 hora de duración, y se centran en las opciones de la FOCA 3 en su versión PRO. Todos los asistentes recibirán una copia de la herramienta, y el que lo impartirá seré yo.

Gracias a Seguridad a lo jabalí por la reseña

Así que nada, si quieres ser malo, maligno y aprender a usar las funciones más killers de la FOCA 3 PRO, ya puedes reservar tu plaza.

Saludos Malignos!

PD: Aprovecho para recordaros que hoy jueves hay un Webcast gratuito de mi compañero Joshua Sáenz Guijarro sobre Análisis Forense del Correo Electrónico en Exchange, que dará apertura a la semana de Hands On Lab que impartirá esta semana que viene en Madrid sobre Exchange Server (Calendario aquí).

miércoles, noviembre 23, 2011

Hacker & Cómico

No es la primera vez que me dicen que si soy un actor o un cómico que se aprende los chistes en lugar de ser informático. Tanto es así, que ya creé una tira de No Lusers en el que explicaba que sí, que es verdad, que lo mío es todo aprendido de memoria, como un monólogo. Pero... qué le vamos a hacer, "asín" es la vida.

Os dejo aquí las charlas que di en Creo en Internet, Internet es tuyo y La Red Innova, donde tenéis algunas de esas charlas generalistas de seguridad con las que me gano esa "¿mala?" fama... }:P




.



Saludos Malignos!

martes, noviembre 22, 2011

El parche del bug de Reverse Proxy en Apache 2.2.22-dev

El proyecto Apache Web Server publicó la versión 2.2.1 a mediados de septiembre, arreglando un problema que podía permitir un ataque de Denegación de Servicio. De hecho, los parches de seguridad de la últimas versiones de Apache que provocaron la actualización de una versión de la rama habían sido referentes a este de vulnerabilidades D.O.S. Puedes consultar la lista de vulnerabilidades de la rama 2.2 en la web del proyecto.

Sin embargo, hay una versión Apache httpd 2.2.2-dev que soluciona un bug bastante curioso con el módulo de Reverse Proxy CVE-2011-3368, que puede permitir algo totalmente distinto: exponer servidores internos de la organización que no están publicados a Internet. El bug en concreto está muy bien explicado en el blog de Context, y viene a ser como sigue.

La idea es que la regla que viene por defecto para la publicación de servidores externos a través de un servicio de mod_proxy es tal que:
RewriteRule ^(.*) http://internalserver:80$1 [P]
Aparentemente es una regla normal en la que se está re-escribiendo una petición HTTP a la IP externa o al hostname externo a una petición al servidor interno publicado, en este caso internalserver. Hasta ahí todo parece que va bien.

Sin embargo, la vulnerabilidad radica en que el estándar de URLs permite escribir una petición HTTP con un usuario, password, hostname, puerto y path, tal y como se ve en la imagen siguiente.


Conocido esto, al atacante le bastaría con enviar al hostname de la web una ruta que empezara por @ y que tuviera la ruta interna del servidor, es decir, algo como @otro_servidor_interno:80/ruta De esta forma, internalserver:80 se convertirían en el usuario y password de una ruta que quedaría como:
http://internalserver:80@otro_servidor_internto:80/ruta
Permitiendo por tanto acceder a los servidores internos que no pidan usuario y password. La solución en el parche ha sido tan sencilla como añadir un slash a la regla de rewrite:
RewriteRule ^(.*) http://internalserver:80/$1 [P]
Por supuesto, esta vulnerabilidad, como en su día fue la de CSPP que permitía conectarse a BBDD internas hacen que la información de la red interna que obtenga un atacante ya sea mediante FOCA, haciendo uso de transferencias de zonas DNS, escaneos PTR o búsqueda de servidores temáticos con Robtex pueda ser peligrosa, tal vez no ahora, pero sí en el futuro. Y, si no, utilizando técnicas de fuzzing usando el exploit publicado en exploit-db.

