jueves, febrero 28, 2013

Resolver el factorial de 100 no es "picar código"

Durante las pasadas navidades tuve que ayudar a un joven proyecto de Ingeniero Aerospacial con la "dura" asignatura de "Informática". Para aprobarla era necesario realizar cuatro prácticas, y la segunda de ellas se le había atascado a él, y a todo el resto de compañeros de su grupo. Habían preguntado a familiares que ya habían acabado la carrera de Ingeniería Aerospacial - con muy buena nota además - y a otros que estaban estudiando Informática, y estaban desesperados, por lo que como hay relación de familiaridad, decidieron pedirme ayuda a mí para acabar la práctica.

Hablamos un viernes por teléfono, para quedar en vernos el sábado siguiente, y durante esa llamada me contó cuál era esa práctica que tanto estaba costando a todos los miembros de su clase: Calcular el factorial de 100 sin perder ninguna cifra.
- "Pero hombre, si eso está chupado", contesté, "¿cuál es el problema?".
- "Que el compilador se rompe cuando va por treinta y algo".
- "No hombre, el compilador está bien, es que estás desbordando el tipo".

- "¿Qué es eso?", me dijo.
- "Ese es un problema típico de ingenieros, resolver las limitaciones", dije.
- "Bueno, mañana me lo cuentas", se despidió.
Al día siguiente nos citamos compilador mediante para que le ayudara a programar la práctica, dispuesto a explicarle que es un T.A.D. (Tipo Abstracto de Datos) y a ayudarle a codificarlo usando una lista en el lenguaje que tocara.
- "¿En qué lenguaje estáis programando?", dije esperando C, Java o Pascal.
- "Fortran", respondió.
Su puta madre pensé. Años oyendo hablar de este lenguaje y nunca me había tocado aprenderlo. En fin, que se le iba a hacer, tocaba aprender Fortran para codificar un TAD. No podía ser muy difícil.
- "¿Tienes un manual?", le inquirí
- "Sí, éste, pero no sé si será suficiente", me respondió.
Tras comprobar que explicaba como funcionaban los bucles, la definición de arrays enteros, la llamada a funciones y la impresión por pantalla concluí que era más que suficiente, así que abrí el editor de texto, le expliqué como iba el TAD y en menos de 100 líneas y 2 horas estaba codificado y resuelto el problema del factorial de 100 con todas las cifras.

Presentó la práctica, aprobó él y todos sus compañeros a los que les pasó la práctica y "se inspiraron en ella" para entregarla. Las dos siguientes prácticas que le quedaban también las hicieron, aunque de nuevo con estrategia grupal de manada, lo que concluyó con un bonito Sobresaliente en la asignatura sin haber pasado ningún examen.

Creo que los sobresalientes de mis notas en la universidad se pueden contar con los dedos de un pie - ya os leí parte de las notas en el discurso de la servilleta - , pero aprendí a programar bien y a disfrutar haciéndolo - a pesar de que en mi día a día no me toca hacerlo -, pero cuando estuve esas dos horas aprendiendo lo justo de Fortran para hacer la práctica me sentí como cuando lo hacía a diario. No se olvida.

Tras esto me acordé de por qué creo que este método de sólo trabajos está mal. Yo prefiero examinar a mis chic@s, obligarlos a estudiar un poco y "sufrir el trauma" de enfrentarse con un problema delante de una hoja en blanco.

Dicho esto, he de decir que os cuento toda esta historia por un motivo mucho más cercano en el tiempo: La selección de las becas Talentum para Zaragoza. Allí he entrevistado ya a más de 30 personas, la mayoría Ingenieros Informáticos e Ingenieros de Telecomunicaciones, y algunos me dijeron una frase que me llama mucho la atención: "Si hay que picar código, pues se pica".

No, no, no. Yo no quiero que piquéis código. Quiero que os sintáis como yo me sentía cuando veía a Los Programadores en TRON, siendo dioses capaces de crear vuestra propia tecnología. Programar no es un castigo. ¡Ni mucho menos! Es un don.

Cuando era un adolescente recuerdo pasarme horas programando los píxeles de la codificación ASCII para hacer animaciones en modo texto en Lenguaje C y disfrutar como un enano, o hacerme programas para calcular la quiniela, o simuladores de Ligas de Fútbol en los que los resultados eran simplemente valores RAND que veía como jornada a jornada cambiaban para obtener un equipo ganador distinto y saber quién era el campeón al final de la temporada.

No pienses que programar es "picar código" como algo despectivo, piensa en programar como algo maravilloso que te permite estar en el reducido grupo de los que pueden crearse sus herramientas.

Saludos Malignos!

miércoles, febrero 27, 2013

IIS Short Name bug en los servidores web de Apple

No, no es que los servidores de Apple se haya contagiado de la ya famosa vulnerabilidad de los servidores web de Microsoft IIS que permite descubrir los archivos de una carpeta en su formato de nombre 8:3, es que en Apple.com también utilizan Microsoft Internet Information Services.

Figura 1: Servidor IIS en Apple.com descubierto con FOCA

Hace tiempo le habíamos pegado un repaso con FOCA a los servidores web de Apple, por lo que además de sacar varios de los bugs que ya les notificamos hace tiempo, sabíamos que no eran muy propensos a usar solo su tecnología en lo que a los sitios web que publican se refiere.

Figura 2: IIS Short Name Fuzzer en FOCA PRO

Por eso, cuando estuvo acabado el plugin de IIS Short Name Fuzzer nuevo para FOCA PRO, decidí que había que probarlo en alguno de ellos, que seguro que tendría la vulnerabilidad y sería fácil extraer la lista de ficheros. Y así fue. Hicimos una pequeña prueba y sacamos algunos ficheros para comprobarlo.

