miércoles, julio 31, 2013

jTrypanosoma: WebBotnets Research Project

Hoy en día las botnets basadas en ataques XSS (Cross-Site Scripting) son bastante comunes, y hay varios proyectos que atacan esa disciplina. La idea es encontrar sitios web que tengan vulnerabilidades XSS e infectarlas con un bot en JavaScript que se ejecute cada vez que un navegador cargue esa página. Tanto si es un XSS Persistente, XSS "Google Persistente"  como un XSS reflejado, estos bugs podrían servir para este propósito de cargar el bot en JavaScript que se conectará con el C&C y cargará los payloads.

Sin embargo, la primera vez que leí un trabajo de esto fue en el año 2008 - hace ya casi 5 años - cuando era miembro del equipo revisor de un congreso académico en Argentina llamado JAIIO, en el que se presentó este trabajo titulado Webbotnets, la amenaza fantasma.

Figura 1: Sitio web del proyecto JTrypanosoma dedicado a WebBotnets

En el se planteaba el uso de tecnologías web para infectar y controlar las máquinas de los clientes mediante ataques basados en lenguajes JavaScript, algo que nosotros usamos posteriormente en el estudio de Owning Bad Guys {and mafia} using JavaScript Botnets por medio de un Rogue Proxy,  que ha utilizado malware como el porting del virus de la policía a navegadores Apple Safari, y que incluso se han planteado como una botnet de crimeware.

Figura 2: JavaScript WebBotnet de gsi2ufasta

El proyecto JTrypanosoma parece bastante abandonado a día de hoy, y los avances en los ataques client-side para hacer WebBotnets han avanzado mucho, con la existencia de frameworks avanzados como BeEF que pueden sacar partido de bugs de clickjacking en plugins de renombre para grabarte con la webcam desde el navegador o los estudios de Mario Heiderich para usar otros lenguajes de Script que también funcionan en el navegador en ataques dirigidos.


Pero, como nunca hablé de este proyecto y lo he visto utilizado en un trabajo reciente titulado "Detección de Botnets basada en algoritmos genéticos", he decidido hacerlo antes de que se pierda definitivamente la documentación que generaron en él.

Figura 4: Paper de WebBotnets, la amenaza fantasma

Creo que se merece que leáis el paper - del año 2008 -, descarguéis la documentación por si es de utilidad y veáis la presentación que hicieron de este trabajo: Webbotnets, la amenaza fantasma.

Saludos Malignos!

martes, julio 30, 2013

Plan DEFCON 21

Como ya hice con el Plan Vegas 2012, hoy os cuento mi plan DEFCON 21. El día 1 de Agosto viajo a Las Vegas para estar en DEFCON 21 para pasármelo cómo siempre. Este año voy a dar una charla sobre la Evil FOCA, pero con nuevos ataques de los que aún no os he hablado por aquí, y de los que empezaré a contaros justo después de la conferencia, coincidiendo con la publicación de una nueva versión de Evil FOCA

El viernes por la mañana, ya recuperado del Jet Lag, me iré a visitar la HackCUP 2013 y ver a los amigos, aunque este año, debido a mi posible fichaje por un nuevo equipo, he preferido evitar las lesiones y por tanto estaré de espectador... inicialmente. Hace dos años, el FOCA Team fue ganador de este torneo y el año pasado - irregularidades graves en la final - fuimos segundos. Como tengo 2 entradas gratis para DEFCON, las repartiré por allí a cambio de favores.

Figura 1: Hack Cup 2013 en Las Vegas

Después, por la tarde del viernes, mi plan es estar a partir de las 18:00 tomando cervezas - as usual - en el bar del casino del Hotel Río. Es una tradición para recuperar las sales minerales y energía perdida en el campeonato con bebidas isotónicas y espirituales, así que si te pasas podremos chocar alguna cerveza Aquarius.

Figura 2 El Bar del Hotel Río durante la DEFCON

Después me acostaré prontito, porque la charla este años será el sábado en  el TRACK 3 a las 11:00 A.M. así que todos aquellos que penséis venir a darme ánimo y calor os recomiendo que no os paséis mucho la noche del viernes anterior, que ya nos conocemos. 