Descubrir servidores con mod_proxy usando FOCA 3

Una de las formas que hay en FOCA 3 de descubrir servidores que pueden tener activo el módulo de reverse proxy se puede ver gráficamente, cuando el fingerprinting de los hostnames de una IP devuelve diferentes versiones de servidores web, y el fingerprinting de la dirección IP devuelve Apache menor que 2.2.22-dev tal vez sea un buen sitio para probar.

Saludos Malignos!

lunes, noviembre 21, 2011

Hacking Remote Apps: Jailbreaking con Excel (II de IV)

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************

Tal y como se vio en la primera parte, los documentos Excel se pueden convertir en grandes aliados en máquinas cuando hay acceso local, y eso es lo que se tiene cuando se ejecuta en un entorno con Terminal Services o Citrix. Es por eso que revisar las políticas de seguridad de Excel con respecto a la ejecución de macros se convierte en algo obligatorio.

Políticas de Excel respecto a macros VBA

Un usuario puede configurar la seguridad de su aplicación Excel mediante las opciones del Trust Center (Centro de Confianza) del producto. No obstante, en un entorno administrado, estas opciones se pueden establecer mediante el uso de políticas GPO distribuidas desde el Active Directory, o bien en un entorno Stand Alone del servidor, con el Editor de Políticas.

Para configurar correctamente las políticas referidas a todo el paquete Microsoft Office, se proveen unas plantillas donde aparecen todas las opciones configurables del producto y, por supuesto, las opciones de seguridad de las macros están allí, en la clave de la ruta: Microsoft Office Excel 2007 / Excel Options / Security Trust Center / VBA Macro Warning Settings

Figura 5: Ruta de Política de seguridad con macros VBA

Esa ruta es análoga en Microsoft Office 2010 y, como se puede ver en la imagen, solo está disponible para versiones de Windows Vista o Windows 7.

Una cosa que ya se puede ver es que no es una opción de seguridad como tal, sino que el propio nombre de la clave habla de "Warnings", lo que deja entrever que nunca se pensó en el propio usuario de Excel como un enemigo, sino que el documento que pudiera abrir el usuario fuera el enemigo. Es decir, que las políticas de seguridad de Excel están considerando al usuario del programa como un aliado, y en este entorno no va a ser así, lo que hará que las políticas no sean suficientes para proteger al servidor Terminal Services o Citrix de un uso inapropiado.

Política 1: Ejecutar todas las macros en todos los documentos

Esta opción se considera insegura en las opciones de las macros, y desde el punto de vista nuestro, es decir, en un entorno donde un usuario armado con un Excel lleno de comandos quiere ejecutar instrucciones en el servidor Citrix o Terminal Services, así lo será. Es decir, si está configurada esta opción, entonces se conseguirá la ejecución en el sistema.

Política 2: Case by case

Esta es la configuración por defecto de la seguridad de macros VBA en Excel, con esta opción, el usuario recibirá un warning avisándole de la existencia de macros dentro del documento y de que la ejecución de las mismas podría ser nociva para el sistema. Obviamente, en este entorno, el atacante solo necesita "confiar" en las macros de su documento Excel para poder ejecutar los comandos en el sistema.

Figura 6: El usuario puede activar el contenido

Política 3: Sólo macros firmadas digitalmente de confianza

Esta podría ser una buena candidata a ser la opción de seguridad de muchos entornos. Con esta opción, cuando un documento lleve macros sin firmar por una entidad de confianza del sistema, no se podrán ejecutar y aparecerá un mensaje avisando de este problema.

Una de primeras aproximaciones que seguro que todos habéis podido pensar es la de utilizar macros firmadas con un certificado self signed, y no vais desencaminados, solo que cuando se hace esto, como se puede ver en la imagen siguiente, no hay opción de poder habilitar el contenido en el cuadro de diálogo de alerta, luego parece más o menos seguro.