Figura 3: Lista parcial de ficheros en rugby.apple.com

Como no, se lo notificamos, y ellos como siempre que le hemos reportado algo, con total amabilidad - hay que reconocer que los que reciben los bugs de la web siempre son cordiales - lo comprobaron, lo arreglaron, y lo reconocieron públicamente.

Figura 4: Reconocimiento del fallo en Apple

Al final, la suma de pequeños fallos acaban convirtiéndose en un problema serio, así que si no quieres que te pase, ve cerrándolos poco a poco. Si tienes IIS comprueba que no seas vulnerable a alguno de los que tienes en los Trucos para una auditoría .NET.

Saludos Malignos!

martes, febrero 26, 2013

Eventos en la primera quincena de Marzo de 2013

Estamos acabando ya el segundo mes del año, y hay que pensar en las actividades del que viene, así que, como hace mucho que no os informo, os voy a dejar una lista de todas las cosas que hay durante la primera quincena de Marzo, que no se diga:

Antes de que acabe este mes, el jueves 28 después del trabajo participaré en una mesa de debate en el evento Satelec que se realiza en el ETSI de la UPM en la Ciudad Universitaria.

ACTUALIZACIÓN: El día 2 de Marzo estaré también en el Hack For Good.

Comenzando el mes ya, los organizadores de las GSICKMINDS en la Universidad de A Coruña van a realizar unos talleres para recaudar fondos y traer a buenos ponentes en la próxima edición. Así que podrás formarte con Ángel Prado y Diego Ferreiro, que regresan de USA a trabajar un poco por su Galicia. ¡Ole por ellos!
1 de Marzo [A Coruña] Practical Web Security & Penetration Testing 
2 de Marzo [A Coruña] Desarrollo Avanzado en Javascript: From the inside out
Si te quedaste sin entrada para la RootedCON, aún puedes conseguir una si asistes a tres RootedLabs, este es el calendario y el número de plazas disponibles.

Lunes, 4 de Marzo

- Iniciación al Ethical Hacking con Backtrack Completo: Lista de Espera
- Hacking & Forensic iOS (iPhone & iPad) 6 plazas
- Reversing en Aplicaciones Win32: Métodos de protección 4 plazas

Martes, 5 de Marzo

- Iniciación al Ethical Hacking con Backtrack 2 plazas
- Metasploit Labs: Pentesting Completo: Lista de Espera
- Análisis de Malware para SysAdmins

Miércoles, 6 de Marzo

- Ingeniería inversa práctica con radare2 4 plazas
- Reversing, Malware y Forense en Android 3 plazas
- Pentesting Web Applications: Hacking & Reporting Completo: Lista de Espera

Luego llega la RootedCON, los días 7, 8 y 9 de Marzo, en Madrid, así que será el evento principal durante esos días, donde sin duda alguna nos vermos.

El día 12 de Marzo, se ha organizado un evento llamado ExpoCloud en Kinépolis [Madrid] de la organización Euro Cloud Spain, y me han invitado a participar, así que estaré dando una sesión de 1 hora sobre seguridad en la nube.

El día 13 de Marzo pasaré por la Universidad de Alcalá de Henares a dar una charla en un evento para estudiantes, donde hablaré de hacking y seguridad de red.

Para acabar la quincena, los días 14 y 15 me voy a Alemania, a participar por cuarta vez en la Troopers, una de mis conferencias preferidas, así que terminaré la quincena pasándolo "fatal".

Por último, todos los martes - como hoy - seguiré participando con Javi Nieves en La Mañana de 11:30 a 11:45, por si quieres escucharnos por la radio.

Saludos Malignos!

lunes, febrero 25, 2013

Informe Mandiant sobre APT1: UNIT 61398

La semana pasada la noticia fue sin duda la publicación del Informe Mandiant sobre APT1, centrada en una de las supuestas unidades del ejército chino encargadas de la ciber-inteligencia a nivel mundial: La UNIT 61398. Esta unidad no es más que uno de los más de 20 grupos APT que según Mandiant están investigando actualmente, aunque éste está en concreto centrado en países de habla inglesa.

Figura 1: Indice general del Informe Mandiant sobre APT1

He de decir que me parece que el gobierno de los USA, teniendo en cuenta la poderosa Acta de Patriotismo bajo la manga, debe tener mucha más información en sus manos que lo que se cuenta en este informe, donde muchos de los datos pueden ser consultados en la red.

Figura 2: Normas a las que se suscriben las empresas tecnológicas que firman el USA Patriot Act

Pensando así, las motivaciones por las que se ha hecho público se me reducen a una: Porque en este momento valía más la pena que se hiciera público que lo que se podría conseguir continuando recogiendo datos. Esto puede ser simplemente porque la UNIT 61398 había accedido ya a esta información y estaba tomando medidas o porque se quería meter una presión mediática sobre ellos que solo se podría conseguir de eta manera.

Por supuesto, el gobierno chino ha desmentido todo y ha dicho que el informe está lleno de especulaciones y datos no comprobables con el objetivo único de implicar públicamente al gobierno de China en actividades de ciberguerra cuando son los Estados Unidos los más peligrosos en este campo. Vamos, un episodio más de los incidentes de ciber-guerra y ciber-espionaje.

Yo he de decir que visto lo visto, no me cabe ninguna duda de que tanto USA como China tienen sus unidades militares para este tipo de actividades, que están tan organizados como deja entrever el informe, y que con este informe solo se ha querido meter algún palo en las ruedas del Ejercito Chino para conseguir "algo". Algo que con este vídeo que publicaba David Barroso en su blog, parece querer ridiculizarse.