Figura 3: Fear the Evil FOCA: IPv6 attacks in Internet Connections. Sábado 11:00 AM TRACK 3

Para terminar, espero que el sábado acabe como acaba todo los sábados noche de todas las DEFCON, así que si has estado algún año anterior ya sabes dónde me podrás encontrar para cenar y lo demás, que ya sabéis que What happens in Vegas...

Saludos Malignos!

lunes, julio 29, 2013

Conferencias sobre incidentes de Ciberguerra

En la UOC, el pasado 4 de Junio, tuvo lugar una conferencia con temática en torno a la ciberguerra y el ciberespionaje. Allí hubo un buen número de ponentes que cubrieron varios de los temas que yo ando recopilando en el artículo de Incidentes de Ciberguerra y Ciberespionaje. Todos los vídeos han sido subidos al Canal Youtube de la UOC, pero aquí os dejo tres de esas charlas, a cargo de David Barroso, Vicente Díaz y la última es la que di yo, por si os apetece verlas.


Figura 1: David Barroso - Ataques Dirigidos a activistas políticos


Figura 2: Vicente Díaz - Del cibercrimen a la ciberguerra


Figura 3: Chema Alonso - World War III

Todas estas charlas fueron justo antes de que se publicaran los casos de PRISM, los espionajes al G8 y G20, a las embajadas de la Unión Europea,  la operación Tempora o Mastering the Internet, que dejan un poco más claro cómo está todo.

Saludos Malignos!

domingo, julio 28, 2013

Barnaby Jack

Me enteré de la muerte de Barnaby Jack el viernes por la tarde y me dejó helado. Había coincidido con él en la Defcon 18 y en la Ekoparty de 2010 donde impartió la conferencia que más fama internacional le reportó, "Jackpoting Automated Teller Machines", en la que hacía una demo con un cajero bancario ATM que echaba billetes delante de todo el mundo. 

Figura 1: Barnaby Jack en DEFCON 18 con Jackpotting ATM

Este año iba a hablar en BlackHat USA 2013 sobre cómo atacar atacar humanos mediante dispositivos médicos implantados con soporte para conexiones wireless. Estos dispositivos, en concreto, eran marcapasos y desfibriladores cadiovasculares implantados. Un total de casi 5 millones de estos dispositivos están implantados en ciudadanos americanos. Y él iba a contar sus problemas de seguridad y, como decía el título de la charla: "Hacking Humans". 

Figura 2: Descripción de la charla de Barnaby Jack prevista para BlackHat USA 2013

Pero ya nunca veremos esa charla. Él no la va a poder dar, y no va a ser sustituido. Nadie se subiría en su slot de tiempo a intentar dar una charla que cubra su hueco. Su sala sin ponente será un homenaje seguro a su persona y su trabajo. 

Barnaby Jack se fue con 35 años y rápidamente en Twitter comenzaron los mensajes de condolencia por él, pero no había ninguna información del motivo de su fallecimiento. Tan solo un "fue encontrado muerto" en su apartamento en San Francisco, pero ninguna información más hasta dentro de un mes que se muestren los resultados de su autopsia.

Saludos Malignos!

sábado, julio 27, 2013

Metadatos perdidos en archivos de MS Office perdidos

Las aplicaciones de Microsoft Office tienen una opción muy útil de generar una copia autoguardada del fichero con el que se está trabajando por si acaso se produce un error de la aplicación, poder recuperarse. Estos ficheros de autoguardado han ido cambiando con el tiempo, pero todos tienen dos características curiosas: Son en formato binario y conservan todos los metadatos.

Figura 1: Presentaciones PowerPoint en ficheros de autoguardado TMP

Los ficheros originales eran todos con extensión TMP, así que es muy habitual encontrar ficheros con extensión TMP que realmente sean reconocidos como documentos PPT, XLS o DOC. Cuando se busca con Google para hacer Hacking con buscadores, hay que tener en cuenta que con filetype:PPT no van a aparecer, así que hay que buscar esos documentos con extensión TMP.

Figura 2: Archivos EXCEL autoguardados en formato XAR

En el caso de Microsoft Excel, además de los archivos .TMP antiguos, está también el formato XAR. De nuevo se trata de un formato binario, y también conserva todos sus metadatos, información oculta y datos perdidos.

