sábado, diciembre 31, 2011

Un resumen de 11 para despedir el 2011

Ya se acaba el año 2011, y si no pasa nada raro, éste será el post que cierre el contenido de El lado del mal en este periodo, tan mucho para todos nosotros. A pesar de lo difícil que ha sido el año, he de decir que para mí ha sido un tiempo lleno de experiencias chulas en las que he podido hacer muchas cosas.

En lo personal no me quejo, he vuelto a dibujar mis No Lusers, que llevaba un año y medio sin poder hacerlo, he viajado por muchos países donde me han tratado de maravilla, he hecho nuevos amigos por todo el mundo y me lo he pasado genial dando charlas y escribiendo en mi blog.

En lo profesional me siento muy orgulloso de mis compañeros ya que Informática 64 ha continuado sacando proyectos de los que me siento contento, como la edición de los libros - ya os diré la semana que viene cuáles son los más vendidos -, el lanzamiento de la FOCA 3, que se ha vendido MetaShield Protector a países en los que nunca hemos pisado, que hayamos lanzado nuevos servicios de seguridad informática para empresas, el haber tenido más trabajo en la parte de consultoría de sistemas implantando Windows 7, AD, System Center, Exchange, SharePoint o TMG por citar algunos de ellos, en un montón de CPDs, además no sólo hemos obtenido el reconocimiento de Gold Partnert en Microsoft, sino con la especialización en Seguridad Gold que tenemos pocas empresas en España, así como un largo etcétera. Es por eso que al 2012 le pedimos que para nosotros sea, al menos igual, que éste.

Así que, para dar ya carpetazo a este año, os voy a dejar tres listas de 11 posts, para que zanjéis vosotros también vuestras visitas a este blog. Son los 11 posts del 2011 más vistos del año, los 11 posts más vistos del blog, y los 11 posts seleccionados por mí para que disfrutes de su lectura.

Los 11 posts del 2011 más vistos:


Los 11 posts más vistos:


Los 11 posts que os selecciono yo:

- Spectra "The Band": Confesiones (o de cuándo nos poníamos las mallas para tocar)
- El e-PingPong (o mi dura vida contestando correos electrónicos) 
- No Lusers 76: Operación Swordfish (o porqué me saqué un twitter)
- Jaquers en el SIMO (o cómo nos robaban los libros de Informática 64)
- Un día cualquiera (a ver si algún día se cumple esto....)
- WikiLeaks: La nube es mía y tú no juegas (para los que piensan que Internet es de todos)
- Cagadas II (de cuando la Guardia Civil me detuvo con un hacha)
- Entiéndeme tú a mí en Vídeo (la obra de teatro en la que Chema Alonso es owneado por su computadora)

Y eso es todo, espero que lo paséis bien esta noche, y lo que es mejor, el resto del año.

Saludos Malignos!

viernes, diciembre 30, 2011

16 de Enero: Palencia. Para todos los públicos

En la Gira Up To Secure 2012 hay una ciudad en la que tenemos restricciones de tamaño más que en las demás, y es en la ciudad de Valladolid. Es por eso que nos cuesta más dar acceso a estudiantes de ciclos medios o módulos de Formación Profesional. Sin embargo, no es que yo no quiero hablar para vosotros ni mucho menos, por lo que hemos intentado hacer algo que os pueda permitir asistir.

Hace tiempo me comprometí con ir a dar una charla a Palencia, concretamente a la población de Villamuriel de Cerrato, exactamente el día 16 de Enero de 2012, para estar con un grupo de chavales de un centro de formación, totalmente alejados a día de hoy de CEOs, CTOs, o Pentesters. El objetivo era estar con un grupo de estudiantes con un futuro por delante que seguro que saca de ellos grandes informáticos.

Tras encontrarnos con que este año en la Gira Up To Secure 2011, concretamente en la sede de Valladolid, tuvimos un desbordamiento, y nos obligó a improvisar un sistema de conferencias en paralelo, y que este año la sala que tenemos tiene una restricción de tamaño mayor, decidí hablar con los responsables de la charla en Palencia para permitir invitar a todos los estudiantes y grupos de estudiantes de la zona que quieran asistir, y accedieron.

Así, han reservado el auditorio de la Casa de la Cultura de Villamuriel de Cerrato en Palencia para que podáis venir, y sólo debéis reservar vuestra plaza a través de un correo electrónico, tal y como explican en la web que han hecho para el evento.

Una vez más, sentimos que en algunas sedes de la Gira Up To Secure 2012 tengamos salas más pequeñas y nos obligue a restringir mucho el aforo - registraos cuanto antes que algunas sedes están cerca del aforo completo ya -. Os garantizo que yo hablo encantado para cualquiera escucharme, siempre que la condiciones lo permitan, que el verdadero placer es para mí. ¿Es verdad lo que he oído de que Palencia se come bien? }:))

Saludos Malignos!

jueves, diciembre 29, 2011

El árbol LDAP de mi DNIe y mi Pasaporte

Cuando publiqué tiempo ha el artículo de Cotilleando la infraestructura PKI del DOD (Departement Of Defense) Americano, realmente debería haberse llamado Cotilleando la infraestructura PKI de la Policia, pero preferí cambiarlo. ¿Por qué? Pues porque... pensé que era mejor avisar primero.

