domingo, septiembre 30, 2012

Asegúr@IT Camp 4: ¿Jugamos?


Hoy día 30 de Septiembre termina el periodo super-reducido de registro para el Asegúr@IT Camp 4. Como cae en domingo, vamos a dejar abierto el periodo más económico hasta el día 1 a las 12:00 de la mañana, así que date prisa para reservar tu plaza si quieres venir a "jugar" con nosotros y conocer a un montón de personas, los días 26, 27 y 28 de Octubre en el Camping de El Escorial (Madrid).

Saludos Malignos!

No Lusers 152: Skynet con Mjolnir


Mi amigo Lorenzo (@lawwait) ha estado completando una gira que ni las de los Rolling Stones cuando se ponían de todo con una charla magnífica sobre cómo crear un Skynet casero integrando todos los electrodomésticos y aparatos que ha pillado a su alcance con un API o pseudo-API en su casa. Algo así como el HomeOS de Microsoft, pero from scratch. En mi humilde opinión solo le falta integrar un sistema como Mjolnir y queda niquelado. Lorenzo, este No Lusers va dedicado a ti, por lograr con esa charla que nadie se acordara de mi en la Ekoparty y triunfar tanto.

Saludos Malignos!

sábado, septiembre 29, 2012

El mundo en guerra

Me ha encantado el proyecto de HoneyNet Project que he descubierto leyendo el Foro de El Hacker creado por Florian Weingarten y Mark Schloesser en el que presentan en un mapa del mundo los ataques que están sufriendo los HoneyPot Servers que tienen desplegados por el mundo.

Figura 1: El mapa del mundo en guerra

El mapa funciona en tiempo real, y muestra en colores rojos los atacantes, es decir, la dirección IP desde la que llega el ataque, y en color amarillo los objetivos, es decir el servidor HoneyPot que es atacado. En tiempo real se pueden ver los logs que se utilizan para representar el gráfico.

Figura 2: Los logs de los ataques

Hay que tener presente que solo representa los ataques que reciben sus servidores, pero si te pasas un rato siguiendo la evolución, podrás ver qué países son los más beligerantes.

Saludos Malignos!

Certificado Digital de Adobe comprometido ha sido utilizado para firmar herramientas de hacking: ¡A revocar!

A través de un post titulado "Inappropriate Use of Adobe Code Signing Certificate" - Uso inapropiado de certificado de firma de código de Adobe - la compañía ha alertado a los usuarios de la necesidad de actualizar sus productos ante una inminente revocación del certificado digital con el que algunos de ellos se encuentran firmados, ya que ha sido comprometida su seguridad y a principios de Octubre dejará de tener validez.

El incidente parece que tuvo lugar al quedar comprometido un servidor de compilación a finales de Julio, en el que se encontraba el certificado digital para firmar el código. Dicho certificado fue utilizado para firmar la popular herramienta PwDump7 - junto con la librería libeay32.dll de OpenSSL - que se utiliza para volcar las contraseñas de sistemas Microsoft Windows desde el LSA, y myGeeksmail.dll que es un filtro ISAPI que puede instalarse en servidores web para interceptar y manipular las conexiones HTTP lo que permitiría a un atacante acceder a toda la información que por ese servidor web pase y modificarla a gusto.

Los detalles y hashes MD5 de los ficheros firmados han sido publicados en un Security Advisory desde Adobe APSA 12-01 y son los siguientes:
PwDump7.exe
MD5 hash: 130F7543D2360C40F8703D3898AFAC22
Tamaño: 81.6 KB (83,648 bytes)
Signature timestamp: Thursday, July 26, 2012 8:44:40 PM PDT (GMT -7:00)
MD5 hash del fichero sin firma: D1337B9E8BAC0EE285492B89F895CADB
libeay32.dll
MD5 hash: 095AB1CCC827BE2F38620256A620F7A4
Tamaño: 999 KB (1,023,168 bytes)
Signature timestamp: Thursday, July 26, 2012 8:44:13 PM PDT (GMT -7:00)
MD5 hash del fichero sin firma: A7EFD09E5B963AF88CE2FC5B8EB7127C
myGeeksmail.dll
MD5 hash: 46DB73375F05F09AC78EC3D940F3E61A
Tamaño: 80.6 KB (82,624 bytes)
Signature timestamp: Wednesday, July 25, 2012 8:48:59 PM (GMT -7:00)
MD5 hash del fichero sin firma: 8EA2420013090077EA875B97D7D1FF07
Según cuentan, a Adobe llego una copia de estos ficheros el 12 de Septiembre desde una fuente anónima, y desde entonces han trabajado en firmar el software con otros certificados digitales y poner actualizaciones de sus programas afectados disponibles, además de informar al Microsoft Active Protection Program y fabricantes de soluciones de seguridad para que detecten estos ficheros como maliciosos.

El tener las herramientas de hacking firmadas con un certificado de firma de código de Adobe es casi un salvoconducto contra cualquier antimalware, ya que estos cuentan con medidas especiales para no detectar como malware software firmado por entidades certificadoras de confianza, lo que hace que muchos de ellos ni los analicen. El contar con una firma de confianza hace que estas herramientas no levanten ninguna sospecha en los motores antimalware que quieren evitar casos como el de McAffe que "decidió" firmar como malware a Excel - y 7 páginas más de falsos positivos - o el reciente caso de Shopos que se detectaba a sí mismo como malware.

Por supuesto, estas herramientas son de post-explotación, y si alguien se ha tomado la molestia de firmarlas digitalmente mediante el robo de certificados a Adobe es debido a que se estaba preparando, o se hizo, un ataque dirigido y no un hacking masivo, aunque parece que han durado muy poco tiempo sin ser detectado.

La lista de software de Adobe que tiene que ser actualizado ahora - debido a que había sido firmado por este certificado - está publicada en la web de Adobe, así que si tienes este software desplegado en tu empresa atento a las actualizaciones, que cuando esté revocado digitalmente el certificado los usuarios empezarán a ver alertas "raras" en la ejecución.

Casos como este, que se suma al incidente de Comodo o de Diginotar - que Apple tardó un mes en revocar en iPhone & iPad - , al del malware firmado con un certificado de desarrollador de Microsoft y distribuido por Windows Update, o el más impactante ataque criptográfico a los certificados digitales de Microsoft en el caso de Flame, hacen que confiar en la firma digital de un software o una conexión sea confiable ... solo en un porcentaje del total de los casos.

Saludos Malignos!

viernes, septiembre 28, 2012

El discurso de la servilleta

Como ya os conté, el día que tuve el honor de ser nombrado Embajador honorífico de la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, no tenía preparado el discurso e improvisé uno en una servilleta. Todo el acto se grabó, y puedes ver lo que improvisé a partir del minuto 46:00 del acto... 