Figura 7: Warning obtenido con un documento Excel con macros VBA auto-firmadas

La pregunta es, ¿se podrá saltar esta restricción? Pues sí, y no es tan complicado como pueda parecer en un principio. Al final, el problema es otra vez, algo de Playing the piano. En la imagen se puede ver que hay un enlace que pone "Show Signature Details", así que hay que hacer clic en él y seguir la ruta hasta poder visualizar el certificado digital de la CA auto-firmada que se ha utilizado para firmar las macros VBA. En nuestro caso Defcon19.

Figura 8: CA usada para firmar las macros VBA

Una vez allí, el truco es instalar la CA nuestra como una Entidad Raíz de Confianza, con lo que una vez que estemos viendo el certificado de la CA haremos clic en Install Certificate.

Figura 9: Instalación del CA en contenedor de usuario

Para ello, deberemos utilizar el asistente de instalación, que es a nivel de usuario, es decir, no se necesita ser administrador y, podremos ponerla en el contenedor de las CA Raíz de confianza.

Figura 10: Instalación como CA Raíz de Confianza

Una vez hecho esto... ¿qué sucederá con el warning de seguridad de macros? Lo vemos en la siguiente parte.

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
**************************************************************************************************

domingo, noviembre 20, 2011

No Lusers 113 - Trilogía sólo hay una


En Avatar se creo el lenguaje de los Na'vi, del que hay hasta diccionario. En el Señor de los Anillos Tolkein creó todo un mundo, con su propio idioma para cada especie, pero sólo en Star Wars, Chewacca es capaz de decirle a Han Solo: "Nos ataca un escuadrón de Tie Fighters a las 6" con un gruñido. ....Y Han Solo lo entiende. Chúpate esa. Así, en el libro de La Guerra de las Galaxias, disfrutas toda la acción del tirón y acabas convertido, como yo, en un Star Wars Fanboy.

Saludos Malignos... y que la fuerza te acompañe!

sábado, noviembre 19, 2011

No Lusers 112 - El origen del doctor Octopus


Aún recuerdo cuando cayó en mis manos mi primer comic de superheroes. Mis padres habían decido que la lectura era fundamental para la educación de mi hermano y mía, y decidieron empujarla a edad temprana por medio de algún cómic. Este cómic en cuestión, el que recuerdo como el primero de superhéroes, lo compró mi madre un día que no teníamos colegio, ella tenía que trabajar, y no podía dejarnos con nadie. Así que nos metió en el autobús en Móstoles y llegamos a lo que hoy en día es Principe Pío, pero que aquel entonces recuerdo que se llamaba comúnmente Norte, por la estación de tren, y en un quiosco que aún sigue allí nos compró unos tebeos.

Hasta el momento nos había comprado siempre de Mortadelo y Filemón, Zipi y Zape o similares, que habíamos devorado sistemáticamente. Los Reyes Magos siempre se acordaban de traernos tomos de Super Humor - entonces los renos de Papa Noel no llegaban con facilidad a España y a veces se perdían en el camino - pero nunca de superhéroes. Hasta ese día que pusieron en mis manos el número 13 de Secret Wars II, dibujado por un canadiense llamado John Byrne. Para más adicción posible, el segundo comic que tuve fue el famoso Patrulla X Número 28 con Fenix Oscura...

Secret Wars II
¿Quiénes son estos? ¿Quién es este tipo que tiene garras? ¿Y este que es de acero? Mira, aquí hay uno que vuela como con fuego y es invulnerable y un capitán con un escudo que se lanza como si fuera un boomerang... guau!!  No sabía que estaba tomando una droga que me iba a durar años y años.

Yo, como muchos, fantaseaba con tener la fuerza de voluntad de Matt Murdock para domar mi cuerpo y mis habilidades, o el intelecto de Reed Richards para crear los más extraños aparatos computerizados inter-dimensionales para la manipulación de los rayos cósmicos en zona negativa, o ser un tipo normal y anodino pero con una agilidad arácnida con la capacidad de saltar por los edificios esos tan altos que había en los USA. Por supuesto, también quería poder machacar a los matones del colegio con un esqueleto de adamantium y unas garras retráctiles y, por qué no, hacerles sufrir lo mismo con la perseverancia y dureza de Frank Castle