La idea es básicamente la misma, es decir, conectarse por https y ver los detalles del certificado para descubrir que en la información de la CRL aparecía una ruta LDAP a un servidor que aún puede verse, tal y como se observa en la imagen siguiente.

Figura 1: CRL de la Policia en LDAP

Por supuesto, ese servidor debe permitir la conexión de forma anónima para que se puedan comprobar los certificados revocados, así que LDAP Browser, como en el caso del LDAP de la NASA y para adelante.

Figura 2: Conexión al árbol LDAP de la Policía como anónimo

Me sorprendió, y a la vez no me sorprendió, encontrarme allí las claves públicas de las entidades que firman los certificados de los Passaportes españoles, los certificados de la FNMT y los DNI-e, pero viendo en el libro del DNIe: Tecnología y Usos cuál es la infraestructura de funcionamiento, es de pensar - o suponer - que será necesario que estén allí todas las claves para poder dar soporte a los servicios de la administración pública española.

Lo que ya me dejó totalmente desconcertado es encontrar un montón de Unidades Organizativas de pruebas. No sé encontrar que en el árbol LDAP de la Policía ponían cosas de prueba en el servidor de producción me descolocó un poco. Sin embargo, supongo que como a todos, lo que más me preocupó fue ver ese objeto llamado EntDirAdmin con un atributo userPassword con un hash en SHA1.

Figura 3: Unidades Organizativas de prueba y usuario con hash de password a la vista

Por supuesto, como podéis imaginaros miré a ver si estaba crackeado ya, y la sorpresa fue que sí, ya que ese hash no es más que la representación en SHA1 del valor Null, con lo que cualquiera podría conectarse al árbol LDAP con ese usuario y contraseña vacía y acceder a los privilegios que tuviera EntDirAdmin en el directorio... 

Avisé a la Policía en Septiembre de esta situación para que lo arreglaran si lo consideraban importante y las últimas veces el árbol LDAP ya no estaba disponible, así que he de suponer que habrán tomado alguna medida. Si tú tienes un árbol LDAP, tal vez te convenga utilizar OpenLDAP Baseline Security Analyzer para comprobar que estás tomando todas las medidas de protección necesarias al respecto.

Saludos Malignos!

miércoles, diciembre 28, 2011

Welcome U.S.A: "Envenenado" por la manzana

Como muchos de mi círculo de amigos más cercanos ya sabréis, hace tiempo que quería llevar mi vida de crápula a otros lugares del mundo. Así, tras rechazar las más que buenas invitaciones de Google y Microsoft para irme a desarrollar mi andadura profesional en las Americas, he decidido aceptar una que, al principio, me parecía la más insospechada: Apple.

El poder estar en el equipo de seguridad de Apple, e irme a comer a algún restaurante mexicano con Steve Wozniak me motiva mucho ahora más que antes. Las oportunidades de crecimiento en el area de seguridad de Apple son excitantes, ya que la compañía se ha dado cuenta de que queda mucho por hacer en este area si continua su incursión en el area empresarial.

Así, me voy a ver inmerso en el ASPID (Apple Security & Privacy of Information Department), un nuevo area que se va a ocupar de la seguridad cross-platform de todos los productos, y parece que yo voy a entrar en el area de Seguridad Web.

Todo se fraguó tras las primeras notificaciones que realizamos sobre fallos de seguridad a la compañía. Apple, tras no haberse tomado en serio la seguridad de la web había sufrido ataques que le habían llevado a distribuir malware en Agosto del 2010 y a principios de este mismo año en la operación Lizamoon, además de sufrir algún defacement, caer en una operación de anonymous y sufrir alguna intrusión en los foros, así que la empresa de la manzanita mordida parece que quiere que esto no vuelva a pasar.

Después, decidí avisarles del tema de la Viagra en su web de iTunes, y aunque tomaron medidas, aún es posible encontrar en Google resultados como estos, lo que parece ser que todavía no han sabido tomarle el punto a las técnicas SEO usadas por empresarios de moral relajada [Tienes un vídeo sobre esta temática del Asegur@IT Camp que impartí yo en pijama #eshacking]

Figura 1: Viagra en títulos de la web de itunes

Aún así, en el mes de Septiembre volvimos a avisarles desde el equipo de seguridad web de Informática 64 de que tenían algún .DS_Store perdido en la web, y algún que otro fallo de configuración que dio lugar a que nos volvieran a dar las gracias en su página de seguridad en Octubre de este año.

Figura 2: Bugs reportados y publicados en Octubre de este año por Informática 64

Tras todo esto, recibí un correo electrónico que me invitaba a un proceso de selección para el equipo de seguridad de Apple... y la oferta es suficientemente buena como para que a partir del 1 de Abril del 2012 - he pedido un poco de tiempo para hacer la mudanza con paciencia - comience mi andadura profesional en el Cupertino

A partir de ese momento, deberé cambiar mi labor profesional, y es más que probable que este blog cambie un poco la temática, centrándose en recomendaciones de seguridad en productos de mi próximo empleador. 

Saludos Malignos!

Actualización: El día 28 de Diciembre es el día de los Inocentes en España, y todo es verdad... menos que me voy a Apple, algo que no tiene porque ser mentira en el futuro, pero de momento nada de nada que me gusta mucho mi España y no sé si a ellos les encajaría alguien como yo.

martes, diciembre 27, 2011

Ghost in the Wires

Ghost in the Wires: ese es el título del libro que ha escrito Kevin Mitnick (@KevinMitnick) y en el que cuenta su vida y cómo llegó a convertirse en el hacker más buscado del mundo.