Figura 3: Vídeo que resume y pone en duda el informe

Por fin saqué tiempo para leerlo en detalle, y os voy a hacer un resumen, además de recomendaros encarecidamente que leáis todos los detalles, ya que estés de acuerdo o no con lo que se dice, el informe está plagado de reseñas y muestras de trabajo en técnicas OSINT, Reversing e infoSEC que merece la pena disfrutar. Dicho esto, el informe principal, de poco más de 50 páginas, recoge los siguientes puntos clave:

1.- APT1 es la Unit 61398 del Ejercito Popular Chino.

Esta afirmación se hace desde el primer momento y se argumenta mostrando memorandums internos que hacen referencia a su existencia y a las responsabilidades de los miembros de esta unidad.
Figura 4: Supuesta ubicación de la Unit 61398 dentro de la escala

Todas las atribuciones que se les suponen están centradas en network security, reversing, etcétera, lo que deja bastante expuesto que los miembros que allí trabajan son expertos en seguridad informática y técnicas de hacking.

En el informe también se aportan fotos de la supuesta base de operaciones de la Unidad 61389, situada en  una zona de Shanghai, y que por supuesto, después de la liberación del informe ha generado situaciones como la que se produce en este intento de grabar la zona por parte de la CNN.

Figura 5: Vídeo-reportaje de la CNN con una carrera del ejercito Chino para prohibirlo

2.- APT1 ha robado centenares de TeraBytes de información de al menos 141 organizaciones y ha demostrado la capacidad de hacerlo simultáneamente con docenas de ellas.

El siguiente mapa recoge las organizaciones atacadas por esta unidad al rededor de todo el mundo,  siendo siempre ataques dirigidos contra organizaciones concretas. Para ello utilizan técnicas de phishing dirigido, contra personas concretas de la organización de las que previamente han obtenido datos mediante técnicas OSINT.

Figura 6: Operaciones de APT1 por país

3.- APT1 se ha focalizado en ataque a industrias de habla inglesa.

El tipo de organización varia según cada caso, y como puede verse no son estructuras militares o de gobierno, sino industrias claves para la economía, según el informe.

Figura 7: Tipo de industria y año en que se realizó la operación en APT1

4.- APT1 mantiene una extensa infraestructura de sistemas informáticos a lo largo del mundo

A lo largo del informe se dan datos concretos de servidores y nombres de dominio contratados por todo el mundo para poder realizar sus operaciones. Esta correlación de datos se hace en base a información obtenida sobre algunas de las identidades que más adelante se revelan, de miembros de APT1.

Figura 8: Dominios tecnológicos usados en las operaciones

Entre la infraestructura cuentan con un amplio número de nombres de dominios pensados para engañar a los usuarios en diferentes áreas. En la imagen superior algunos dominios del area de tecnología pertenecientes a la organización. Después de la publicación del informe, 26 de estos dominios fueron secuestrados, supuestamente por el gobierno americano.

5. En más del 97 % de los casos en los que Madiant observó intrusiones de APT1 conectándose a su infraestructura de ataque, usaban direcciones IP de Shanghai y equipos configurados con idioma Chino Simplificado.

En el informe se aportan los rangos de las direcciones de IP detectadas en todas las conexiones que, por supuesto, pertenecen a las redes de Shaghai donde está la supuesta base.

Figura 9: Una de las tablas con las direcciones IP aportadas en el informe

6.- El tamaño de la infraestructura de ataque de APT1 implica una organización con al menos docenas, pero potencialmente, cientos de personas.

Con todos los datos aportados en el informe, la especulación del tamaño de la supuesta unidad es de docenas o cientos de personas, aunque solo han revelado el nombre de tres identidades, supuestamente usadas por miembros del equipo bajo los nicknames de UglyGorilla, DOTA y SuperHard. Los datos de ellos los rastrean a través de la web, hasta perfiles del año 2004 como el de UglyGorilla en una conferencia online.

Figura 10: Perfil de UglyGorilla en un foro online de 2004

Para terminar, el informe acompaña 3.000 indicadores en los Apéndices Digitales para detectar y parar el impacto de APT1 en las empresas, entre los que se incluyen los nombres de dominos que deben ser bloqueados en los firewalls, hashes de todo el malware creado por ellos, y utilizado por ellos - algunas son herramientas de hacking conocidas para hacer elevación de privilegios entre las que está  el  Pwdump7, ese que se firmó con un certificado robado de Adobe ¿tendrá algo que ver?- y más de 500 evidencias forenses para que puedan ser analizadas, como ha empezado a hacer José Selvi.

Espero que este resumen te permita tener una mejor información de todo lo que ha pasado alrededor del informe Mandiant sobre APT1, la Unidad 61398 y la ciberguerra entre países.

Saludos Malignos!

domingo, febrero 24, 2013

No Lusers 163: Batman contra El Pingüino


En los cómics de DC siempre me decanté más por Batman que por Superman. Ya sabéis, Superman es un tipo íntegro que domina todas sus emociones logrando que triunfe el bien a base de mantenerse puro. Batman, por otro lado, se mezcla con la basura de la ciudad de Gotham y algunas veces acaba siendo afectado por ella. Todo se le complicó a Batman cuando El Pingüino llegó al gobierno de la ciudad, y la corrupción nacía de las mismas entrañas de las instituciones.

Y ahí la gran diferencia en la que Batman es distinto a Superman. Mientras Superman acepta ordenes de su presidente, incluso cuando este es Lex LuthorBatman saca la rabia que le confiere su humanidad, que es a su vez su fuerza y su debilidad, y lo arregla con fiereza aún contrariando las órdenes de su alcalde El Pingüino. No sé ni cuantos esbirros de El Pingüino habrán sufrido la ira de Batman en plena resolución de un caso...

Es lo bueno de los cómics, en ellos todo vale. Incluso que nos salven super-héroes que entregan su vida por el bien de todos los demás. ¿Tu de quién eres? ¿Más de Batman o más de Superman?