Figura 3: Archivos DOC autoguardados con formato ASD

En el caso de Microsoft Word, dependiendo de la versión que usemos vamos a encontrar ficheros con extensión .ASD o .WBK. No importa si estamos trabajando en Microsoft Office 2007 o superior con ficheros OOXML, en este caso los archivos son binarios también.

Figura 4: Archivos DOC autoguardados en formato WBK

Por supuesto, si bajamos uno de esos archivos y los subimos a la la FOCA Online, podremos ver cómo está lleno de sus metadatos, por lo que si estuviéramos haciendo una auditoría podrían venir de maravilla. Si queremos ver el documento, le cambiamos la extensión a .DOC (formato binario), para ver qué metadatos hay en él.

Figura 5: Análisis con FOCA Online de los metadatos de un archivo autoguardado

En definitiva, que si vas a buscar los metadatos, o hacer un análisis forense digital de los archivos de un sistema, acuérdate no solo de buscar las extensiones más comunes, y dale un vistazo a los TMP, XAR, ASD y WBK que puede que te den algún dato clave en la resolución del caso.

Saludos Malignos!

viernes, julio 26, 2013

14º SysAdmin Day: Felicita a tu administrador de sistemas

Hoy, 26 de Julio de 2013, es la decimocuarta edición del día dedicado a los administradores de sistemas, así que tienes que hacer algo especial, único y diferente por tu SysAdmin: ¡No la cagues y ya está!

Figura 1: 26 de Julio de 2013. SysAdmin Day

Hoy es un día especial, así que no llames a sistemas porque no tienes conectividad si has desenchufado el cable jugando con tus botas. No llames porque no te funciona el sistema antes de comprobar si se ha ido la luz. No llames pidiendo un reseteo de contraseñas. No te envíes una película en formato Matroska como adjunto de un correo electrónico. No te dejes la sesión de tu equipo abierta para que te hagan un ataque David Hasselhoff. No te traigas un imán de una lavadora y lo pongas encima del disco duro de tu equipo y pidas que te rescaten todas las fotos de tus vacaciones. No hagas clics en los correos electrónicos de fortunas heredaras o guapas mujeres de la Europa del Este que se hayan enamorado de ti sin conocerte. No tires el café encima del teclado. No pinches un USB que te hayas encontrado en la calle. No desactives el antivirus del sistema para ir más rápido. No llames a soporte. No llames a IT. Hoy no es el día.

Hoy solo estáte tranquilito, y tu SysAdmin te odiará un poco menos querrá un poco más, porque hoy es el día de ser bueno y dejarlos tranquilos mirando sus pantallicas y sus logs, y sus dashboards con sus cositas. Hoy es su día, y si te apetece enredar, traete tu smartphone y rómpelo. Ya sabes, politica RYOD (Rompe Your Own Device) y respuesta (AYOD) Apáñatelas con Your Own Device.

Figura 2: Hoy es el día de dar cariño a tu SysAdmin

Nosotros, como detalle por el SysAdmin Day, por si eres de esos que cumplen el Pringao How-To, estás todo el día sufriendo $lusers, amas a Wardog sobre todos los BOFHs, y encima eres de los que te gastas el poco dinero que ganas en formarte para hacer mejor tu trabajo, hoy tendremos todos los libros de 0xWord - a excepción de los packs que ya están rebajados - con un 10% de descuento desde las 00:01 hasta las 24:00 del 26 de Julio de 2013. El código que debes introducir es SYSADMINDAY.

Saludos Malignos!

jueves, julio 25, 2013

Limpiar metadatos en Microsoft Office 2011 para Mac

En la versión de Microsoft Office 2013 para Windows existe una opción muy útil para evitar problemas con metadatos, información oculta y datos perdidos. Esa opción, que se llama Inspeccionar Documento y está dentro del menú Preparar, avisa de absolutamente cualquier dato que pueda irse junto con tu documento, además de dar la posibilidad de eliminarlos con un solo clic.

Figura 1: Opción de Inspeccionar Documento en Microsoft Office 2007 para Windows

Por el contrario, en Microsoft Office 2011 para Mac ese menú no está disponible, y lo único que existe es una opción en las Preferencias / Seguridad de cada aplicación - en este caso Word - para que se eliminen los datos personales al guardar el documento.