En él se puede leer la historia de un joven Kevin Mitnick comenzando en sus orígenes a falsificar los tickets del autobús, para lo cuál se iba a donde los lavaban para rebuscar en la basura en busca de tacos a medio terminar de billetes en blanco, así como toda la archi-famosa aventura de cómo fue perseguido por el FBI hasta que fue capturado, todo desde su punto de vista en primera persona, lo que le da mucho valor a la historia.

Después muchos conocéis la historia pública de su detención, condena, paso por prisión, la campaña de Free Kevin, y su vuelta al mundo de la seguridad informática profesional en su empresa Mitnicksecurity.com - sí, aquella a la que defacearon -. Así, en el libro también cuenta, en una introducción muy curiosa, como es el trabajo de pentesters, con una divertida historia en la que se disfraza de empleado de una empresa para llegar a la computadora del administrador con nocturnidad, alevosía, colando a un amigo por el techo para entrar en el despacho cerrado con llave, arrancar la máquina con un CD, aprovecharse de que no tiene el disco duro cifrado, meterle una R.A.T. y esperar a que se conecte a la red el día siguiente para acceder a toda la información.

Pero lo que realmente me ha encantado de lo que llevo leido del libro ha sido la página 3, ya que Kevin Mitnick, después de su paso por Madrid, decidió no solo regalarnos su compañía y sus famosas tarjetas de contacto, sino que prometió que nos enviaría unos libros, y así ha hecho. Y en la página 3 está una dedicatoria que él me ha hecho.

Seguro que mis amigos mitómanos de Cyberhades se mueren de envidia.

El prefacio del libro es también muy curioso, ya que está escrito por el propio Steve Wozniak, quién se cuenta entre los amigos de Kevin Mitnick, y en la que Wozniak confiesa que si no hubiera sido por Kevin, nunca hubiera animado a dar conferencias por el mundo. Small World.

Saludos Malignos!

lunes, diciembre 26, 2011

Hacking Remote Applications: Escaneando la red con Connection Strings en Excel (III de III)

**************************************************************************************************
- Escaneando la red con Connection Strings en Excel (III de III)
Autores: Juan Garrido "Silverhack" & Chema Alonso
**************************************************************************************************

Escaneo de puertos de servidores internos de la red

Uno de los trucos que utilizamos en la técnica de Connection String Parameter Pollution era el de mover el parametro Data Source de una cadena de conexión por los distintos puertos de un servidor para obtener distintos mensajes que nos permitiera detectar si allí había un puerto abierto TCP o no.

Ese mismo truco lo podemos aplicar desde Excel para descubrir las sorpresas de la DMZ. En este caso, en la cadena de conexión se puede ver que si intentamos conectarnos a un servidor por un puerto que está cerrado se va a obtener un mensaje de error que nos indica que hay un problema en la conexión.

Figura 11: Si abre el puerto 80000 le damos un premio

Si intentamos la conexión con un puerto de un servidor que lo tiene abierto, como en este ejemplo por el 80, pero en el que no se encuentra un servidor SQL Server, lo que obtenemos es un bonito mensaje que nos indica que allí no se encuentra el esperado servicio de bases de datos, pero que delata que está abierto.

Figura 12: El puerto 80 de este servidor

Así, con un poco de paciencia desde un Excel podríamos hacer un mapa completo de los servidores y puertos de la DMZ, y sin necesidad de usar VBA.

Navegando por la Intranet

La gracia es que si somos capaces de encontrar servidores internos que tengan servicios HTTP o FTP, seremos capaces de navegar por ellos usando el truco de "navegar sin navegador" que ya vimos anteriormente. Así, ya sea porque se puede consultar el Active Directory o simplemente escaneando las direcciones IP de la red, se descubren los servidores web internos.

Figura 13: Búsqueda de servidores IIS

Una vez descubiertos, solo tendríamos que ir a la opción de Abrir Archivo, y seleccionar esa URL, para navegar por la Intranet.

Figura 14: Navegando internamente por la Intranet

Ahora ya no solo podríamos escanear la DMZ, sino navegar por ella, y lo que es mejor, lanzar directamente los ataques SQLi desde el Excel o el Word que estemos usando en el servidor Terminal Services o Citrix. Incluso ver lo que hay en http://localhost/


Figura 15: Un IIS 7 en http://localhost/

Robar el hash del usuario de la conexión Citrix

Por supuesto, el último de los ataques es otro que también hacíamos en Connection String Pararameter Pollution: Dirigir el valor de Data Source hacia un servidor Rogue controlado por nosotros en el que activamos un sniffer para capturar los hashes de autenticación de la cuenta.

Esto nos permite saltar el problema de que el hash usado en la contraseñas de Citrix o RDP no pueda ser crackeado, ya que al hacer esta re-dirección obtendremos los hashes NTLM contra los que sí podremos lanzar ataques de diccionario o fuerza bruta.

Conclusiones

Las técnicas de ataque de las cadenas de conexión se pueden aplicar desde cualquier aplicativo que tenga un importador de datos y use los componentes estándar del sistema para conexiones ODBC, OLEDB, etc... hay que tener en cuenta que los drivers están cargados a nivel de sistema operativo, por lo que solo deberemos encontrar una aplicación que llame a estas librerías para poder hacer todas estas cosas.