Saludos Malignos!

sábado, febrero 23, 2013

Antes del test de intrusión vete de Wardriving por la zona

Cuando quieres utilizar una JavaScript Botnet con un Rogue AP para infectar terminales móviles la elección del nombre SSID de la red WiFi es fundamental. Para ello, puedes sniffar el espacio para que ver qué redes están buscando, pero esto puede resultar infructuoso si tienes el tiempo limitado. Deberías estar un tiempo antes recolectando mensajes Probe para tener una buena miriada de redes WiFi que puedas utilizar en la configuración del Rogue AP.

El problema en ese situación es que si las redes a las que se conectan esos dispositivos tienen algún tipo de seguridad, no será posible establecer la conexión con ellos si no sabemos los protocolos que usa y la contraseña. Solo nos funcionaría con redes abiertas a las que se hubiera conectado antes.

Para conseguir que la "cangrejera" WiFi que vas a montar en la recepción de la empresa a la que vas a hacer el test de intrusión se llene de cangrejos según estos vayan pasando, lo mejor es que tengas listas redes WiFi con tu Karmetaexploit y tu Metasploit que los usuarios habitualmente utilicen. Por ejemplo, unas buenas candidatas serían las de cafeterías y restaurantes cercanos a los que los empleados puedan irse a comer de vez en cuanto.

Para ello, antes de montar tu Rogue AP, lo suyo es que te hayas hecho con un alguna herramienta de WarDriving que te provea de las redes WiFi con las contraseñas cercanas de las que tienes cientos para dispositivos móviles como WiFiFoFum para iOS e incluso como 4sqrWiFi que permiten encontrar redes vía FourSquare. Si no, te das un paseo con tu suite de herramientas de cracking preferida y haces tú el mapa de las redes WiFi más probables que vayan a usar los empleados cuando vayan a tomar café o comer.

Figura 1: WiFiFoFum para iOS

El resto es poner tu Rogue AP y esperar que iPhones, iPads, incluso los Mac OS X o cualquier otro dispositivo que no valide el BSSID - ¿Es importante la validación del BSSID? - de la WiFi se coma la conexión, pida un fichero a través nuestro y se coma el JavaScript con el Payload de la Botnet. Y así estará, dándonos acceso a la Intranet de la empresa, a la que podremos llegar a través de este equipo infectado haciendo un ataque dirigido con la botnet en JavaScript.

Así que ya sabes, antes de preparar un Rogue AP + JavaScript Botnet hay que hacer un poquito de WarDriving por la zona para tener éxito.

Saludos Malignos!

viernes, febrero 22, 2013

Libro de Hacking y Seguridad VoIP

Si hace unos años me hubieran dicho que la Colección de libros de Informática 64 alcanzaría 20 títulos me hubiera maravillado y sin embargo, con este nuevo libro llegamos a esta cifra. El libro, centrado en Hacking y Seguridad de sistemas VoIP está escrito por un especialista en esta materia: El gran José Luis Verdeguer, a.k.a. @Pepeluxx. No en vano va a dar este año una charla en la RootedCON sobre esto temas.

Figura 1: Portada del libro Hacking y Seguridad de VoIP

El libro está ya a la venta y en un plazo de 24 horas lo tienes en tu casa - salvo fines de semana que nos conocemos -. El índice de contenidos del libro lo tienes en la web del libro: Hacking y Seguridad VoiP, y sí, Asterisk es parte fundamental del libro. Con éste, la colección completa queda con los siguientes títulos:

Figura 2: Libros de Informática 64
- Libro 20: Hacking y Seguridad VoIP
- Libro 19: Microhistorias: Anécdotas y curiosidades de la Informática
- Libro 18: Hacker Épico
- Libro 17: Metasploit para pentesters
- Libro 16: Windows Server 2012 para IT Pros
- Libro 15: PowerShell: La navaja suiza de los administradores de sistemas
- Libro 14: Desarrollo Apps para iOS: iPad & iPhone
- Libro 13: Ataques en redes de datos IPv4 e IPv6
- Libro 12: Hacking de Aplicaciones Web: SQL Injection
- Libro 11: Aplicación del ENS con tecnologías Microsoft
- Libro 10: Hacking de comunicaciones Móviles
- Libro 9: Máxima Seguridad en Windows 2ª Edición
- Libro 8: Fraude Online: Abierto 24 x 7
- Libro 7: Hacking con Buscadores 2ª Edición
- Libro 6: Una al Día, 12 años de Seguridad (Últimos ejemplares)
- Libro 5: DNI-e: Tecnología y usos
- Libro 4: MS SharePoint 2010: Seguridad
- Libro 3: MS Forefront TMG 2010
- Libro 2: Aplicación LOPD
- Libro 1: Análisis Forense Windows 3ª Edición
Saludos Malignos!

jueves, febrero 21, 2013

Un escarmiento Maligno para una delincuente de Tuenti

La verdad es que estoy un poco cansado de recibir correos de esos que me piden que robe cuentas de correo o redes sociales, así que en esta ocasión decidí actúe de manera distinta. La aventura comenzó con un e-mail que me pedía que le enseñara a una chica a hackear el Tuenti para robar las cuentas de otros. 

Figura 1: Como no tengo nada que hacer en mi vida, me pide que trabaje para ella

Por supuesto, acostumbrado como estoy yo a estas cosas, lo primero que supuse es que era un correo spoofeado, así que le contesté con un poco de ironía, a ver si llegaba el correo - para ver si era la dirección correcta - y comprobar al mismo tiempo si entendía mi mensaje.

Figura 2: ¿Se ve clara la ironía o no?

La sorpresa fue que no solo me contestó, sino que me hizo un encargo directo y claro con la cuenta de otra chica. Eso sí, todo gratis y por su cara bonita... - sea quién sea -.