En aquellos comienzos tempranos de mi vida había una constante... ¿cómo habrá conseguido los poderes? ¿Y los malos? ¿Cómo consiguió Juggernaut esa fuerza? ¿Y como consiguió el Doctor Doom ser el rey de Latveria? ¿Y Galactus... quién es? ¿Y de donde habrá sacado Silver Surfer una tabla para surcar los espacios? Yo quería ser todos, Namor y volar con unas alitas en los pies, y unas agallas, para salir del agua en New York y reclamar el fin de la contaminación de los mares, o tener brazos retráctiles como Octopus para poder saltar por lo edificios. ¿Por qué se hicieron malos? ¿Nacieron siendo villanos, o había una causa justificada que reclamaba su venganza?

Conocer todo aquello hacia que discutiera y comentara horas y horas con los amigos de la infancia, que releyéramos partes de tebeos bajados en comunidad para intentar inferir lo que el Profesor Loki decía en un correo....¡que él leía los comic americanos, y había cientos de ellos no publicados en España!

Tiempo después, como esto no nos pasaba sólo a nosotros, Comics Forum decidió sacar una colección llamada Orígenes, que estaba compuesta por los primeros números USA de Spiderman, de los 4F, de los X-Men, etc... para poder satisfacer las ansias de los fans, pero muchos se quedaron fuera.

En el caso del Dr. Octopus, ha habido varias revisiones de su origen, pero ésta bien podía haber sido una de ellas. En la que un joven cerebro con ganas de investigar y cambiar el mundo con revolucionarios inventos fuera condenado a investigar en España, con los recursos y los medios que tienen los investigadores hoy en día aquí, ¿no?.

Saludos Malignos!

viernes, noviembre 18, 2011

"Anonymous" hackea la web de UPyD

Parece que están coleccionando las webs de partidos políticos. Después del PSOE, PP y CIU, ahora le toca el turno a UPyD. }:O


El hackeo está aún online aquí.

Saludos Malignos!

Generación de contraseñas robustas para tu vida

El volumen de contraseñas que tenemos que recordar hoy en día es alto. Demasiados servicios online con demasiadas passwords, por lo que hay que intentar tener un sistema que no nos quite la vida en procesos de recuperar contraseñas o que nos lleve a meter passwords sencillas.

Al final, bajo mi opinión, las alternativas más efectivas son usar software de almacenamiento de passwords cifrado con claves maestras, que permiten usar passwords que nos la recordarías después de una cerveza, como 1password - ya hay malware que busca estas bases de datos -, o que además permitan sincronización con el terminal móvil para que sea más fácil la vida, como hace KeePass. Si no, te jodes, y haces memoria de contraseñas complejas no repetidas.

Damián Ienco propone crear una especie de Single-Sing On recordable con un método que el llama "deThi4-go" que puede resumirse en hacer una password difícil de crackear, usando letas, números y caracteres de puntuación - usando lenguaje 1337 incluso - y unir algún recordatorio del servicio para el que es la password.

A mí me recuerda mucho al sistema de Dan Kaminsky de fuck.gmail, fuck.facebook, pero elaborando más el famoso "fuck.".por lo que le sigo viendo problemas a usar passwords que no tienen demasiada dispersión, o que se puede reconocer que hay un método en su generación para varios servicios, cuya seguridad sea radicalmente opuesta. Es decir, poner una password en el servicio A que tiene una seguridad de mierda y va a acabar en pastebin con probabilidad, que tenga alguna relación con una password de un servicio B que tiene mayor seguridad y tiene datos míos importantes lo veo erróneo. Yo no veo un sistema de Single Sing-On si no es con un único punto de autenticación hiper-mega robusto, y a ser posible con varios factores de autenticación y elementos físicos, pero es cierto que para los servicios online las cosas están como están.

Sin embargo es cierto que hay que buscar alternativas, y que para algunos servicios de igual seguridad todos tenemos algún truco personal. Le he pedido que haga un resumen para que lo veáis vosotros y le deis vuestras opiniones.