Con servilleta o con discurso, sigo sintiéndome muy agradecido por el honor del nombramiento...

Saludos Malignos!

Hieroglyphy: Ofuscar ataques XSS con ()[]{}!+

Trabajando sobre el foro de sla.ckers.org sobre cómo crear cadenas ofuscadas de alert(1) con caracteres no alfanuméricos, los investigadores argentinos Matias A. Ré Medina y Patricio Palladino han escrito un par de posts muy interesantes para los amantes de los ataques Client-Side para hacer XSS, junto con una herramienta que está disponible online y para descarga, llamada Hieroglyphy.

La idea no es otra que conseguir codificar los payloads en ataques XSS de formas que puedan saltarse los filtros que ponga la aplicación, los filtros del WAF o los filtros que ponga el navegador que utiliza el usuario. Pero para hacer mucho más difícil la detección, se hace sin utilizar caracteres alfanuméricos, y con cadenas de ()[]{}+. Para simplificar la idea, Matias pone un ejemplo que podéis probar todos en la consola Javascript de vuestro navegador.

Figura 1: XSS con cadenas parciales de caracteres no alfanuméricos

Para ello ha habido previamente que analizar cómo construir un alfabeto con estas secuencias, ya que hay que crear muchos elementos para poder acabar ofuscando cadenas completas de payloads. El estudio de cómo sacar los caracteres lleva a utilizar cambios ASCII, buscar subcadenas de resultados de funciones conocidas - como sacar la "p" haciendo un substring de la cadena "http:// ..." que devuelve document.location - y probando conversiones implícitas entre diferentes resultados.

Figura 2: Codificación de números con cadenas no alfanuméricas

El estudio de esto se puede leer en el artículo: Brainfuck beware: JavaScript is after you! y aplicado para saltar WAFs en Bypassing WAFs with non-alphanumeric XSS. Para que todo sea mucho más cómodo de utilizar, han puesto disponible online la utilidad Hieroglyphy que realiza la ofuscación de cadenas Javascript siguiendo este método:

Figura 3: Ofuscando código con Hieroglyphy

Con este trabajo los investigadores añaden un poco más de dificultad a los creadores de filtros AntiXSS, y si tu aplicación web sólo tiene como única protección un filtro personal creado por ti, deberías probar a ver si detecta este tipo de ataques.

Saludos Malignos!

jueves, septiembre 27, 2012

Immunity Stalker: Analizando tráfico de red en la nube

Hace unos días me pasaron un usuario y contraseña del servicio de Immunity llamado Stalker que habían presentado en la Infiltratre 2012 - lo cual agradezco mucho - y he pasado un rato jugando con él. Para los que no hayáis oído hablar de él, la idea de la solución es poder automatizar el análisis de capturas de tráfico para buscar los datos importantes y mostrar en un panel de control toda la información descubierta.

Figura 1: Aspecto general de Immunity Stalker

Stalker analiza las capturas pcap a la perfección, así que para no andar hackeando a ningún vecino cercano, decidí hacer un poco de hacking con buscadores y buscar ficheros .pcap que la gente hubiera dejado publicados por Internet como pruebas de concepto, datos de prueba, etcétera. En esos ficheros a veces se cruzan datos que no debieran, como nos pasó a nosotros en un reto hacking, por lo que pensé que sería una buena forma de probar la solución.

Figura 2: Carga de datos en Stalker

La herramienta permite subir datos en diferentes formatos, y además los va analizando con procesos en paralelo, por lo que puedes seguir trabajando mientras se analizan los datos. Una vez terminado, cada nuevo host descubierto tendrá una representación en el panel lateral de la izquierda con el número total de paquetes en los que aparecía dicho equipo. A la derecha los datos analizados.

Figura 3: Analizando hosts con Stalker. Imágenes, enlaces y búsquedas en Google

Como se puede ver, el análisis busca información muy útil como los sitios DNS consultados, las conversaciones de Facebook, los usuarios y las contraseñas que se puedan descubrir, los ficheros transmitidos, o los mensajes de correo electrónicos que puedan extraerse.

Figura 4: Contraseñas descubiertas con Stalker

Evidentemente hay que tener en presente de que es un servicio online, así que si la captura es muy grande el tiempo de subida puede ser un handicap, pero una vez allí es muy cómodo obtener información jugosa.

Figura 5: Conexiones DNS, Beacons de WiFi y e-mails

Por supuesto, el análisis completo de un pcap puede necesitar una revisión manual para sacar todo el jugo que puedan ofrecer los datos que allí hay, pero hay que reconocer que la herramienta es una chulada. Mil gracias por la cuenta de demo.

Saludos Malignos!

miércoles, septiembre 26, 2012

Asegúr@IT Camp 4: Vente al campo de entrenamiento


Ya puedes ir haciendo el petate, y poniéndote en forma, porque ya tenemos listo el Asegúr@IT Camp 4, para que te vengas a pasar un fin de semana con nosotros al Camping de El Escorial. Este evento que llevamos realizando desde el año 2009 es muy especial para mí, ya que al final del fin de semana todos los asistentes acaban creando lazos de unión muy especiales debido al formato del mismo, que paso a describiros.

Como sabéis, todo comienza con la llegada y entrega de Cabañas de Madera el viernes. Tras dejar el petate y acomodarse cada uno en su habitación, esa noche yo siempre tengo que encargarme de controlar a las "fieras" para que la cena que organizamos no acabe durando más allá de una hora prudencial y que las conversaciones, debates, fotos, cánticos y chistes de la cena duren para la noche del sábado.

A la mañana del sábado tendremos un reconfortante desayuno, junto con una batida por las cabañas donde iré despertando personalmente a todos los que se encuentren en posición de remoloneo, para que no se pierdan las viandas y ninguna de la charlas, que durarán todo el día.

Las charlas comenzarán pronto, y acabarán a las 7 de la tarde, más o menos, y aunque aún es posible que haya algún cambio, tendremos una buena lista de actividades. Como cierre del evento he dejado a mis amigos de Cyberhades, que están trabajando en un libro sobre anécdotas de la historia, donde nos contarán aventuras de la historia de la informática en una charla que hemos titulado "Gangs of Computing: La informática se creo en las calles", porque esos multimillonarios hombres de negocio un día fueron más "humanos".

Por supuesto, también tendremos seguridad informática y hacking, así que hemos preparado dos charlas que daremos Pablo y yo sobre: Metasploit para Pentesters y Ataques Man in the Middle en redes IPv6 que daremos con la Evil FOCA, que será entregada a todos los asistentes en un Pendrive de Cálico Electrónico.