Figura 3: Parece que no ha pillado la ironía y me manda el perfil de su víctima

Pues nada, ya que no aprende por las buenas, decidí que entendiera por las malas, así que escribí un correo electrónico a las dos implicadas para que las dos sacaran algo de esta historia. 

Figura 4: El correo final con la enseñanza para que aprendan la moraleja

Tras este último correo recibí un mensaje de la persona que quería que hackeara la cuenta que decía lo siguiente: "...esto aunque invada parte de la intimidad de las personas no me parece que llegue a delito...".

Pues sí, es delito. Acceder a una cuenta de otro en una red social y ver sus mensajes privados es un delito... que puede llevarte a una detención y a una condena. Así que, si estas dispuesto a esto lo suyo es que te leas los artículos de Tuenti Security Issues, o Firesheep y Tuenti para que si quieres hacer un delito seas tú quién lo pague. A mí no me pidáis estas cosas, que yo ya tengo lo mío...

Saludos Malignos!

miércoles, febrero 20, 2013

Dmitry Sklyravov y su detención tras hablar en DEFCON 9

Hace poco os conté la historia de Michael Lynn y el CISCOGate que acabó con la censura de la documentación en BlackHat, y hoy os quiero contar otro suceso que bien podría haber sido otra microhistoria y que es de tintes similares a la anterior, pero con otro ponente. En este caso tuvo lugar en las conferncias DEFCON. Pero dejadme que os lo cuente tal y como yo me enteré de todos los acontecimientos que os voy a narrar.

La historia comienza con la primera vez que visité las conferencias Troopers en el año 2010, donde acabé sentado en la cena al lado de un ponente de origen ruso que se presentó como Dmitry. No conocía su historia previamente, pero a lo largo de la cena y la sobremesa, a la que asistían en la misma mesa Steve Dispensa y Marsh Ray que explicarían su TLS-Renegotiation bug, me enteré de todos los problemas legales que tuvo tras pasar por DEFCON 9

Para aquel año de conferencias, Dmitry Sklyravov, de ElcomSoft, impartió una charla en la DEFCON que tuvo lugar el 16 de Julio de 2001 sobre básicamente cómo quitar el DRM de los e-books comprados en formato PDF, en una charla que se tituló "ebook security - theory and practice" y en la que se presentaba una herramienta llamada Advanced E-Book Processor que puede ser localizada aún en Internet.

Figura 1: Dmitry Sklyravov

Todo parecía normal, hasta que intentó salir de USA de camino a Rusia el 19 de Julio de 2001, donde fue detenido y puesto en prisión por haber violado la DMCA (Digital Millenium Copyright Act) algo que apoyó la Association of American Publishers. Por supuesto se armó una buena, y hubo manifestación hasta en la puerta de Adobe pidiendo la liberación de Dmitry. Este vídeo muestra en un pequeño reportaje estos momentos.


Dmitry fue liberado tras pagar una fianza de 50.000 USD el 6 de Agosto de 2001, pero no pudo abandonar los USA hasta Diciembre de 2001. El juicio no se realizó hasta Diciembre de 2002, donde fue declarado "No Culpable" pero la historia estuvo coleando hasta el 2008 y puedes ver todos los documentos del caso en la EFF. La secuencia de los acontecimientos está recogida en el artículo de este caso en la Wikipedia.

A día de hoy Dmitry es un reputado speaker en todas las conferencias de hacking del mundo, aunque no en las que se realizan en USA. El caso ya está cerrado, pero jamás olvidará este episodio que le llevó a pasar por la cárcel, pasar 6 meses retenido en USA y andar con problemas legales durante años. Este próximo mes de marzo tendré la suerte de volverle a ver en acción, que además habla justo detrás de mí en la agenda de la Troopers 13.

Saludos Malignos!

martes, febrero 19, 2013

Buscar en la Deep Web usando Onion.To y Google

Llevo un tiempo buscando cosas por la red TOR - de ahí es donde han salido los posts sobre ¿cuánto cuesta contratar un asesino?, el dedicado a la compra de armas y explosivos en el Black market, o el del correo anónimo en la red TOR. La verdad es que, aunque hay buscadores como Torch o The Abyss, al final acabo buscado más rápidamente en Pastebin.com y revisando los volcados que ha hecho la gente de direcciones .onion. Pero eso tiene un problema: Las búsquedas no son demasiado cómodas y eficientes, y a veces consigo páginas y páginas del mismo foro sin aportarme nada nuevo en cada página de resultados.

Figura 1: Servicio Onion.to

Sin embargo, he visto que hay varios servicios, como el caso del sitio onion.to, que conectan la Web con la Deep Web, así que para buscar cosas rápidamente es mucho más cómodo. Evidentemente no está todo, pero es más que suficiente para buscar cosas puntuales y se agradece tener la potencia de un buscador como Google o Bing que te permitan usar los comandos de filtrado de búsquedas.

Figura 2: Sitios de onion.to indexados en Google

Google tiene indexadas casi 94.000 páginas, así que buscar cosas en los dominios .onion es tan sencillo como usar el comando site:onion.to y los términos que te interesen, como buscar información sobre pasaportes americanos.

Figura 3: Resultados en la red .onion que hablan de pasaportes USA

Consultas sobre el DNI y lo que de él se quiere hacer. Cosas del mundo del Fraude Online.

Figura 4: Resultados sobre DNI

O sobre quién tiene malas intenciones contra alguna persona.

Figura 5: Alguien quiere hacer pedazos una iglesia en la red TOR

Además, si quieres ir a un sitio onion en tu navegador, basta con que pongas un .to al final y listo. Con esta forma de buscar en los dominios .onion tendrás por supuesto toda la potencia del hacking con buscadores disponible, por lo que si quieres jugar más, ahí tienes todo un campo de batalla.