Saludos Malignos!

Método de Creación de Contraseñas Robustas "deThi4-go"
por Damián Ienco

Esta forma de crear contraseñas robustas, el método “deThi4-go”- un Single Sign-ON + el FACTOR “deThi4-go”, es recomendable de implementar cuando tenemos que recordar muchas de ellas (se supone que una persona común no tiene menos de 8 (ocho) contraseñas). No obstante, no hay reparo en que se utilicen para uno, dos o pocos sitios o equipos en los cuales tengamos que autentificarnos con una password.

Dependiendo del rebuscamiento al momento de crear o modificar la contraseña, el método ''deThi4-go", clasifica de la siguiente manera sus distintos niveles de realización: deThia4-go simple, deThia4-go variable, deThia4-go variable compleja y deThia4-go super variable compleja. En todos los casos, la longitud mínima de la password será de 10 (diez) caracteres.

deThia4-go simple: La formación de este tipo de contraseñas se basa en que la misma debe tener al menos la siguiente estructura:

Nota: Primero mostraremos el ejemplo y luego se explicará su desarrollo para un mejor entendimiento. Password: batman71@+. En donde:

** 1er paso: una palabra que puede ser conocida. Aquí "batman"
** 2do paso: una cifra. Aquí "71"
** 3er paso: un símbolo. Aquí "@"
** 4to paso: un símbolo del teclado numérico. Aquí "+"
*** Con todos estos pasos realizados, nos faltaría agregar el 5to y último, que denominamos “FACTOR deThi4-go”.

Ahora -siguiendo el ejemplo- ya cree mi “Single Sign On” denominado en este caso batman71@+.

Luego –en este caso-, voy a crear la password para mi correo electrónico de Gmail, utilizando el “método deThia4-go” + el “FACTOR deThi4-go”; siendo en este caso el '''FACTOR deThi4-go''' la inicial de Gmail = g. Finalmente la password: batman71@+g

Siguiendo con este método, tendremos, por ejemplo:

Para mi cuenta Wikipedia: batman71@+w
Para mi cuenta Yahoo: batman71@+y
Para mi cuenta Hotmail: batman71@+h
Para mi cuenta Twitter: batman71@+t
Para mi cuenta Facebook: batman71@+f
Para mi cuenta Skype: batman71@+s
Para mi cuenta home banking: batman71@+hb -por ser dos palabras el servicio original de referencia-.
Para mi notebook: batman71@+n
Para mi iPad: batman71@+i
Para mi AP (Access Point): batman71@+ap

Podemos definir entonces al “FACTOR deThi4-go”, como el caracter - ya sea una letra, un número o un símbolo -, o el conjunto de caracteres, que me diferenciara en los distintos accesos de passwords a los diferentes sistemas, aplicaciones, correos electrónicos, foros, blogs, banca on line, dispositivos, teléfonos inteligentes, routers, etc., etc., etc., que necesite una contraseña para ser accedido.

deThia4-go variable: La formación de esta variante indica que, respetando los cinco primeros pasos necesarios para la creación de la contraseña; el 6to paso hará que deje establecido en el final el '''FACTOR deThi4-go''', pero cambie el orden de formación de la password. Ej.: Password “71batman@+g”, “batman@+71g”, “71@batman+g”' o “+batman@71g”, etc.

deThia4-go variable compleja: De similar estructura, la única variación que incorporamos aquí, es que - el 1er paso: una palabra que puede ser conocida-, se forma con una combinación de las distintas técnicas de creación de password conocidas (acrónimos, reemplazos, etc.), aplicándose por ejemplo entonces:

'''verpersos''' perteneciente a combinar “Verón, Perez, Sosa” - grandes jugadores de fútbol.
'''volvalfutu''' perteneciente a combinar “volver al futuro” - gran película de cine.
'''elmedeve''' perteneciente a combinar “El mercader de Venecia” - gran libro de Shakespeare.