Además de estas charlas, tendremos un par de charlas lúdicas para los amantes de los comics y el arte digital, ya que tendremos el estreno del Capítulo 4 de la Temporada 4 de Cálico Electrónico. Este capítulo se presentará antes en una convención de Comics, pero no saldrá online hasta después del Asegúr@IT Camp, ya que esta vez el capítulo tendrá mucho que ver con él.... Por supuesto, vendra Nikotxan a presentarlo, ya que es el artista, y a todos los asistentes que se lo pidáis (antes de que llegue la cena que luego se tuerce) os hará un dibujo dedicado, que siempre se porta como un campeón. 

Los que queráis aprender a animar en serio, podréis apuntaros al Curso de Animación de Cálico Electrónico que dará los días 25 y 26 de Octubre, donde las demos se harán con los archivos originales de Cálico Electrónico, es decir, moveras a los personajes tal y como los mueve Niko, para que las prácticas sean totalmente reales.


La parte de arte digital se completará con la presencia de Rafater, uno de los dibujantes en digital más impactante, que vendrá a enseñarnos cómo se dibuja por computadora, y que además nos sorprenderá con yo que se qué, ya que Rafater además de ser un dibujante increíble, es un showman en toda la extensión del término. Lo tendremos allá gracias a la Ediciones Babylon.

El el Asegúr@IT Camp 4, también habrá un hueco para Windows 8 y Windows Server 2012, pues como ya sabéis justo esa semana será el lanzamiento oficial de la nueva version de escritorio y tabletas de Windows, por lo que ya puedes ir descargándote la versión final de Windows Server 2012 para probarla. Microsoft participará con una charla en el camp, así que les podrás preguntar todo lo que siempre has querido y nunca te has atrevido.

Como los dispositivos móviles están en auge, queremos hablaros también de dos soluciones de gestión de los mismos, es decir, de Mobile Device Management, en este caso tendremos por el momento una charla para dispositivos Apple y otra para dispositivos Android por parte de ESET, que seguro que a más de un administrador o IT Pro os vendrá genial.

La agenda aún puede tener alguna sorpresa más, pero creemos que la jornada de trabajo ya es demasiado dura, por lo que tendremos un buen rancho que deglutieremos todos juntos, y una cena el sábado que suele ser lo mejor del Asegúr@IT Camp.

Luego llegará la noche, y nos iremos a tomar un "algo" a la disco, donde machacaré a todo el que se ponga por delante en el futbolín Internacional, mientras que los más rumbosos bailan y los más habilidosos juegan al billar, y los otros... bueno, los otros hacen lo que se hace en estos sitios: charlar y tomar copichuelas.

A una hora decente tiraré la bomba ninja y desapareceré de allí para ser el primero en el desayuno del domingo y encargarme de que nadie se quede durmiendo en las cabañas más alla de la hora de partida, que ya me conozco yo a los más jóvenes y rumbosos de la noche anterior.

El evento tiene diferentes franjas de registro, y los que se han apuntado ya o lo hagan antes del 30 de Septiembre, tendrán el mejor descuento, así que no lo dejes pasar más y apúntate cuanto antes. Por supuesto, el número de cabañas es limitado así que se asignarán por orden de reserva, por lo que cuanto antes te apuntes mejor para tí.


Para los que vengáis de fuera, la gente de Eventos Creativos se ocupará de daros apoyo logístico, informándoos de cómo llegar, de cuál es la mejor, opción, etc...  Tienes toda la información del proceso de registro en la web del Asegúr@IT Camp 4. ¡Nos vemos en los árboles!

Saludos Malignos!

martes, septiembre 25, 2012

No Lusers 151 - El hombre más rápido del mundo


Dice la leyenda que sólo Flash es capaz de ir más rápido que Superman - en el universo D.C. y al menos en lo que fue Tierra-1 - pero no es verdad, yo he visto con estos ojos míos correr más a un IT Pro cuando el correo de la empresa no funciona. Esta semana pasada un amigo me llamó desesperado porque no entraba correo en la empresa, y me acordé de esta tira que hice casi hace un año pero que nunca publiqué. Va por todos los IT Pros o BOFHs que alguna vez han tenido que correr más que Flash en una situación de Defcon 1.

Saludos Malignos!

A partir de Octubre se abre espacio para más Talentum en Valencia, Málaga, Madrid, Barcelona y Palma de Mallorca

El viernes de esta semana terminará la primera beca Talentum Startup Short Track en Madrid, de la que ya os conté algunas de sus aventuras en Wayra. Sin embargo, no hay tiempo para descansar y el lunes 1 de Octubre ya da comienzo el siguiente Talentum Tour, en el que vamos a anunciar los nuevos programas de becas, que se realizarán en Madrid, Málaga, Palma de Mallorca, Valencia y Barcelona, para lo que se ha hecho el siguiente calendario de eventos.


Allí, no solo tendrá lugar la presentación del programa, sino que todos los jóvenes universitarios que quieran participar en alguna beca de Talentum Startups Short Track o Talentum Startup Long Track, deberán llevar su CV en formato europeo y realizar una pequeña prueba de acceso. Las fechas y los lugares de los eventos, donde además de estar yo vendrán a contar su experiencia algunos de los chics@s del programa, son:
Estos eventos son de presentación del programa, pero cualquier estudiante universitario de titulaciones técnicas de cualquier universidad puede venir al evento y a hacer la prueba de selección. Todas las becas serán para estudiantes a media jornada, por lo que podrán continuar con sus estudios y, por supuesto, contarán con formación técnica y tutores que lucharán para que su experiencia sea lo más gratificante, que el programa, como se ve en la foto, está apoyado por la dirección de Telefónica.

Foto: César Alierta conociendo de primera mano los proyectos de Talentum

Para asistir a los eventos debes apuntarte en el registro, que ya está abierto en la página web de Talentum Tour. Además, si quieres estar informado al minuto, todas las becas, incluyendo también las de Talentum Universities que continuarán en Octubre, puedes seguir lo que se irá publicando a través del Blog de Think Big y la cuenta Twitter del mismo: @ThinkBig_Es

Saludos Malignos!

lunes, septiembre 24, 2012

No Lusers 150 - Eliminar el Virus de la Policía


El Virus de la Polícia entró en mi vida por un familiar que me llamó para decirme que la computadora de sus padres estaba infectada por un malware que decía que era de La Policía. Después de ese momento he recibido decenas de correos electrónicos y llamadas de familiares y amigos que me preguntan cómo quitar ese virus. A todos ellos les digo - además de que pueden usar el truco de las sticky keys y eliminarlo tocando el piano - que vayan a las entradas de Una al día sobre este tema.