Saludos Malignos!

lunes, febrero 18, 2013

Hackeada la web de los Premios Goya. Datos publicados.

Anoche tuvieron lugar los Premios Goya 2013 del Cine Español, y al mismo tiempo se publicaba en Internet gran parte de la base de datos de los asistentes a dicha gala, como los de muchos miembros de la Academia de Cine. El hackeo y la publicación de datos venía desde Lulzes y dejaba en AnonPaste una cantidad de datos personales, como nombres, direcciones de correo electrónico y números de teléfono personales que a más de uno va a dar  un quebradero de cabeza.

Figura 1: Parte del volcado de datos personales de los asistentes

Todo tiene pinta de ser un SQLi a un PHP mal codificado, algo que deja a las claras que de nuevo, una gran institución cae en el viejo error de poner en Internet una aplicación web sin haber pasado por una Auditoría de Seguridad de un equipo de hacking ético. No tiene sentido. 

No sé quién daría la orden de publicar la aplicación web sin auditarla externamente, no sé si algún informático dijo en su momento que esto era una locura o no, pero lo cierto es que ahora este fallo tan sencillo de detectar en cualquier test de intrusión va a traer problemas personales a todos los que acaban de perder la posesión de sus datos personales y a la organización detrás de la web.  Tú no lo hagas nunca: ¡AUDITA antes de salir a Internet!

Saludos Malignos!

domingo, febrero 17, 2013

Fugas de datos, esteganografía y end-point security

Después de casos de fuga de datos como el de Wikileaks muchas empresas se empezaron a preocupar por la fuga de datos por parte de sus empleados e implementaron medidas de seguridad orientadas a evitar que los empleados saquen ciertos documentos de la organización. Para ello se bloquean pendrives y grabadoras de DVD, se aíslan máquinas a las que solo se puede acceder vía escritorio remoto y donde no se permiten mapear puertos locales para que no salgan los documentos.

Figura 1: Bloqueo de disco duro USB en Windows 

Además de todas esas medidas físicas es necesario añadir algunas protecciones orientadas a detectar la fuga de datos vía Internet, pues es difícil tener entornos de trabajo con documentos sensibles en los que no haya conexión alguna a Internet - solo en entornos de alta seguridad se acaba haciendo esto -.

Para poder controlar estos entornos, normalmente se implantan sistemas soluciones de seguridad SIEM como Alien Vault, con módulos de correlación de eventos que añaden inteligencia a varios eventos que demuestran por ejemplo que alguien ha accedido a un fichero y éste ha salido adjunto en un mensaje de correo electrónico, o cientos de otras posibilidades.

Figura 2: Dashboard de Alien Vault

Pero como en todo, hoy en día los lusers - emulando al gran Wardog - acaban por dedicarse a buscar la forma de saltarse las protecciones buscando "hackers" o usando las maneras más insospechadas. Por supuesto, en entornos de robos de ficheros muchos acaban en las herramientas de esteganografía para resolver este "problema del prisionero" y llevarse los documentos ocultos en, por ejemplo, la fotografía de la firma de su correo electrónico.

Pensando en estas cosas, supuse que las herramientas de esteganografía estarían más o menos tratadas como una herramienta de hacking y por tanto los antimalware o sistemas de end-point security que detectan éstas - muchos antimalware tratan las herramientas hacking como malware - generarían una alerta. Así podría ser analizada por el SIEM de turno cuando alguien de una empresa descargue una herramienta de esteganografía, pues significaría que algo malo puede estar tramando.

Figura 3: Herramienta de esteganografía iSteg

Con estas me bajé unas herramientas de esteganografía de uso general, es decir, de las que están al alcance de todo el mundo, como Silent Eye - que está para Windows, Linux y Mac OS X -, iSteg - solo para Mac OS X - y File Injector para Windows. Todas de "andar por casa pero funcionales" para ver sí los antimalware las detectaban, así que las subí a Virus Total, a ver qué salía por allí.

Figura 4: Instalador de Silent Eye para Windows

Figura 5: El binario de Silent Eye para Mac OS X

Figura 6: Fichero comprimido con distribución de iSteg 

Figura 7: Binario de iSteg para Mac OS X

Como habéis podido ver, de todos ellos no ha habido ninguna detección o alarma, algo que en un entorno empresarial no debería ser bueno. Solo en el caso de File Injector se genera alguna alerta por sus módulos de publicidad, por lo que lo detectan como adware.

Figura 8: File Injector para Windows

Por supuesto, existen otras medidas a tener en cuenta, como controlar en el firewall, o en el IDS de la empresa, las URLs y los hashes de las descargas de este tipo de herramientas. Sin embargo, viendo como está el tema de las fugas de datos, parece más que útil ajustar todos los resortes y por ello sería práctico que los responsables de la seguridad end-point pudieran detectar las herramientas de esteganografía en un entorno empresarial directamente con el agente de seguridad instalado en el equipo.

Saludos Malignos!

sábado, febrero 16, 2013

Hacker Épico: La Presentación y El Cómic

Ya han pasado unas semanas desde la presentación del libro Hacker Épico que tuvimos en la Casa de Zamora en Madrid, pero quiero aprovechar para daros las gracias a todos los que asististeis hasta llenar la sala hasta los topes. La verdad es que fue un rato muy divertido ver a tantos amigos  y conocidos allí y poder charlar de todo un poco. En esta foto se ve más o menos cómo fue, y puedes jugar a buscar hackers, organizadores de CONs, dibujantes, CSOs y alguna sorpresa más. Una pléyade de lo más variopinta del mundo de la seguridad informática en Madrid.

Figura 1: ¿Dónde está Wally?