**************************************************************************************************
- Escaneando la red con Connection Strings en Excel (III de III)
**************************************************************************************************

domingo, diciembre 25, 2011

El arte de la ilustrafocación


Para hoy domingo, día de Navidad y resaca - espero que no os pasarais demasiado anoche con la gamba, el vinito y el cubata de después -, os dejo esta preciosa ilustración realizada a mano y a lápiz en tamaño A3 que me ha enviado el gran Sorian como obsequio navideño y que mezcla No Lusers & superheroes, algo que veo que tenemos en común }:)) . ¡Qué arte tienes... me encanta!. Gracias por el regalo.

Saludos Malignos!

sábado, diciembre 24, 2011

Director's Cut: Felices Fiestas

Ya os he contado algunos años anteriores, que hay una más que frecuente costumbre entre mis compañeros de Informática 64 a censurar mis felicitaciones navideñas, como ya pasó con la felicitación del año pasado, la del 2009 y la del 2008. Parece ser que, sin que yo me dé cuenta de ello, tengo una rara afición por hacer mensajes NO-navideños en lugar de lo contrario. Este año no ha sido distinto.

Así, si eres de esos tipos tan simpáticos, guapos y amables a los que yo quiero tanto que se llaman clientes de Informática 64, es probable que hayas recibido la siguiente felicitación navideña.

Figura 1: Felicitación navideña enviada a los clientes de Informática64

Por supuesto, el dibujo es mío, pero no así el texto, que es obra del "productor" de la cinta. Debido a esto, y sabiendo como sé que vosotros sois unos aficionados locos a las versiones originales, extendidas, contenidos extras, ediciones cronológicas y demás piezas de coleccionistas cinéfilos, he decidido mostraros el Director's Cut, o lo que es lo mismo, lo que el "jartista" plasmó inicialmente en su obra, antes de caer en las férreas manos de los productores, tan domesticados por la necesidad de hacer una película para todos los públicos en estas fechas.

Figura 2: La felicitación original

En cualquiera de los dos casos, y visto todo con el prisma de estas fiestas de las entrañas o entrañables, sirve para lo mismo, desearos que lo paséis bien y carguéis pilas para el año que viene.

Saludos Malignos!

viernes, diciembre 23, 2011

Un día de viaje: El blues (de la WiFi) del autobús

La disponibilidad de tecnologías WiFi “abiertas” cara al público que provén de Internet de forma gratuita, se ha convertido en una de las mayores facilidades que se le puede ofrecer a un usuario malintencionado para que lleve a cabo cualquier tipo de ataque sin dejar rastro de la identidad del mismo. Lugares como universidades, bibliotecas, restaurantes, bares, aeropuertos, etcétera, ofrecen conexión a los usuarios para que naveguen a sus anchas.

No hace mucho tiempo, volviendo en autobús de un viaje que tuve que realizar por motivos de trabajo, me dio por ojear el servicio WiFi que ofrecía la empresa para conectarse a Internet durante la duración del trayecto (que no era poco). Y como era de esperar existían multitud de direcciones IP (usuarios) que estaban utilizando dicho servicio.

Dejando de lado la multitud de ataques que se podrían realizar a los usuarios que están utilizando el servicio, ya que se supone que la WiFi precisamente se encuentra “abierta” para que todos los usuarios del autobús puedan conectarse y navegar sin ningún problema, decidí mirar qué “cacharro” era el que nos estaba ofreciendo el servicio y qué medidas de seguridad implementaba.

Figura 1: Portal del Router de Internet Móvil

Al primer intento de una de las contraseñas por defecto, ya me di cuenta que la respuesta se ofrecía por JavaScript y sin realizar ninguna petición a otra página, por lo que, la contraseña debería estar “incrustada” en el propio código de la página de acceso.

Figura 2: Alerta de contraseña incorrecta por Javascript

Con la ayuda de Firebug y un par de búsquedas vamos a intentar localizar la cadena exacta que nos interesa. Identificamos cómo existen varios tags “iframe” que están apuntando a distintos portales, los cuales pueden contener la cadena que estamos buscando. Entre ellos existe el fichero “/en/logo_idx.asp” que es el que contiene toda la parte de login.

Figura 3: Inclusión del iframe de autenticación

Cargamos el portal “/en/logo_idx.asp” dentro de nuestro navegador y visualizamos dónde se encuentra la cadena “Introduce tu contra..”, ya que se encontrará cerca de la zona del botón de submit, del que nos interesa saber qué función está realizando con la contraseña que introducimos nosotros en el “textbox”.

Figura 4: Función que se ejecuta cuando se envía la contraseña

Como se puede observar en la imagen anterior, al realizar el evento “onclick” del botón “Entrar” se está ejecutando a una función JavaScript llamada “LoginForm()”. Si buscamos dicha función en la pestaña de Scripts de Firebug, nos encontraremos con el siguiente código.

Figura 5: Contenido de la función JavaScript "LoginForm()"

Vemos que se está validando mediante la función “IF” el valor del elemento “password” con una variable llamada “admin_passwd”, la cual se encontrará inicializada en alguna parte del código. Mediante una simple búsqueda del nombre de la variable, damos con el valor que se inicializa la misma y con el correspondiente password del router.