Figura 2: Opciones de Privacidad en Microsoft Office 2011 para Mac

Al ver esto, rápidamente me acordé de que esta era exactamente la misma opción que había en OpenOffice.org y que tan mal funcionaba, razón por la que acabamos creando el proyecto Open Source de OOMetaExtractor para limpiar correctamente este tipo de documentos ODF.

Figura 3: OOMetaExctrator para limpiar metadatos en documentos ODF

Para probar el funcionamiento de esta opción en Microsoft Office 2011 para Mac decidí utilizar el famoso documento de Tony Blair que tantos quebraderos de cabeza le propinó por culpa de los metadatos. En esta primera imagen se puede ver el documento original Blair.doc analizado por MetaShield Forensics - la antigua Forensic FOCA - con sus respectivos metadatos, información oculta y datos perdidos.

Figura 4: Documento Blair.doc original analizado con MetaShield Forensics

Ahora se hace una copia de este documento, y se guarda con Microsoft Office para Mac 2011 con la opción de eliminar datos personales al guardar.

Figura 5: Guardamos con Microsoft Office 2011 para Mac para limpiar la información oculta

Y de nuevo volvemos a pasarlo por MetaShield Forensics donde se puede observar que no todos los metadatos han sido eliminados. Entre la lista de datos aparece - en este caso - la plantilla que se está utilizando, la versión de software con que se manipuló el documento, y la fecha de impresión original, que como veis es anterior a la fecha de creación del documento dejando una muestra clara de esta manipulación realizada.

Figura 6: Documento Blair.doc limpiado con Microsoft Office 2011 para Mac

Para comprobar como debería funcionar esta opción correctamente, en este tercer caso utilizamos MetaShield Client, una versión para los sistemas operativos Windows que permite eliminar todos los metadatos de cualquier documento ofimático (PDF, Microsoft Office binarios, OOXML, ODF, etcétera) utilizando las opciones del botón derecho.

Figura 7: Limpiando el documento Blair.doc con MetaShield Client

Una vez limpio con MetaShield Client, utilizamos la herramienta MetaShield Forensics para ver qué información aparece, y como podéis ver sale limpio como la patena.

Figura 8: Análisis de Blair.doc con MetaShield Forensics tras ser limpiado con MetaShield Client

Al final, los metadatos pueden revelar mucha información, y en cualquier Análisis Forense Digital pueden resultar cruciales para responder a algunas preguntas. En el caso de Microsoft Office 2011 para Mac no parece tener mucho sentido que estando esta opción de Inspeccionar documento de serie desde Microsoft Office 2007 para Windows, no la hayan incorporado para solucionar el problema de raíz también en sus versiones para Mac OS X.

Saludos Malignos!

miércoles, julio 24, 2013

Cursos de Seguridad Informática y hacking para Septiembre

Una de las cosas que en Eleven Paths no vamos a seguir haciendo son los cursos de formación que hacíamos habitualmente en Informática 64. Por eso, una de las cosa que hemos querido hacer es enviar todas las peticiones que nos han seguido llegando hacia algunas empresas de formación que van a continuar ofreciendo este tipo de formaciones. Para que tengáis todos la información, os dejo los datos del último curso que se va a impartir desde Informática 64 y los que podéis hacer en Septiembre con Criptored e Hispasec.