Para los que no pudisteis asistir, allí contamos varios cosas sobre el libro de Hacker Épico, como que ha sido el libro que más rápido se ha vendido de la colección, o los tres 0 days que están "escondidos" entre las páginas, de los cuales salió el advisory de las cámaras de seguridad con el Disclosure Timeline más curioso que he visto en años.

Figura 2: El disclouse timeline de uno de los 0days

También contamos que de una de las partes que se habla en el libro empezamos a trabajar para construir Recover Messages, sitio que ya tiene más de 20.000 peticiones de servicio realizadas,

Figura 3: Recover Messages, para recuperar mensajes borrados de WhatsApp, Tuenti o Line

Otra de las cosas que contamos que vamos a continuar con la saga, y que para ello en la web de Hacker Épico se van a ir publicando algunas web-stories poco a poco que darán continuación al final de la novela.

Por último, desvelamos el proyecto en el que llevamos trabajando desde que devoré la historia por primera vez: Hacer un Cómic del libro. Para lo que hemos hablado con varios digujantes para que nos haga una adaptación de la novela a un cómic con toda la fuerza de su dibujo. En la presentación os enseñamos algunos diseños de personajes, y aquí tenéis a tres bocetos iniciales - no definitivos - de los que sustentan la historia: Ángel, Marcos y Yolanda.

Figura 4: Ángel, el hacker protagonista de la historia

Figura 5: Marcos, el amigo y compañero de Ángel

Figura 6: Yolanda

La verdad es que me muero de ganas de ver dibujada toda la historia, pero no hay fechas de entrega definitivas, ya que quiero que el cómic esté cuando los artistas decidan que ya está, así que tienen todo tiempo para acabarlo, pero no os preocupéis que os lo iré contando por aquí.

Saludos Malignos!

viernes, febrero 15, 2013

La Policía Española "acaba" con el Virus de la Policía

Estos dos días pasados he estado a medio gas, ya que por motivos de trabajo he tenido que desplazarme a Londres, pero no importa... hasta allí llegaron las noticias de que la investigación de la Policía de España, concretamente por la Brigada de Investigación Tecnologica, contando con la colaboración de Europol, había dado con algunos de los criminales que estaban detrás del archi-famoso - por desgracia - Virus de la Policia.

Los detalles de la Operación Ransom ya son públicos, sobre todo después del revuelo mediático que este anuncio ha generado en todo el mundo, pero aquí os dejo el vídeo que explica todo el proceso, y el enlace al comunicado oficial.


Dicho esto, quiero aprovechar para darle la enhorabuena a todo el equipo de la BIT, y a todos los demás os recuerdo que tanto la Policía como la Guardia Civil tienen equipos especializados en la lucha contra el cibercrimen que ya han dado muchos éxitos en el pasado. Digo esto porque cuando tienes un incidente en tu vida personal que tiene que ver con suplantación, robo de identidad, ataques de D.O.S., o un malware que infecta tus redes, la denuncia ante los cuerpos de seguridad del estado es lo primero que debes hacer - y no buscar cibercriminales para tomarte la venganza por tu cuenta.

Esto ayuda a que la sociedad tome mayor conciencia del problema, se dediquen más recursos a la lucha contra el cibercrimen, y a que se acabe deteniendo a los criminales y juzgando - hace poco se ha juzgado también a los creadores de DNS Changer -, algo que pasa mucho más de lo que puedes pensar, y que será necesario, pues el virus de la Policia seguirá o mutará con otros equipos, y será necesario seguir luchando contra ellos, pues es difícil detener al 100% de los responsables.

Además, si quieres evitar estos problemas, tanto la Brigada de Investigación Tecnológica de la Policía como el Grupo de Delitos Telemáticos de la Guardia Civil hace tiempo que están intentando explicar a la ciudadanía lo que hacen los malos en las redes sociales, y puedes seguirlos en Twitter  - @Policia & @GDTGuardiaCivil - o Facebook - Policia Nacional & Grupo de Delitos Telemáticos de la Guardia Civil.

Saludos Malignos!

jueves, febrero 14, 2013

Tiras de Deili Electrónico: 33 a 36

Como cada cuatro semanas más o menos - y mientras sale el último capítulo de la 4ª Temporada que saldrá en Marzo, os traigo la recopilación de las Tiras de prensa de Deili Electrónico que publicamos semanalmente, gracias a la colaboración de Ediciones Babylon - con los que además estamos acabando ya el nuevo comic de Cálico Electrónico que saldrá en breve.


Las tiras anteriores las podéis ver en los siguientes posts o en la web de Deili Electrónico:
Durante este tiempo hemos terminado de recuperar los 50 capítulos de Mundo Cálico, y hemos comenzado a publicar los 35 Entremeses además de la serie de Huérfanos Electrónicos en HD.


Para que te puedas enterar de todo esto con facilidad, recuerda que tienes una aplicación de Cálico Electrónico para Windows Phone - además de la que ya hizo un fan para Android - donde podrás saber cuándo hemos publicado una nueva tira de comic de Deili Elecrónico o un nuevo capítulo de Cálico Electrónico. También tienes ya una aplicación para Windows 8 y en breve tendrás otra para dispositivos iOS.

Si eres fan del mayor superjiro del mundo y te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, en Tuenti, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico.

Saludos Malignos!

PD: Al final conseguimos salir en el APM }:)

miércoles, febrero 13, 2013

Secure Boot y Linux en máquinas con Windows 8

Para evitar el impacto de los bootkits, Microsoft está exigiendo que todos los portátiles que salen a la venta en OEM con Windows 8, esté activado Secure Boot en la UEFI. Esto hace que sistemas operativos como Linux no puedan instalarse en aquellos equipos en los que no hay un switch para deshabilitar esta protección de arranque.