Figura 6: Inicialización de la variable "admin_passwd"

A partir de aquí ya podemos acceder al portal del router y visualizar y/o modificar los parámetros de configuración.

Figura 7: Configuración Avanzada del Router Internet Móvil de Huawei

Y seguro que con toda esta información a muchos de vosotros se os ocurren muchos ataques man in the middle que se pueden realizar a los compañeros de viaje, pero ya bastante cansado es un viaje en autobús, como para que encima te roben la cuenta de Twitter, Tuenti o Facebook.

Figura 8: Usuarios conectados al servicio, potenciales víctimas

Como ya habréis leído y/o escuchado centenares de veces, la seguridad de las redes WiFi “abiertas” que ofrecen servicio a cualquier usuario sin ningún tipo de protección son de alto riesgo para los usuarios, pero quedan mucho más en entredicho si ni el propio fabricante del dispositivo utilizado para motarlas se preocupa de con qué grado de seguridad se están desarrollando sus dispositivos.

Un Saludo!! ;)

Autor: Daniel Romero, consultor de seguridad en Informática64

jueves, diciembre 22, 2011

Cómo navegar sin navegador y saltándose los filtros de contenido para ver porno, fútbol y hasta El lado del mal

Podríamos tomar esta entrada como un anexo a la serie dedicada a Terminal Services, Citrix y Excel, pero he decidido darle un post propio porque me ha hecho mucha gracia esto de poder navegar por Internet sin navegador de Internet y cómo usar esto en un entorno de Terminal Services o Citrix con Excel para hacer cosas regularmente malitas.

Navegar desde MS Office

La historia radica en que desde los cuadros de diálogo de Windows es posible, en el nombre del archivo, utilizar una URL de Internet completa. Así, desde cualquier cuadro de dialogo, ya sea desde el bloc de notas, el Microsoft Excel o lo que tengas abierto en tu equipo, que haya invocado este componente de abrir que se ve en la figura siguiente puedes solicitar una URL de Internet.

Figura 1: Abriendo una URL de Internet desde el nombre de archivo

Esto, en el caso de Microsoft Office - y por supuesto nuestro querido Excel - en el que se puede seleccionar la opción de abrir documentos en formato página web, permite que se pueda navegar a cualquier URL, en este caso El lado del mal.

Figura 2: Leyendo El lado del mal desde Word

El primer uso que pensamos para esta opción era, por supuesto, meter en un Excel remoto ejecutándose en un Terminal Services o Citrix nuestro archivo Excel - o el de Didier Stevens - para hacer cosas buenas... y por supuesto funciona, pero además se da una curiosa circunstancia, y es que no pasa por Internet Explorer.

El filtro de control parental en Internet Explorer y MS Office

Supongamos un entorno en el que tenemos un servidor solo con Internet Explorer en el que, por motivos de seguridad, se ha decidido capar toda URL de conexión mediante el filtro de contenido del Control Parental, como se ve en la figura siguiente.

Figura 3: Sitio bloqueado en Internet Explorer

En esa situación no sería posible usar el navegador para ir a ningún sitio, pero navegando con Word o Excel, se puede visitar cualquier página, aunque esté activo el control parental. 

Figura 4: sitio bloqueado visitado desde MS Word

Por supuesto, si en tu empresa tienen filtrada la URL para que no sigas el fútbol en horario de un partido a nivel de firewall, siempre puedes buscar una máquina con Citrix o Términal Services que tenga encapsulado el tráfico a través de HTTP-s para poder conectarte desde ella y seguir, minuto a minuto como va el partido en el Santiago Beranabéu.

Saludos Malignos!

miércoles, diciembre 21, 2011

El listín de teléfonos LDAP de la Nasa

Hace ya mucho tiempo, cuando estaba todo el día enganchado con los árboles LDAP para escribir los artículos de Ataques LDAP y LDAP Injetion & Blind LDAP Injection, de lo que luego saldría el Reto Hacking IV, me maravillaba la cantidad de empresas que los tienen públicos, como si fuera un listín de teléfonos.

De hecho, siempre que en un proceso de fingerprinting se pueda encontrar algún árbol LDAP para echar un ojo a ver qué hay por ahí, es útil, así que el usar el truco de las cuentas System de los Windows de un dominio para mirar el contenido del Active Directory, buscar los servidores LDAP que aparecen en las CRL de los certificados digitales o buscar los phpLDAPadmin están entre mis ideas.

Hoy, usando el truco de Robtex, quise buscar otra vez alguno a ver como estaba todo y probando en la NASA resulta que  hay un servidor que se llama ldap en un subdominio.

Figura 1: Servidores ldap en nasa.gov

Así que nada LDAP Browser, con una conexión anónima y... el árbol LDAP que se muestra está repleto de datos del personal. Teléfonos, correos electrónicos, departamentos, cargos, proyectos, personas trabajando en cada proyecto...

Figura 2: Conexión anónima al árbol LDAP de la NASA

Así que, si en lugar de hackear quieres felicitar a alguno de los que participan en algún proyecto, enviándoles un correo electrónico por alguna de las nuevas fotos que publican, puedes buscarle aquí. - Esto yo se que a mis amigos de Cyberhades les va a encantar -

Figura 3: Unidades Organizativas para proyectos

Después de lo de la Viagra y el software pirata en su web, y ahora viendo esto, realmente creo que los científicos e ingenieros de la NASA tienen cosas más elevadas de las que preocuparse que de la informática, ¿no?