FTASI: Módulo de Análisis Forense
Este módulo dura 25 horas. Se hará en 5 viernes consecutivos comenzando el próximo día 20 de Septiembre. Con él se dará por finalizado el último FTSAI y toda la formación impartida desde Informática 64. Puedes apuntarte a este módulo aún, que hay hueco para un par de personas. Los que se apunten llevarán gratis el libro de "Análisis Forense Digital de Sistemas Operativos Windows".
Malware en Windows y Auditoría Web
Los días 6 y 7 de Septiembre, en Málaga y de la mano de Hispasec, tendrán lugar dos días de formación. Uno de ellos dedicado al Malware en Windows que impartirá nuestro compañero de Eleven Paths Sergio de los Santos y otro dedicado a Auditoría web. Para los que se apunten a los dos cursos se entregará gratis el libro de 0xWord escrito por Sergio de los Santos titulado "Máxima Seguridad en Windows". Tienes toda la información en la web de los cursos en Hispasec.
Curso Online de Especialización en Seguridad Informática para la Ciberdefensa
De la mano de Criptored se ha organizado un curso online síncrono, es decir, con interacción directa con los ponentes a través de plataformas de vídeo conferencias donde podrás preguntar y ver a los ponentes, con una temática especial: Ciberdefensa
El curso cuenta con ponentes de la talla de Raúl Siles, David Barroso, Pepelux, Pablo González, Jorge Ramió, Lorenzo Martínez, Sergio de los Santos, David Pérez, Alejandro Ramos, José Picó y Alfonso Muñoz,  donde yo también daré una charla.  
Comienza el día 16 de Septiembre, dura 40 horas y para todos los que se apunten tendrán un pack de libros gratis compuesto por Máxima Seguridad en Windows, Metasploit para Pentesters, Hacking de dispositivos iOS: iPhone & iPad y Criptografía: de la cifra clásica a RSA
Los gastos de envío son gratuitos para España y los que se apunten de fuera podrán recibir los libros pagando los gastos de envío. Además existen modalidades para apuntarse a sólo un módulo o en grupos de hasta cinco personas.
Conferencia en e_Coned en Valladolid
Yo además participaré el día 24 de Septiembre en un evento en la ciudad de Valladolid. Tienes más información en la web del evento: e-Coned.
Y esto es todo por ahora, que no es poco, así que si quieres aprender cosas de seguridad, hacking, análisis forense, pentesting, ciberdefensa, malware, etcétera, tienes una buena oferta para después de Agosto.

Saludos Malignos!

martes, julio 23, 2013

Entrevista a Javier Sanz, de La Createrie y ex-ERBE

Sin saber cómo ni porqué, en una sobremesa de una comida en la que estábamos muchos, le pregunté a Javier Sanz, mi compañero de silla... "¿y tú a qué te dedicas?" A esa pregunta lanzada así al aire para conversar de algo me respondió que trabajaba en diseño gráfico en una empresa llamada La Createrie, que hacía cosas de UX y diseño de apps para móviles y esas cosas. Una cosa llevó a la otra y acabó diciendo algo, como: "El trabajo de diseñador es bonito, aunque ha cambiado mucho. Cuando empecé en esto trabajando en ERBE, estábamos con el lanzamiento de Monkey Island..."

Figura 1: Javier Sanz, de La Createrie, Zoozapps y ex-ERBE

"¿Cómo? ¿ERBE? ¿Monkey Island?" Os podéis imaginar, mi infancia entera se volvió sobre mí. Volví a ver al Pirata LeChuck persiguiéndome y a estar combatiendo con insultos y descubriendo tesoros escondidos bajo la X. Continué con un "Perdona... ¿has dicho que trabajaste en ERBE?". "Sí", contestó.... y como soy un amante de las anécdotas de la historia de la informática tuve que hacerle esta entrevista, pues no iba a dejar pasar esta oportunidad.  Aquí os dejo las preguntas que le hice en persona - y luego por correo electrónico a Javier Sanz.

Saludos Malignos!

1.- ¿Monkey Island? Cuenta, cuenta... ¿qué curiosidades tuvisteis con la localización? ¿Hubo que llamar a Ron Gilbert para preguntar algo?

Bueno, era ya la tercera entrega y Ron Gilbert ya había abandonado LucasArts, dejando al frente del proyecto a dos de sus más cercanos colaboradores, Jonathan Ackley y Larry Ahern. Era finales de 1997 y en aquellos días comenzaba el declive de la época dorada de las aventuras gráficas. Pero suerte, pudimos llegar a tiempo para realizar esta versión completamente doblada y de la que, sin duda, nos sentimos súper orgullosos (aprovecho para mandar un fuerte abrazo a Rafa Gómez y Antonio Moya, mis compañeros en aquel proyecto y dos nombres míticos del gran Topo Soft.)