Sirva este post para que podáis aprender en detalle cómo funciona el Virus de la Policía, por si alguno de vuestros familiares resulta  infectado. Así podrás solucionarle el problema y evitar que si tu familia me conoce acabe enviándome un correo electrónico a mí contándome su drama... }:S

Saludos Malignos!

La importancia de cumplir las normas de seguridad

Como trabajador de informatica64, estamos habituados de vez en cuando a viajar por el resto de la geografía española en labores de formación y consultoría. Es nuestro pan por lo que cuando nos llaman, confiando en nosotros, solo nos queda hacer el petate y decir: "¡Estoy listo!" 

Hace dos días viendo en las noticias la información del trágico accidente del vuelo 5022 de Spanair del 20 de agosto de 2008, sentí pena por las víctimas y familiares e interiormente me dije: -"Me podía haber pasado a mí".

Es en momentos como éste, donde uno recapacita y se da cuenta de la importancia de cumplir las normas y protocolos de seguridad al 120%, puesto que, como cualquier herramienta informática de reducción de superficie de área expuesta, hacen que los peligros que derivan de ese eslabón más débil que pueda encontrarse en la cadena, se reduzcan.

Dicho esto, lo siguiente que hice fue ponerme a buscar la noticia en los blogs, recabando la máxima información, para poder tener una opinión lo más objetiva posible de por qué se produjo dicho accidente. Cuanto más leía, más se me abrían los ojos, llenos de incredulidad, de la actuación operativa de los pilotos y de los técnicos de mantenimiento - más hoy incluso que ya hemos oído en los medios las conversaciones de cabina -.

Inmediatamente me puse en contacto con El Maligno para que escribiera un post del asunto, hablando de las fallas de seguridad -"Se lo debes a las víctimas", le dije -  y creo, que al verme tan afectado, me dijo: -"Escríbelo tú y lo publico". Y me puse a ello. Aquí quiero dejar los errores de seguridad que se produjeron para que vosotros, como lectores, lleguéis a vuestras propias conclusiones:

Antecedentes:
Antes de estrellarse, la aeronave regresa al hangar tras un intento de primer despegue fallido después de que se detectara una avería en el calefactor de la sonda de temperatura (Ram Air Temperature, RAT).
Causa principal del accidente (bajo mi punto de vista):
El avión intentó volar sin flags ni slats y no se dieron cuenta. El motivo vino derivado de tres fallos de seguridad, a cual más importante.
Fallos de seguridad:

1. No se realizó una correcta comprobación por parte de la tripulación de los parámetros del avión antes del despegue (obligatorio)
a. Omisión de checklist de despliegue. 
b. Verificación errónea del segundo de a bordo y aprobación del Comandante de flaps en posición 11 (flaps eleven), puesto que según muestra la caja negra, nunca se movieron de posición 0. (la verborrea que vemos siempre donde uno repite lo que dice el otro añadiendo la palabra: Comprobado).  
Nota: La caja negra funciona a modo de análisis forense y esta formada por FDR y, a veces por el CVR, en un único aparato. 
- FDR (Flight Data Recorder, encargadas de registrar cerca de las 25 últimas horas) 
- CVR (Cockpit Voice Recorder, grabaciones de las conversaciones de las tripulaciones de vuelo, generalmente de las 2 últimas horas)
2. Los técnicos de mantenimiento desactivan la sonda RAT (Ram Air Temperature) cumplimiento con el M.E.L (Minimum Equipment List) enfriándola con una bolsa de hielo, realizando a lo que mi parecer es una auténtica chapuza (o “parche”, como lo definen en las conversaciones de cabina). Como ejemplo, aquí os dejo la regulación por parte de EEUU para la MEL que es la normativa que establece el equipamiento mínimo considerado para que un avión despegue en unas determinadas circunstancias.
Esta sonda RAT se encarga de medir la temperatura del aire de impacto del avión. Gracias a esta sonda, el avión mide las temperaturas externas para asegurar un correcto funcionamiento de los sistemas. La sonda lleva un circuito calefactor (heater) para evitar su obstrucción por hielo en situación de congelamiento. El problema vino cuando este calefactor se mantuvo encendido en tierra, cosa que se sale de lo normal. Al estar en modo tierra, los calefactores de la sonda RAT, así como otros tantos que van en las sondas externas del avión, quedan anulados para evitar que el personal de tierra pueda quemarse con ellas. Por alguna misteriosa razón la calefacción del RAT continuó encendida llegando a alcanzar valores de 105ºC con la consecuente alarma en cabina. Esto provocó la vuelta a la terminal en su primera ida hacia la pista.

Aquí viene el quid de la cuestión, parece ser que dicho relé es el encargado de marcar a los sensores si el avión está en modo “tierra” o modo “aire”. Eso lo hace mediante el amortiguador del tren delantero. Si está oprimido significa que está en tierra, contrariamente, está en el aire, como concluye el primer informe del accidente que podéis encontrar en surcandoloscielos.es.

Desde el inicio de las investigaciones, el instructor cree que "la avería en el RAT del 20 de agosto fue una consecuencia o manifestación de un fallo multifuncional que afectara también al TOWS (que alertan de una configuración inadecuada para el despegue), alimentado por el mismo relé, dando como consecuencia el punto 3 siguiente".
3. No funcionó el sistema TOWS (Take Off Warning System). Este sistema (Sistema de Advertencia de Configuración Inadecuada para el Despegue) es el encargado de verificar que los flaps, slats, spoilers, freno de parking, los frenos automáticos y el trim (compensador horizontal) de los aviones se encuentren en una correcta posición para un despegue seguro. Se sabe que falló el sistema TOWS ya que el CVR no registró que se activara el TOWS (según informe de la CIAIAC, Comisión de Investigación de Accidentes e Incidentes de Aviación Civil).

A día de hoy, ya sabemos que el juez instructor no ha visto causa penal alguna contra los técnicos de mantenimiento de aquel día. Como curiosidad, aquí os dejo una interesante carta de un MTA de Spanair a raíz del accidente.

Para terminar, quiero dar gracias a todas las personas que advierten día a día de los riesgos de seguridad a través de sitios como este y otros muchos, concienciando y formando a la gente para que se cumplan al máximo dichos protocolos. Si te toca a tí seguir un protocolo de seguridad, por favor, cumple con las normas al detalle.