Saludos Malignos!

martes, diciembre 20, 2011

Up to Secure 2012: Abierto el registro en todas las ciudades

Ya está abierto el registro para todas las ciudades de la Gira Up to Secure 2012, así que ya puedes registrarte para asistir. Como me habéis preguntado varios ya, Sí, yo voy a dar una charla - al menos - en cada ciudad, por lo que voy a montarme en mi "maligno-móvil" y vistar vuestras ciudades - siempre que no haya AVE o un océano de por medio -.


El calendario completo es el siguiente:
11 de Enero: Barcelona - 12 de Enero: Zaragoza - 13 de Enero: Pamplona
17 de Enero: Valladolid - 18 de Enero: Vigo - 19 de Enero: A Coruña
24 de Enero: Valencia - 25 de Enero: Madrid - 26 de Enero: Sevilla
9 de Marzo: Tenerife
El evento es para profesionales y estudiantes universitarios, y así está el registro, pero no queremos excluir a nadie. El año pasado tuvimos problemas de aforo en algunas sedes que no queremos que se nos repitan. Es por ello que en el registro podéis ver que los estudiantes de Formación Profesional o módulos profesionales tienen que solicitar la asistencia. Esto es debido al tamaño de las sala que tenemos. Pero intentaremos dar entrada a todo el mundo, solo queremos tener un control y que no se nos desborde la asistencia como otros años, por lo que os solicitamos que hagáis una petición por correo electrónico, como pone en el registro.

Este año hemos conseguido salas mayores en Valencia, Barcelona y A Coruña, por lo que ahí no habrá ningún problema en buscar el registro. Para los estudiantes que quieran ir a Valladolid, yo voy a dar una charla, exclusivamente para ellos en Palencia el día antes, así que intentaremos buscarles acomodo en una, otra o las dos sesiones. En Zaragoza, Pamplona, Sevilla y Tenerife la sala no ha tenido problemas de aforo nunca, así que tampoco habrá problema en el registro de este año.

De verdad que no es por ahorrarnos el desayuno, y que intentaremos que nadie se quede sin poder asistir a las charlas, por lo que solo os pido que los profesores de grupos de FP o módulos profesionales lo solicitéis por correo electrónico a info@eventos-creativos.com

Saludos Malignos!

lunes, diciembre 19, 2011

Grabar un Rap o cambiarse el nombre para fastidiar a una multinacional que te ha demandado #esHacking

Hace tiempo, en uno de mis viajes por el mundo descubrí una expresión en inglés que representaba el luchar contra un gigante, y que me hizo mucha gracia: Farting against the Thunder. Esa frase fue hablando de que pasaría si Google, Microsoft o Apple te manda una de esas cartas chulas que mandan sus firmas de abogados para pedirte "amablemente" algo.

El poder económico que tienen esas empresas es brutal por lo que me maravilla ver algunas reacciones de personas cuando esto sucede. Como no, hay que citar el vídeo al estilo "me la suda" que GeoHot grabó cuando Sony le demandó, y que en la BlackHat de este año fue premiado con un Pwnie Award. Creo que tuve que preguntar si era GeoHot tres veces, porque me encantó la respuesta.


Sin embargo, la historia que me ha pillado por sorpresa ha sido la de Rotem Guez, un emprendedor Israelí que vendía likes para promocionar páginas en Facebook y que recibió una carta de la compañía de la red social indicándole que eso solo lo podían hacer ellos. Así que, ni corto ni perezoso Rotem Guez pensó en hacer que todo el mundo se enterara de su problema y para ello se cambió su nombre legal por el de Mark Zuckerberg, con lo que la firma de abogados tiene que enviar las cartas de amenaza y demanda a Mark Zuckerberg.


Ahora, exhibe sus documentos tras el Legal DNS Spoofing y se ha abierto un página en Facebook llamada I'm Mark Zuckerberg. ¿Es o no #esHacking?

Saludos Malignos!

domingo, diciembre 18, 2011

Sacándole más partido a BING Hacking con Contains

La semana pasada di una charla sobre Bing Hacking comparado con Google Hacking para un grupo de estudiantes. Por supuesto, la percepción inicial que tiene todo el mundo es que Google lo hace todo bien y que Bing no vale para nada, y esas cosas tan comunes, pero cuando conoces como funciona Bing, le acabas teniendo un hueco en tu corazoncito, especialmente para temas de hacking.

Como Bing ha sacado unas animaciones navideñas que me han enternecido, he decidido escribir un poco más sobre él, para que vosotros también le toméis más cariño. En el mes de Octubre os dejé por aquí una entrada en la que os hablaba de 4 cosas que Bing hace mejor que Google, sobre todo desde el punto de vista del hacking, como son:


Además, también intenté hacer un repaso de cuáles son y cuáles NO son los comandos de Bing, para hacer un poco de Bing Hacking, ya que la gente tiende a pensar que los comandos que se conoce en Google son los que deberían funcionar en Bing y NO es así. Sin embargo, en ese artículo no le presté demasiada atención al operador Contains, y hoy quiero quiero hacerlo.