Para formar una password “deThia4-go variable compleja”, solo reemplazaremos en el 1er paso: una palabra que puede ser conocida., aquí "verpersos" por “batman” con en los casos anteriores. Así tenemos: Password: “verpersos@71+g”, “@verpersos71+g”, “g@verpersos71+”, etc.

deThia4-go super variable compleja: De similar estructura de construcción que '''deThia4-go variable compleja'''. Aquí en el 1er paso: una palabra que puede ser conocida, como ejemplo "batman", se deben reemplazar letras por números o símbolos, de acuerdo a como queramos o nos resulte más sencillo reemplazar y recordar las letras que hemos reemplazado en la palabra original.

Entonces para BATMAN = B4tm4n; batman = 8a7man; telefonito = t3l3f0n1t0; bolsillo = {0(5!((0, contenedor = c*nt3n3d*r y más. Para el siguiente ejemplo vamos a reemplazar en la clave verpersos por "v3rp3rs0s" Empezando a utilizar variables de contraseñas con esta metodología podríamos obtener como ejemplo: Password: “v3rp3rs0ss@71+g”, “@v3rp3rs0s71+g”, “g@v3rp3rs0s71+”, “g+@v3rp3rs0s71”, “71v3rp3rs0sg+@” y más.

Resumen de los 4 métodos deThia4-go: para una cuenta de usuario de Gmail, con los cuatro métodos vistos:

-> deThia4-go simple = Password: batman71@+
-> deThia4-go variable = Password: 71batman@+g
-> deThia4-go variable compleja = Password: g@verpersos71+
-> deThia4-go super variable compleja = Password: v3rp3rs0ss@71+g

Ejemplos AVANZADOS y VARIABLES aplicados al método deThia4-go: Después de cierto tiempo y práctica de haber realizado contraseñas aplicando cualquiera de las cuatro variaciones, estaremos en condiciones de agregar más caracteres en algunos, todos o uno de los pasos que conforman la contraseña, principalmente y sobretodo fácilmente en el “FACTOR deThi4-go”.

Así, el “FACTOR deThi4-go”, para la contraseña de Wikipedia que inicialmente era la letra “w” por ser la inicial podría complejizarse de las siguientes maneras:

Con deThia4-go simple Avanzada y Variable de Wikipedia podría ser:

Wikipedia tomando las letras Wikipedia nos queda -> batman71@+wpd
Wikipedia tomando las letras Wikipedia nos queda -> batman71@+wka
Wikipedia tomando las letras Wikipedia nos queda -> batman71@+wkpa
Podríamos tomar la inicial y solo las vocales -> batman71@+wiieia
Podríamos tomar la inicial y solo las consonantes -> batman71@+wkpd

Ejemplo de una password para una cuenta de usuario Wikipedia, con los cuatro métodos vistos + AVANZADOS y VARIABLES.

-> deThia4-go simple = Password: batman71@+wkpd
-> deThia4-go variable = Password: 71batman@+ wkpd
-> deThia4-go variable compleja = Password: wkpd @verpersos71+
-> deThia4-go super variable compleja = Password: v3rp3rs0ss@71+ wkpd

Si aún deseamos, podemos hacer más compleja la password, agregando una cifra de más números en el “paso 2”. Por ejemplo: mi número de documento 32.273.218, agregándole 2 números más a cada cifra para no delatarme: 54495430. Tenemos ejemplos como Passwords:

batman54495430@+wkpd o 54495430batman@+wkpd o wkpd@verpersos54495430+ o v3rp3rs0ss@54495430+wkpd.

miércoles, noviembre 16, 2011

25 años de Virus: Defendiendo Internet

Gracias a un twitt de Gonzalo Álvarez Marañón @ArtePresentar pude ver este vídeo de algo más de 15 minutos de una presentación TED, donde, de manera muy profesional y dramática se hace un breve recorrido al mundo de los virus y el malware desde Brain a Stuxnet, parándose puntualmente en el mundo del Fraude en Internet.