En cuanto al proceso, fue muy divertido. Tras recibir los originales, se enviaban a traducción y con el texto ya en castellano, procedíamos a su lectura, casi como si se tratara del ensayo previo a un rodaje. Durante este proceso es cuándo adaptábamos los contenidos originales para que fueran entendibles en el mercado hispano, y es que la versión que nosotros localizábamos era la misma para todo el mercado hispanohablante, lo que limitaba el uso de ciertos vocablos.

Figura 2: The Curse of Monkey Island de ERBE

Para que te hagas una idea, en una aventura localizada en ERBE jamás encontrarás la palabra “coger” (en Argentina siginifica… ya me entiendes) y sí en cambio “tomar”. Hay que tener en cuenta que en este tipo de juegos se utilizan numerosas frases hechas y se alude constantemente a situaciones o personajes fácilmente identificables en el mercado sajón, lo que requería que dichos contenidos se adaptaran al mercado hispano.

2.- ¿Cuál ha sido el lanzamiento más emocionante en Erbe?

Aunque en aquellos años tuve la suerte de trabajar en lanzamientos como las Sagas Rebel Assault, Larry o Alone in the Dark, me quedo con las aventuras de Guybrush Threepwood. Se creó una gran expectación y la acogida no pudo ser mejor, tanto por el público como por la crítica

3.- ¿Y entendían tus padres en qué trabajabas?

La verdad es que la respuesta a esta pregunta siempre la he contado como anécdota. Desde que mi padre trajera a casa nuestro primer ordenador, el Philips G7400 (costó 150.000 pesetas en las míticas tiendas de electrodomésticos de la época Kapy) allá por 1.984 nos pásabamos las horas (y los días completos) frente a ella… recuerdo que familiares que venían a casa y nos veían siempre con “la maquinita” les echaban en cara a mis padres que estuviéramos jugando en lugar de estudiando (la verdad es que ninguno de los 4 hermanos hemos sido buenos en los estudios) y sin embargo, con el paso del tiempo, mis padres pueden presumir de que los 4, de una u otra forma, hemos terminado por tener una profesión relacionada en mayor o menor medida con el mundo de los juegos.

5.- ¿Qué ambiente se respiraba por Erbe en aquellos tiempos?

Muchos cambios, el tema PC empezaba a ir a menos ante el auge de las video consolas. ERBE había estado distribuyendo productos Nintendo y por aquella época decidieron instalarse por su cuenta. Los más viejos recordarán el incendió que acabó con los almacenes de ERBE en Móstoles. Aquello fue el principio del fin.

6.- ¿A quién conociste en aquella época por allí?

En las ferias podías conocer a los grandes gurús de esta industria, por supuesto americanos. Te dabas cuenta que allí los videojuegos no tenían nada que envidiar a otras industrias como música o cine. Sus profesionales contaban con una reputación y prestigio increíbles. Entre todos, el que más me gustó conocer fue a Bill Ropper, de Blizzard, productor de sagas tales como StarCraft, Warcraft y Diablo… se quedó impresionado al tomar un bocata de calamares en la Plaza Mayor.

Figura 3: Warcraft 1

7.- Si tuvieras que elegir un juego de todos los que salieron de allí.. ¿cuál te quedarías?

Sin duda The Curse of Monkey Island, aunque guardo un grato recuerdo de otros juegos, como por ejemplo The Feeble File, una aventura, muy, muy divertida del que también quedé muy satisfecho.

8.- ¿Y el mayor fracaso?

Sin duda Mundiales 98. Fracaso no se puede llamar, por que sabíamos que iba a ser un desastre. Aunque técnicamente no estaba mal, no teníamos derechos sobre la competición ni sobre los jugadores y por lo tanto no los podíamos utilizarlos en el juego. Además coincidió con el lanzamiento del primer FIFA World Cup de EA. Fíjate lo cutre del asunto, que para la portada nos mandaron la foto de un jugador de la selección en la que sólo se veía el cuerpo y parte de la barbilla. Creo recordar que se podía distinguir que era Kiko Narváez. Es más, también recuerdo que tuvimos que borrar el logotipo de la RFEF que estaba en el triangulito del cuello, no nos fuera a caer un “puro”.

Figura 4: Mundiales 98

9.- ¿Cuál es la anécdota más divertida que recuerdas de aquella época?