El operador CONTAINS de Bing

Contains es un operador en Bing al que he cogido mucho cariño, y al que saco mucho partido para encontrar "mis bancos de prueba". Este operador busca páginas que tienen enlaces a un fichero con una extensión concreta. Es decir, que si pongo Contains:txt me llevará a páginas en las que hay enlaces a ficheros con extensión txt. Sencillo, ¿no?

La ventaja de este operador es que es la alternativa natural, y a veces más eficiente, al operador ext tan usado en Google. La única diferencia es que si pones ext:txt, Google te devuelve una lista de enlaces apuntando a documentos que tienen la extensión txt, mientras que Bing te devuelve una lista de documentos que tienen esos enlaces... lo que genera situaciones muy curiosas dentro del mundo de hacking.

Si lo probamos de forma natural, podríamos sacar los sitios donde hay un enlace a un fichero .listing para poder sacar nuevas ubicaciones con el famoso fichero que crea wget y que actúa como un listado del sitio.

Figura 1: Buscando sitios con enlaces a ficheros con extensión .listing

O los famosos .profile, .login, .bash_profile, etc... tan usados en sistemas *NIX*.

Figura 2: Buscando enlaces a ficheros ocultos en *NIX* con BING

Muchos pueden pensar que no tiene sentido que alguien haga una página con un enlace a .listing, pero es que realmente lo que genera esa página con el enlace no es una persona, sino la respuesta de un directorio abierto, que genera los resultados en HTML. Así, cuando aparece en los resultados un sitio con .listing es porque hay un falso positivo, hay un directory listing habilitado, o ha habido un directory listing habilitado y está en la caché. Encontrar estos listados de directorios abiertos y probar esto es tan sencillo como buscar "index of" con un tipo de archivo que te interese, en este caso ficheros SQL.

Figura 3: Listados de directorios con ficheros .sql

Por supuesto, también se puede buscar por un archivo concreto. En Bing NO existe el operador inurl, pero automáticamente busca inurl, así que no tienes que preocuparte. Si quieres un fichero de un tipo concreto, sólo invócalo.

Figura 4: Buscando páginas con enlaces a fiheros .log donde aparezca el texto WS_FTP.log

Sin embargo, de todas las cosas que tiene el operador Contains que lo hacen diferente, lo que más me ha gustado ha sido el resultado de unirlo con el operador Filetype. Recordad que Filetype analiza el formato de los ficheros, así que ... ¿por qué no reconocer los enlaces de un fichero de tipo PDF indexado? De esta forma es posible encontrar documentos con enlaces a "cosas" que te interesen.

Figura 5: Buscando documentos PDF con enlaces a PHP

O dentro de los documentos DOC, con lo que, haciendo uso de Site, Contains y Filetype a la vez, puedes disfrutar de lecturas "extrañas", como documentos militares que apunten a programas ejecutables... ¿qué habrá allí?

Figura 6: Documentos doc en dominios mil con enlaces a ficheros exe

Al final, de estas cosas, como el truco de la barra en Google o el buscar agentes SNMP en Shodan para gobernar el mundo, puedes acabar sacando petróleo en un auditoría de seguridad.

Si quieres aprender más sobre el mundo del hacking, usando Shodan, Google y Bing, te recomiendo que te leas el libro de Enrique Rando "Hacking con Buscadores", que puedes obtener gratis con la Twombola o comprar aprovechándote de los packs navideños, de la oferta de descuento en gastos de envío para América o de la oferta de biblioteca completa.

Saludos Malignos!

sábado, diciembre 17, 2011

No Lusers 118 - La mala vida en la gran manzana


Hace tiempo ya que publiqué el artículo sobre los mensajes de seguridad en la web de Apple, con el que me gané muchos amigos fanboys. Así que, para amigarme con ellos, he pensado en publicar este No Lusers junto con esta lista de enlaces a algunos artículos que hablan sobre el malware en tecnologías Apple con cariño, ahora que somos vecinos en la Gran Manzana.