Desde que he leído el libro de Fraude Online de Mikel Gastesi (mgastesi) y Dani Creus, estas cosas me interesan más, ya que, aunque procuro estar al día, las mafias se adaptan a las nuevas tecnologías - como podemos vera a diario con nuevos troyanos de bitcoins para Mac OS X, malware para los nuevos servicios online que van apareciendo, o a adaptados a las nuevas formas de conexión, para atacar a dispositivos móviles como Android o iPhone - y me sorprendió ver, como decía Alejandro Ramos (@aramosf) en la introducción de la reseña que hizo del libro, que había muchas cosas que desconocía. Es normal, no estoy al pie del cañón en el e-crime.

Aunque esta presentación de Mikko Hypponen no está orientada a técnicos, sí que trata de transmitir algo que ya desde hace años se sabe con respecto al malware: Esto no es un juego de niños. Y además lo hace de forma muy amena, con lo que merece la pena pararse esos minutitos y verla, que volver a ver los virus de MS-DOS no tiene precio.

Saludos Malignos!

Defacement de "anonymous" a la web del PP de Cataluña



Aún está activo... 

Ya no está activo, y en la URL se puede ver el mensaje de error 404


Saludos Malignos!

Buscando servidores temáticos con Robtex

Una de las cosas que añadimos tiempo ha a nuestra querida FOCA es la de clasificar los servidores descubiertos por roles, es decir, tener un nodo que permitiera ver los servidores HTTP, otra que permitiera ver los servidores VPN, etc... Hasta el momento, utilizamos diferentes reglas para asignar los roles - algunas tan evidentes que nos hacen sentir orgullosos -.

El caso es que, una de las cosas en las que estamos trabajando es la de asignar roles en función del rol, haciendo una predicción. Es decir, si el servidor se llama ldap.dominio.com, vamos a suponer que es un servidor ldap [- APPLAUSE! -], o que si se llama ftp.dominio.com es probable que sea un... vale, creo que lo habéis pillado.

El caso es que esta idea de poner a los servidores nombres temáticos es de muy ingeniero, y tiene una vertiente de seguridad bastante curiosa. Amén de que sea fácil de predecir, y en la lista que usa FOCA para hacer la búsqueda por diccionario es probable que aparezca, también hará que ese servidor se pueda convertir en una gacela herida ante los cazadores furtivos.

Imaginad por un instante que ha aparecido un 0day en un componente del software de PHPmyadmin y que un cazador furtivo decide que quiere probarlo a diestro, siniestro y tiniestro. Lo primero que hará es ponerse a dorkear como un ninja [Daaab!] y buscar en Google, Bing y lo que se ponga por delante.

Sin embargo, el problema que se puede encontrar es que muchos hayan configurado el fichero robots.txt correctamente, y lo que es peor, que las arañas le hayan hecho caso. Con lo que se puede perder mucho del campo que está conectado a Internet.

La cosa aún es peor cuando el bug es de un servidor LDAP, Terminal Services o Citrix... ¿cómo dorkear en esos momentos? Nada, las alternativas, como explica el libro de Hacking con Buscadores es utilizar como John Matherly manda Shodan... pero.. ¿y si el puerto no está indexado por Shodan?

Pues te queda una opción, buscar los servidores temáticos con Robtex, es decir, los servidores que su querido admin ha bautizado con el rol que tienen dentro de la organización. Así, una sencilla búsqueda en Robtex por ldap. y te salen unos mil y pico servidores llamados ldap., de los que es posible que puedas conectarte a alguno.

Figura 1: Servidores llamados ldap. descubiertos por Robtex

Lo mismo con los servidores de bases de datos MS SQL Server.

Figura 2: servidores mssql.

O los servidores VPN....

Figura 3: Servidores VPN.
o el citado PHPMyAdmin

Figura 4: Servidores llamados phpmyadmin.

Parece que va ser una muy buena idea eso de utilizar nombres que no identifiquen la carga software del servidor, por si aparece algún 0day en alguno de esos software, o por si hay algún APT malo maloso esperando el fallo. ¿Se te ocurre algún buen nombre que buscar?

Saludos Malignos!

Entradas populares