Rubén Alonso

domingo, septiembre 23, 2012

Root-Secure: Partner de Informática 64 en Argentina

Esta semana me confirmaron que ya se había cerrado el acuerdo entre Root Secure e Informática64 para que sean nuestros partners en Argentina, algo de lo que me siento más que contento. No solo porque muchos amigos argentinos van a poder acceder a los libros de Informática 64 de una manera mucho más directa, sino porque tengo en gran estima a los profesionales de esa compañía, a los que conozco desde hace mucho tiempo.


Claudio Caraciolo (@holesec) y Ezequiel Sallis (@simubucks), dos de los miembros fundadores de la compañía junto con Marcelo Rodríguez, siempre han aportado un poco más para que mis momento en Argentina hayan sido geniales, por lo que me siento muy feliz. Aprovechando este nuevo acuerdo, y teniendo en cuenta que hace mucho que no paso por allá, creo que habrá que buscar la manera de hacer algún evento en el que presentemos este acuerdo y así... me como un asado como hay que hacerlo.

Desde Root Secure ahora van a encargarse de la distribución de libros y software de Informática 64, así que si quieres adquirir cualquier libro o la FOCA Forensic, la FOCA PRO o MetaShield Protector en Argentina, debes ponerte en contacto con ellos a través de su página web.

Si eres de Ecuador, recuerda que puedes contactar con HCKS_EC y si eres de Colombia con IT Forensic. En cualquier otro país de Latino-América, te recomendamos que te pongas en contacto con el que más cerca te quede. Es decir, si eres de Uruguay, Bolivia, Venezuela, Chile o cualquier país de la zona, mira qué distribuidor te queda más cerca para ahorrar tiempo y dinero.

Por último, no quería terminar este artículo sin daros las gracias a todos los que habéis comprado nuestros libros y nuestro software. En Agosto, la compra de libros hizo que la donación a HackStory de Informática 64 fuera el apoyo más grande hasta el momento al proyecto. Actualmente se han superado ya los 8.400 ejemplares vendidos, lo que nos anima a seguir trabajando en nuevos proyectos para ampliar los títulos disponibles.

Saludos Malignos!

sábado, septiembre 22, 2012

No Lusers 149 - Metadatos a lo Kirby


Supongo que muchos de los que comenzasteis a leer comics de superheroes cuando los publicaban en blanco y negro habréis pasado por la época de leer las historias de Jack Kirby. Para mí es casi un mito, pues sus historias adolecerán de todo lo que quieran, menos de un dibujo impactante y unos guiones super-imaginativos. Jack Kirby era capaz de crear tensión de una caja, un cubo o una flecha mágica, crear aventuras con personajes como Los Nuevos Dioses, OMAC o DarkSeid. Un amo. Yo aún flipo con sus aventuras del Cuarto Mundo o la época de Thor, o el Hombre Máquina o....

Seguro que si él hubiera vivido en nuestros días, hubiera sido capaz de crear aventuras impactantes basadas en los espeluznantes casos de los metadatos. Os dejo una ilustración de un comic suyo que he visto en Internet, para que podáis disfrutar de su fuerza.


Saludos Malignos!

viernes, septiembre 21, 2012

eGarante: Un perito digital online que sella webs y correos

Como peritos informáticos nuestra principal tarea en muchos casos es realizar pruebas y documentar los resultados para generar evidencias. Este trabajo puede ser el ejecutar un comando netstat o realizar un listado de ficheros en una carpeta que serán adjuntados en un informe pericial avalado por nosotros. En el caso de trabajar con evidencias temporales online, realizamos trabajos como la captura de la misma, y su firma, para a partir de ese momento poder verificar en todo momento que estamos trabajando con una evidencia capturada en un determinado instante de tiempo.

En el caso de ser necesario utilizar como evidencia algo publicado en una web, las pruebas suelen ser descargar la web y firmarla digitalmente para incluirla dentro del informe final y poder, en caso de tener que ir a presentar y defender el informe en un juicio, garantizar personalmente que nosotros hicimos esa prueba y esos fueron los resultados en una determinado instante de tiempo, por lo que es fundamental poder contar con herramientas que hagan uso de timestamping.

Para explicar la importancia de las evidencias en la web siempre pongo el caso del entrenador de fútbol Luís Aragonés, que tras perder un encuentro cuando entrenaba al Atlético de Madrid, dijo en televisión algo como: "Quiero dejar de entrenar al Atlético de Madrid". Los cuerpos jurídicos del club decidieron aprovechar esta afirmación verbal y le enviaron una carta que decía: "Aceptamos su dimisión". Por supuesto, Luís Aragonés, viendo que había metido la pata tuvo que negociar una salida del club en unas condiciones económicas muy desfavorables para él.

Por supuesto estas evidencias no necesitan ni estar firmadas digitalmente, y un juez puede dar como bueno un documento en Word con capturas de pantallas realizadas y guardadas, algo que ha permitido a la ex alto cargo de la Comunidad de Valencia ser exculpada en el caso Noos, pero si esas evidencias están firmadas por un tercero que ejerce de perito judicial, mejor que mejor.

Cualquier persona puede firmar digitalmente una evidencia web de comentarios en Twitter que hagan apología del terrorismo, que insulten a personas, o que hablen mal de su trabajo. Incluso si esos comentarios se realizan de forma anónima, documentar todos esos comentarios pueden servir para que se abra una investigación judicial, y con ella abierta será mucho más sencillo conseguir del proveedor que da el servicio los datos de conexión de la cuenta para poder identificar a la persona que hay detrás, que tendrá que responder por los insultos publicados en el pasado de forma anónima. Por supuesto, esto también sirve para comentarios en blogs o foros que comentan delitos.

Si la evidencia está en la web, el servicio eGarante, creado por Yago Jesús (@YJesus), puede ayudarte a simplificar todo el proceso, ya que funciona como un perito digital online que realiza esta misma prueba, es decir, descarga la web, y la firma con el sello de tiempo del momento en que se realizó la comprobación. Lo que permite a cualquier persona documentar una evidencia de forma muy sencilla.

Figura 1: Petición de firma de un Tweet de mi cuenta Twitter

El servicio, una vez firmada la web, enviar un correo electrónico con un documento PDF firmado, que puede verificarse tal y cómo explica la web de eGarante. La verdad es que esta parte de generar así de fácil evidencias webs firmadas y selladas me parece muy cómodo y muy útil.