- Elk Cloner: El primer virus para el hogar fue para Apple II
- El virus de la paz en Macintosh II: MacMag Virus
- LoseLose: Un "malware" para adictos a los videojuegos
El malware existe también en tu Mac OS X
Black Hole: Mac OS X en los kits de infección de Botnets
- Black Hole: Unas capturas traducidas al español
- Black Hole infectó la web del servicio postal de los USA
- Eleonore II: Otro kit de infección que cuenta con Mac OS X
Hellraiser: Cómo se troyaniza un Mac OS X
- Troyano Koobface llega a Mac OS X
Troyano Boonana atacando Mac OS X activamente
Detectar y eliminar el troyano Boonana.A en Mac OS X
- BlackHole RAT: Un nuevo malware para Mac OS X
- BlackHole RAT ahora te graba en vídeo
- DarkCometX RAT: Otro troyano para Mac OS X en camino
- IncognitoRAT: Troyano escrito en Java que funciona en Mac OS X y se controla con iPhone o iPad
- IncognitoRAT: Los datos de los compradores expuestos
- MacDefender: Un Rogue AV distribuido a través de Google Images
- MacProtector y MacSecurity: Mutaciones de MacDefender
- MacDefender se convierte en una epidemia y AppleCare dice que no ayudará a eliminarlo
- Apple lo asume: Cómo eliminar MacDefender
- MacGuard: Nueva mutación que no requiere password de MacDefender
Apple actualiza XProtect para luchar contra MacDefender y todas sus mutaciones
- MacDefender se salta XProtect: NO es un antimalware profesional
- MacShield: Nueva variante de MacDefender
- Reversing MacDefender: Cómo se distribuyen los servidores
- Khelios, la botnet de MacDefender eliminada por Microsoft
- Weyland-Yutani Bot: Un crimeware Do It Yourself para Mac OS X (iPad y Linux en futuro)
Rootkit Hunter: (Anti)Rootkits en Mac OS X
- El negocio de las mafias que roban dinero vía iTunes
- También existe SpyWare en Mac OS X: Opinion Spy
- Malware en Mac OS X Lion hace pharming usando Flash
- DNS Changer: Cuando el pharming llegó a Mac OS X
- OSX/Imuler: Un troyano disfrazado de PDF
- Apple actualiza XProtect para frenar OSX/{Imuler/Revir}
- OSX/Flashback: Un troyano que simular ser Flash
- OSX/Flashback utiliza mensajes cifrados con RC4 usando claves MD5(UUID)
- OSX/Flashback ahora troyaniza Apple Safari
- OSX/Flashback.C detecta Virtual Machines y anula XProtect
- OSX/Tsunami: Un troyano para Mac OS X portado desde Linux
- DevilRobber.A: malware elaborado para Mac OS X que va a por los Bitcoins de tu máquina que se distribuye por BitTorrents oculto en copias de software pirata
- DevilRobber.A (a.k.a OSX/Miner-D) también va a por tus datos
- DevilRobber.A (a.k.a OSX/Miner-D) llega a versión 3
- Cómo saber si hay un malware en tu Mac OS X
- El malware en Mac OS X y los afiliados en Pay Per Install
- MacSweeper: El primer rogue AV en Mac OS X que luego migró a iMunizator

Saludos Malignos!

viernes, diciembre 16, 2011

Hacking Remote Applications: Escaneando la red con Connection Strings en Excel (II de III)

**************************************************************************************************
- Escaneando la red con Connection Strings en Excel (III de III)
Autores: Juan Garrido "Silverhack" & Chema Alonso
**************************************************************************************************

En la parte anterior de este artículo vimos como podíamos intentar conectar la aplicación Excel a un servidor interno de base de datos que se encontrara detrás del firewall utilizando las credenciales de la sesión Terminal Services o Citrix. Sin embargo, aunque ese servidor interno no exista aún se pueden hacer otras muchas cosas con las cadenas de conexión, como vamos a ver ahora.

Conexión al ficheros del sistema.

Una de las características que molan de las cadenas de conexión es que se pueden conectar a casi cualquier cosa. Así, en las técnicas de Remote File Downloading las utilizamos para poder acceder a ficheros del sistema operativo por medio de ataques de SQL Injection que las cargaban como "Fuentes infrecuentes". Esto lo vamos poder seguir realizando con un Excel en un servidor Citrix o Terminal Services, accediendo no solo a ficheros locales sino remotos en red local.

Para ello, se debe seleccionar la opción de crear una conexión ODBC de usuario y construirla en el perfil de usuario, en este ejemplo con Excel 2010. Como se puede ver hay posibilidad de conectarse a ficheros csv, txt, Excel, Access, dBASE o FoxPro, entre otros.

Figura 5: Drives para fichero en conexiones OLEDB

Para hacer esta conexión hay que generar un fichero de conexión a nivel de usuario que se tiene que guardar en el sistema, así que la mejor opción es usar los directorios para archivos temporales.

Figura 6: Construcción de la conexión a nivel de usuario

Una vez terminada la conexión se puede cargar cualquier archivo vía la cadena de conexión al sistema.

Figura 7: El fichero se toma como una tabla de 1 sólo campo en el que cada línea es una fila


Por supuesto, todo esto un poco extremo, y solo debería usarse cuando la opción Abrir estuviera totalmente capada o cuando no se pudiera acceder a la ruta por , pero, como puede verse.... funciona.

Figura 8: El fichero leído vía cadena de conexión en Excel

Conexión al Active Directory

Usando las cadenas de conexión también es posible acceder al servicio de Active Directory de la organización para hacer las consultas pertinentes desde Excel, ya que, por supuesto, este es una base de datos con información útil y necesaria.

Figura 9: Objeto de conexión para Microsoft Directory Services

Así, por ejemplo, si hubiéramos sido capaces de descubrir qué equipo tiene el servicio de Active Directory en la organización, podríamos crear una conexión contra él, haciendo uso de la credencial del usuario del sistema operativo, para después lanzar consultas LDAP.

Figura 10: Cadena de conexión a un servicio de directorio

**************************************************************************************************
**************************************************************************************************

jueves, diciembre 15, 2011

Mundo Hacker TV inédito, pero repetido

Hoy ando un poco justo de tiempo, así que voy a publicar el vídeo de uno de los capítulos de Mundo Hacker TV que grabé para emitir por la tele, pero que nunca fue emitido. Este capítulo, por otro lado, es un resumen de 17 minutos, de lo que ya habíamos grabado anteriormente en un vídeo de más de 1 hora.


Si prefieres ver la "Versión Extendida" de 1 hora de duración, la tienes en este post: Mundo Hacker TV 6: Una visita al bunker.

Saludos Malignos!

Entradas populares