Figura 1: SecureBoot y Windows 8

Pero como el objetivo de esta tecnología es acabar con los bootkits y no evitar que un usuario se pueda instalar Linux, ahora se ha hecho público desde la Linux Foundation un pre-loader firmado por Microsoft que permite arrancar un cargador de sistemas operativos Linux en sistemas con Secure Boot activado. Los ficheros se pueden descargar desde el blog de James Bottomley junto con una imagen miniusb preparada para su arranque y permiten usarlo en equipos donde no sea posible tocar Secure Boot.

Figura 2: UEFI de Intel con Secure Boot configurablele

Esta no es la primera solución para instalar Linux en equipos con Secure Boot, y ya hace unos meses se publicó un sistema para utilizar un cargador Grub firmado que permitiera arrancar luego cualquier sistema operativo Linux aunque en este caso es necesario cargar las firmas en el firmware UEFI

Saludos Malignos!

martes, febrero 12, 2013

Segundas y terceras ediciones de nuestros libros

Ya son 19 los libros que tenemos publicados en la Colección de Libros de Informática 64 y muy pronto el número de títulos va a volver a crecer con, de momento, tres títulos nuevos que ya están camino de la imprenta y la encuadernación para que estén a tiempo de estar en la RootedCON. Sin embargo, hoy no vengo a anunciaros ningún título nuevo, sino las nuevas ediciones de libros que ya estaban en la colección. Son estos:

Análisis Forense Digital en entornos Windows: Tercera Edición

Tras superar los 2.000 ejemplares vendidos, hemos sacado una 3ª Edición de este libro, en la que Juan Garrido "Silverhack" ha estado revisando y añadiendo ideas para las nuevas versiones de Windows además de ampliando el texto con un nuevo capítulo dedicado integramente al análisis forense de un sistema en un entorno de malware. Los asistentes al RootedLab de de Análisis de malware para administradores de sistemas recibirán este texto. El libro está disponible en:
Análisis Forense Digital en entornos Windows 3ª Edición
Máxima Seguridad en Windows : Segunda Edición

Acabada la primera edición de 1.000 ejemplares, Sergio de los Santos ha añadido un nuevo capítulo centrado en las novedades de seguridad en Windows 8, para que tengamos la segunda edición de su libro abarcando todos los sistemas de kernel 6.x, es decir, Windows Vista, Windows 7 y Windows 8. Los asistentes al RootedLab de Máxima Seguridad en Windows recibirán esta edición. El libro está disponible en:
Máxima Seguridad en Windows 2ª Edición
Hacking con Buscadores: Segunda Edición

También este texto de Enrique Rando agotó la primera edición, y hemos publicado ya la segunda edición del mismo, con un nuevo capítulo dedicado a un buscador que da mucho juego en auditorías de seguridad de empresas grandes como compañero de Shodan, Google y Bing: Robtex. El libro está disponible en:
Hacking con Buscadores 2ª Edición
Todos estos ejemplares estarán disponibles esta semana el 14 y 15 de Febrero en el T3chFest de la Universidad Cárlos III donde nuestro compañero Pablo González dará una charla sobre Metasploit y en la próxima RootedCON.

Saludos Malignos!

lunes, febrero 11, 2013

Evasi0n o Victoria: iOS & Android Full Disk Encryption

He de confesar que tengo más gadgets que un bazar, y entre ellos tengo una tablet Samsung Galaxy Note 10.1 con Android, una tablet con Windows 8 y varios iPhone & iPad con iOS. Son con ellos con los que enredo, juego y experimento cosas, procurando mirarme las opciones que traen de seguridad para saber mejor cómo funcionan. Una de ellas, por supuesto, el cifrado de datos del disco duro de la tablet, que es de lo que os quiero hablar hoy.

En el caso de mi tablet con Windows 8 no hay mucho que hablar, ya que se activa Bitlocker y la única forma de atacarlo a día de hoy es mediante alguna herramienta de fuerza bruta o instalado algún bootkit que haga un Cold Boot para engañar al usuario y robar la contraseña, poco más.

En el caso de Android, con la opción de cifrar el teléfono la cosa es similar a Bitlocker, ya que se cifra todo el disco y las claves de descifrado no se liberan hasta que no se ha introducido la clave maestra. Es decir, cuando se quiere encender el terminal es necesario que se conozca e introduzca esa clave o el terminal Android no arranca, lo que obliga de nuevo a pensar en ataques de fuerza bruta contra el algoritmo AES-128 que está utilizando actualmente.

Figura 1: Opción de cifrar todo el teléfono en Android

En el caso de los dispositivos iOS la cosa cambia, pues aunque el disco está cifrado completamente, nada más encender el terminal - ya sea iPhone, iPad o iPod Touchel disco del sistema es descifrado con la clave derivada del UDID, por lo que se abre la posibilidad de lanzar un exploit contra el sistema, hacer un jailbreak y copiar todos los datos.

Figura 2: Arquitectura de cifrado del sistema de ficheros en iOS

Esto, desde que esta semana se liberase Evasi0n para todos los terminales con iOS 6.x deja absolutamente al 100% de los terminales iOS en manos de las herramientas de análisis forenses, pudiéndose copiar todos los datos del disco en cualquier situación, como por ejemplo con las máquinas que tiene la policía en algunos países para clonar los terminales de los sospechosos.

Figura 3: Evasi0n 1.2. Herramienta de jailbreak para dispositivos iOS 6.0 a iOS 6.1

Esto quiere decir que, aunque algunos digan que la seguridad de iOS es irrompible - que no discuto que el algoritmo de cifrado sea bueno - la existencia de un jailbreak y la no posibilidad de poder poner una password maestra para evitar que se liberen las claves de cifrado del disco en arranque tal y como se hace con Bitlocker y en Android, lo hacen casi inservible.

Saludos Malignos!

Eleven Paths Blog

Seguridad Apple

Entradas populares