Figura 2: El documento PDF generado, firmado y sellado por eGarante

Este servicio también está disponible para mensajes de correo electrónico. En este caso la firma se realiza de todo el mensaje SMTP enviado, lo que no garantiza que el mensaje ha sido recibido, sino que ha sido enviado. Hay que tener en cuenta que un filtro antispam en el servidor de correo entrante o en el mismo cliente de correo del destinatario, o un simple error técnico, pueden evitar que el mensaje llegue, pero sí se garantiza el acto de enviar el correo. Para ello hay que enviar en copia del mensaje a la dirección mailsigned@egarante.com y se recibirá un mensaje con un documento PDF conteniendo el mensaje firmado y sellado.

Esto puede ser útil para concursos en los que hay que enviar un mensaje antes de una determinada fecha, lo que podría en algún caso ayudar a demostrar el acto de envío.

Unas reflexiones personales sobre eGarante

Tras probarlo, la parte de firma digital de evidencias web me parece muy cómodo y útil. Echo de menos el no tener que instalar la clave pública de la CA de eGarante, que creo que va a limitar en gran medida el uso, solo por tener que realizar un proceso de confianza en una nueva CA. Creo que estaría bien añadir una CA firmada por alguna de las entidades de firma digital reconocidas en España.

Por otro lado, echo de menos una Política de Seguridad más clara, sobre todo de cara al envió de mensajes de correo electrónico, ya que el poner a mailsigned@egarante.com en copia implica que le hago destinatario también de lo que envió, y para correos con contenido importante, no es lo deseable.

En la parte web, que es la que más me gusta, hay que tener en cuenta que si la información que se quiere documentar está protegida tras una sesión, entonces este servicio no vale, ya que solo documenta las partes públicas y sería necesario hacerlo manualmente.

La última duda es una curiosidad técnica que tengo que preguntarle a Yago Jesús es cómo hace para no firmar los correos de spam que lleguen a mailsigned@egarante.com, ya que puede ser muy gracioso devolver los correos del nigeriano firmados a los estafadores.

Saludos Malignos!

jueves, septiembre 20, 2012

Windows Server 2012

Aunque aún hay mucha gente que no se ha enterado, lo cierto es que Microsoft ha lanzado ya Windows Server 2012, la nueva versión servidora de Microsoft Windows. Durante este verano en Informática 64 hemos estado trabajando duro para ponernos las pilas con él, probando todo lo que nos dio tiempo probar, para escribir un libro que vais a poder comprar ya la semana que viene.

Figura 1: Descargar Windows Server 2012

Mucha de la información que hemos ido creando para el libro se ha completado con muchos artículos en Windows Técnico, donde podéis leer artículos sobre las soluciones de virtualización, la arquitectura de Hyper-V en Windows Server 2012 en un poster, cómo gestiona la memoria dinámica Hyper-V 3.0, cómo hacer réplicas de máquinas virtuales en Hyper-V 3.0 o la desduplicación de datos en Windows Server 2012 para optimizar el almacenamiento.

Figura 2: Poster de la arquitectura de Hyper-V en Widnow Server 2012

Además, hemos preparado un Curso de Windows Server 2012 para IT Pros, al que podéis asistir a desde el día 1 al día 5 de Octubre de este año en las oficinas de Informática64, y donde todos los que os apuntéis seréis los primeros en llevaros el nuevo libro de Windows Server 2012. Pero si lo que quieres es ponerte las pilas por tu cuenta, lo que puedes ir haciendo es descargarte la versión de evaluación de Windows Server 2012 en versión ISO o bajarte ya el VHD de la máquina virtual que Microsoft ha puesto a disposición pública para tenerla lista y probarla en cuanto tengas un minuto.

Figura 3: Descargar Windows Server 2012 en ISO o VHD

Por si fuera poco, tienes además Laboratorios de Prueba para Windows Server 2012 que puedes ir montando en tu entorno de practicas. Cuanto antes te pongas las pilas con las nuevas tecnologías, mejor, que hay mucho que aprender ya.

Saludos Malignos!

miércoles, septiembre 19, 2012

Aplicaciones de Facebook y Privacidad (3 de 3)

Para lograr que con solo navegar a una determinada URL se genere un Access_Token con todos los permisos sin que el usuario los haya aceptado antes, realizando unas pruebas me topé con las aplicaciones desarrolladas por Facebook. Todas estas aplicaciones creadas por los mismos desarrolladores de Facebook no piden permisos al usuario debido a que para ellas no es necesario porque son del mismo Facebook. Algo como suele hacer Apple con sus aplicaciones o ... bueno, ya sabéis.

Esto lo puedes comprobar fácilmente ya que cuando cualquier aplicación en tu iPhone o Android quiere acceder a tus datos en Facebook es necesario darle los permisos, mientras que cuando usas Facebook para iOS o Facebook para Android esto no es así. Es decir, estas aplicaciones tiene una categoría especial que les permite acceso total a tus datos, o lo que es lo mismo, generar un Access_Token para ellas sin interactuar con el usuario. Las aplicaciones que son de Facebook son las que están en Facebook Apps y alguna otra más que no está por ahí.

Conocido esto, es posible suplantar la petición que hace Facebook para iPhone con el objetivo de conseguir un Access_Token con todos los permisos. Si miramos la petición que hace esta aplicación, se puede ver lo siguiente:
https://www.facebook.com/dialog/permissions.request?app_id=6628568379&next=https://facebook.com/connect/login_success.html&response_type=token
Como se puede ver, lo que devuelve esta URL es un Access_Token con todos los permisos para acceder a la cuenta del usuario. Esta es la redirección que se obtiene, con el Access_Token.
https://www.facebook.com/connect/login_success.html#access_token=AAAAAAYsX7TsBAEmjMvxnhzHd6EjaGrGZBnrVsYsdsacHLGNDQiWhOtYHeJpAbA4[CENSORED]MBaodL8r6OsBe6EXkbG1hnumon0YP7xTAvnpYFb&expires_in=87731
Y así, a lo tonto, en ese Acces_Token está el acceso a toda nuestra cuenta, es decir, como si fuera el usuario y la contraseña.

Figura 6: Surprise!

Una key que permite acceder a todos los datos de la cuenta. Por supuesto, para obtener ese Acces_Token de cualquier persona hace falta un poquito de ingeniería social, que haga clic en un enlace malicioso y conseguir el Access_Token de la respuesta mediante un script.

Como Facebook aun no ha hecho nada para corregir eso, la gente malvada y los empresarios de moral distraída y técnicas de Black SEO han comenzado a crear servicios en Internet que te ponen 1000 likes - como el tipo que se cambió el nombre por Mark Zuckerberg por ser baneado y denunciado por Facebook - en estados, fotos, comentarios, etcétera, debido a que almacenan miles de Access_Tokens y los usan para dar el servicio, es decir, te piden tu código y usan los códigos de los demás para darte el servicio, y así sucesivamente.

Hay miles de maneras de robarlo y las mass sencillas son mediante trucos de Phishing, o servicios  de engaño como saber quién usa tu perfil, eliminar la biografía, o saber cuentas que existen en Facebook. Si lo quieren hacer menos llamativos, a los Phishers les bastará con cambiar el esquema de Phishing y pedir a las víctimas que, en lugar de insertar la contraseña y el e-mail, inserte ese Access_Token para ver la información privada de una persona... o lo que se les ocurra.

Como prueba de concepto de la gravedad de esto programe una aplicación que permite realizar distintas funciones como leer los mensajes, ver notificaciones, actualizar estado, dar likes y más con solo ingresar el código de acceso, con la que jugué e hice muy popular algún post gracias a Acces_Tokens cedidos por amigos. Aquí una imagen del programa.

Figura 7: Extrayendo info de una cuenta con un Access_Token "robado"

En este caso, probando la aplicacón con mi cuenta, lo que hice es acceder a toda mi lista de contactos y mostrar el ID, el nombre del contacto - en otras palabras el e-mail de Facebook - y el e-mail de la persona - si no lo han ocultado -. En definitiva muestra a quién le gustaría que le suplanten la identidad en Facebook, ya que tiene el e-mail público - ¡Chema, ponlo público! -.

Seguramente a alguno le llamara la atención la imagen de la Foca allí. Es una función del Graph API de Facebook que se llama “metadata” y lo que hace es listar todas las URLs que contienen los datos del usuario. Y a mí me gusta la FOCA.

En definitiva, la creación de Access_Tokens sin validación por parte del usuario, simplemente suplantando el ID de una aplicación de Facebook es un bug demasiado gravé, del que estoy seguro que Facebook tiene constancia viendo las empresas que bloquea y demanda. Ahora hay que ver si con la difusión masiva lo cierran - aunque sería más engorroso para las aplicaciones Facebook -

Ariel Ignacio La Cono
ignataur@hotmail.com

***************************************************************************************************
- Aplicaciones de Facebook y Privacidad (1 de 3)
- Aplicaciones de Facebook y Privacidad (2 de 3)
- Aplicaciones de Facebook y Privacidad (3 de 3)
***************************************************************************************************

martes, septiembre 18, 2012

No Lusers 148: Riesgos de hackear la WiFi al vecino


Como a muchos de vosotros, los familiares y los amigos no informáticos a los que no puedes ocultar que sabes algo de informática, me llaman para hacerme preguntas sobre todo lo que les sucede. Ya sabéis, las grandes dudas existenciales que les asaltan: "¿Por qué la última película que me he bajado del Torrent no se ve tan bien? ¿Cuál es el mejor anti-virus? ¿Por qué los hackers cifran el porno en pendrives de Cálico Electrónico?" Vamos... lo normal. En una de esas consultas, hace no mucho, un amigo me dijo que su conexión a Internet iba "lenta".

Le hice las preguntas pertinentes, que empezaban por: "¿Qué autenticación y cifrado usas en la WiFi? ¿Has cambiado la clave por defecto? ¿Has actualizado el firmware? ¿Qué modelo de router tienes exactamente?" Etcétera. Por supuesto, usaba un WiFi de las que pone una operadora con password predecible de las que pueden romperse con herramientas como Liberad a WiFi, y tras decirle que entrara al log del DHCP del router, aparecían un par de equipos más de los que tenía mi amigo.... y se enfadó mucho, mucho, mucho.

Total, que lejos de cortarle la conexión al "Cuco", decidió aprender a usar Cain y Wireshark, para ver quién era el que se había invitado a la fiesta sin invitación. Tras un par de semanas, revisando horarios de las conexiones, haciendo técnicas de ingeniería social: "¿Qué tal vecino? ¿Has visto la peli de de Thor?" precisamente la que acababa de bajar el día antes por su WiFi, camino de su Cuco, etc..., haciendo un mapa con los modelos de los equipos de todos sus vecinos dio con él, y con un par de passwords de webs que usaba.... Y la cosa acabó muy mal.

Si vas a hacer "uso de la WiFi" ajena, hazlo con prudencia, y no como abuso, y teniendo en cuenta que pues estar metiéndote en la boca del lobo y te pueden robar las passwords. Si lo haces como abuso, ten cuidado no sea más grande que tú, que a lo mejor tiene un amigo que sabe de informática y le enseña. Y sobre todo, si has tenido una de estas, escarmienta, que aunque pienses que no, siempre puede ser peor, y estés intentando hackearle la WiFi a alguien que de verdad sepa de tecnología, que se de cuenta y ....


Saludos Malignos!

lunes, septiembre 17, 2012

Aviones de famosos: ¿Dónde están?

En la rutina habitual de leer los RSS este fin de semana me encontré con este genial artículo de DragonJar titulado "Los aviones de los famosos no son tan privados" en el que habla de cómo es posible seguir los movimientos de los famosos por medio del registro de vuelos que dejan sus aviones privados. Yo he querido probarlo, y la verdad es que es realmente curioso.

Encontrar los aviones de los famosos no es demasiado complicado. Muchas veces es posible hacerlo porque la compañía presume de ello, otras porque es imposible que las matrículas de los aviones no queden al descubierto en los actos públicos. Basta con buscar un poco en Google para encontrar las matrículas de los aviones de famosos como Bruce Dickinson o Enrique Iglesias, los aviones que usan los presidentes o políticos de alto cargo, o directivos de grandes compañías como Amancio Ortega, Abramovich, o personalidades cómo Julio Iglesias.

Figura 1: Avión privado de Julio Iglesias. Matrícula N768JJ

Una vez localizadas las matrículas se pueden ir a las bases de datos de vuelos que tienen Flight A Ware o Fligh Radar 24 y buscar la matrícula del avión, para poder ver el último viaje de la persona de turno. En este caso, podemos ver el último vuelo del avión de Julio Iglesias que, fiel a su tradición de estar moreno, pasa por Punta Cana en la República Dominicana.

Figura 2:Último vuelo registro del avión con matrícula N768JJ

Para ver los últimos cuatro meses de vuelos hay que registrarse - es gratuito - pero puede sacarse un detalle completo de los vuelos.

Figura 3: Lista de vuelos del avión con matrícula N768JJ

Sin embargo, estos datos pueden hacerse privados, así que si buscamos los últimos vuelos del avión de Google o del presidente de la República Francesa, podremos toparnos con que no hay datos disponibles.

Figura 4: Datos no disponibles

Por otro lado, se pueden utilizar las webs de los aficionados a la fotografía de aviones como Airliners.net, JetPhotos.net o  PlanePictures.net, que registran en qué ciudad tomaron la fotografía del avión aterrizando o despegando, lo que permite obtener datos curiosos mezclando todos ellos. Aquí el caso del avión de Bernie Eclestone.

Figura 5: Fotos del avión con matrícula G-OFOA
Figura 6: Fotos del avión con matrícula G-OFOA
Así que, además de poder utilizar los metadatos de las fotografías que publican en sus redes sociales o Cree.py con los twitts que ponen en sus webs, es posible seguirles la pista por sus aviones. Lo que no he encontrado por ahí es que circule ninguna lista - o base de datos - de matrículas de aviones generada a base de información pública. Tal vez sería un buen proyecto OSINT.

Saludos Malignos!

domingo, septiembre 16, 2012

Cálico Electrónico Temporada 4 Capítulo 3: "¿Quién teme al Lobombre feroz?" (O cómo cambió el cuento de Tazirupeca)

Desde que vi este capítulo hace unas dos semanas me he estado riendo una y otra vez. Lo he visto como unas 25 veces enseñándolo de estraperlo a amigos muy cercanos, y repasando los chistes y guiños al espectador, que con las risas las primeras veces siempre se te escapan muchos. Ahora ya está publicado, y podré comentarlo abiertamente con colegas, ya que para mí, este capítulo es uno de los mejores, si no el mejor, de la serie de Cálico Electrónico. Tiene como cosa para mí, que le da una continuación genial a aquella mítica Historia de Amor.


Recuerda que tienes todos los capítulos en HD en la web oficial de Cálico Electrónico, y que puedes ayudarnos a seguir haciendo más capítulos comprando algo de "merchan" en la tienda oficial de Cálico Electrónico, o difundiendo el capítulo en tu blog o en tus redes sociales. Para distribuir los vídeos,tienes todos los capítulos en el Canal YouTube de Cálico Electrónico, así que no hace falta que los vuelvas a subir a YouTube - que además hace daño a Cálico -.

Además, recuerda que puedes seguir las Tiras de Cálico Electrónico todos los martes en el blog de ESET ES, y los miércoles en la web de Deili Electrónico. Para enterarte de todo lo que acontece sobre Cálico Electrónico, puedes seguir la Cuenta Oficial de Cálico Electrónico en Twitter y la Página Facebook de Cálico Electrónico.

Saludos Malignos!

sábado, septiembre 15, 2012

Pull the Plug: Bureaucratic Denial Of Service (4 de 4)

Tras acabar de realizar la petición, como se vio en el apartado anterior, se generará un expediente de baja que habrá que validar. Para ello nos llegará un correo electrónico - al que correo que hemos dado alta  en la petición - con el proceso a seguir, junto con un formulario que habrá que rellenar. Una vez cumplimentado hay que enviarlo, junto con una fotocopia del D.N.I., a la dirección que nos facilitan.

Figura 17: el e-mail de confirmación de la solicitud

Por lo tanto, como podéis observar, de una forma tremendamente sencilla es posible crear en el sistema un expediente de destrucción de dominio y ocultar, al administrador, todo el proceso.

Validación de la solicitud de baja

Una vez obtenidos los datos de la cuenta objetivo y cursado la solicitud de baja en su nombre, la mayoría de los registradores nos requerirán una serie de documentos que acrediten nuestra identidad - aunque, por ejemplo, en el caso de 1&1 no sea necesario, activándose en el momento en que se cursa -. Gracias a los datos obtenidos en el ataque al sistema de gestión de facturas, o incluso si basta con los datos que se pueden obtener acerca del propietario del dominio por medio de Whois o la web, donde la gente no solo publica sus pasaportes sino también sus D.N.I.s,  podremos ser capaces de generar los documentos que nos requieran y, por tanto, validar la solicitud de baja.

Figura 18: Formulario que hay que rellenar para confirmar el "Pull the plug"

Hace unos años todo intercambio que requiriese, por ejemplo, la fotocopia del D.N.I, de una persona se gestionaba a través de correo ordinario y fax. Esto no es un gran problema siempre y cuando la empresa en la que tiene contratados los dominios se encuentre en tu mismo país. Gracias a que actualmente se ha migrado al contacto a través de correo electrónico, se ha deslocalizado el ataque además de facilitar en gran medida la falsificación de los documentos solicitados.

Figura 19: Resultados de búsqueda DNI en Google Images

En el caso que nos ocupa (OVH), cabe destacar que todo el proceso se realiza a través de correo electrónico y, los únicos documentos que se requieren son: la solicitud de baja rellenada y una fotocopia del D.N.I. del propietario que figura en la misma. Si bien ya de entrada es un proceso que puede ser explotado fácilmente, pero si a eso le añadimos que en la mayoría de los casos OVH no tiene por qué tener una fotocopia del D.N.I. ya que no se solicita y por lo tanto sólo tendrá los datos de facturación, podemos falsificarlo fácilmente y, aprovechándonos de que el proceso es electrónico, no tendremos que poner ningún cuidado en ello.

Figura 20: Falsificación de D.N.I. con Photoshop

Para validar la solicitud basta con responder al e-mail de confirmación de la solicitud de baja adjuntando ambos documentos y, esperar entre una y dos semanas a recibir el email de confirmación de la baja del servicio y la destrucción de cualquier dato asociado al mismo, exceptuando aquellos que obligue a almacenar la legislación correspondiente.

Figura 21: Confirmación del "Pull the Plug". Todo en regla.

Conclusiones

Al final, uniendo varias vulnerabilidades lógicas en el proceso de gestión de ordenes, algunos fallos de libro en la seguridad de una aplicación web, era posible solicitar la baja de un dominio, como se ha visto en este ejemplo, pero el ataque podría haber sido mucho peor, ya que controlar el DNS permite controlar todos los servicios que dependen de él.

Figura 22: Ataque David Hasselhoff a un dominio
Por supuesto, uno de los ejemplos más graciosos en el control del DNS, es que puede permitir que un "amigo" te haga un defacement con un ataque David Hasselhoff con todo el amor del mundo.

OVH fue avisado de estas vulnerabilidades antes de publicar este artículo, y a día de hoy (creemos que) están totalmente solventadas.

***************************************************************************************************
- Pull the Plug: Bureaucratic Denial Of Service (1 de 4)
- Pull the Plug: Bureaucratic Denial Of Service (2 de 4)
- Pull the Plug: Bureaucratic Denial Of Service (3 de 4)
- Pull the Plug: Bureaucratic Denial Of Service (4 de 4)
***************************************************************************************************

Entradas populares