Sin duda las fiestas. En aquellos años cada lanzamiento iba acompañado de eventos especiales para prensa. Gracias a los videojuegos he podido visitar la feria de los Ángeles, el E3, en varias ocasiones, realizar demos de Blizzard en lugares increíbles en Paris o Berlín o recrear todo un imperio del narcotráfico en Marbella para Scarface.

Como anécdota recuerdo que en uno de los eventos de lanzamiento de Larry, en el que recreamos una High School americana, mis compañeros me tendieron una trampa y acabé en el escenario a merced de una universitaria del universo Larry ante medios, amigos y compañeros del sector… fue un tanto incómodo.

10.- ¿Volverías a aquellos años?

En lo profesional seguramente sí… era una aventura cada lanzamiento y su desarrollo mucho más, como decirlo, artesano. En España un grupo de amigos se podían juntar y lanzar juegos que podían competir con grandes multinacionales. Quizás por ello todos recordamos aquellos juegos con un alma especial que quizás ahora, y a pesar de la increíble evolución tecnológica, no encontramos en los juegos que se editan en la actualidad.

lunes, julio 22, 2013

Secuestro de sesiones en Office365 con cookies "muertas"

Desde hace un tiempo llevo indagando en la seguridad que ofrece la plataforma de Microsoft Office365 y cuáles son los puntos débiles que pueden haber a la hora de trabajar con nuestra información en la nube. Analizando las comunicaciones que se realizan mediante sniffers, usando diferentes navegadores y sistemas operativos (incluyendo Windows 8.1) como equipos cliente. Así que hoy revisando artículos sobre esta temática hubo uno que me llamo especialmente la atención: Secuestro de sesiones en Office365 mediante la reutilización de cookies escrito por Ms. Smith. Suficiente atractivo como para ponerlo a prueba.

Session Hijacking: La teoria

Normalmente cada vez que nosotros accedemos a un servicio con usuario y contraseña, una cookie o varias se almacenan en nuestro equipo permitiendo cada vez que se hace una petición desde el cliente a ese servicio, se envían la/s cookie/s que mantienen la información de la sesión haciendo que no sea necesario autenticarse de nuevo porque ya lo ha hecho.

Si alguien es capaz de acceder a esas cookies cuando estas están vivas y las utiliza podría hacer uso de la sesión del usuario. Ejemplos de esto son populares con Firesheep en Tuenti o las binary cookies de las apps de Facebook son algunos de los ejemplos que nos encontramos habitualmente. Sin embargo, el problema es cuando las cookies su matan y no "mueren" dejando la sesión abierta después de que el usuario la haya cerrado, como vimos en el caso de las cookies de Linkedin.  Microsoft Office365 no es una excepción y se puede acceder a la sesión con una cookie robada incluso tras cerrar una sesión.

Session Hijacking en Microsoft Office365: PoC

Siguiendo el articulo descrito por Ms. Smith, decidí utilizar una maquina con Microsoft Windows 7 e instalar Google Chrome con el plugin “Edit my cookie”. Una vez instalado, accedí al portal de Microsoft Office365 con mi usuario y contraseña desde Google Chrome:

Figura 1: Portal de entrada de Microsoft Office 365

Una vez dentro, hacemos clic en la galleta de la extensión “Edit my cookie” y pinchamos en la opción “Exportar Cookies”:

Figura 2: Opción de exportar cookies en el plug-in Edit my cookie

Nos vamos a un Bloc de notas y pegamos la información que hemos exportado con las cookies que mantienen la sesión en Microsoft Office 365.

Figura 3: Ejemplo de cookies exportadas

Lo guardamos en el equipo y cerramos nuestra sesión abierta de Microsoft Office365, lo que debería matar esta cookie y dejarla inutilizada para cualquier intento de acceso a un recurso de nuestra sesión. Utilizamos ahora otro equipo, en este ejemplo uno con Microsoft Windows 8.1 y copiamos la cookie exportada anteriormente:

Figura 4: Cookie guardada en archivo

Instalé en él también Google Chrome con la misma extensión de “Edit my cookie” y accedí al portal de Microsoft Office365. Una vez allí copié el contenido de la cookie exportada, y lo pegué en la extensión de “Edit my cookie” mediante la opción “Importar cookies” y por último le di a “Guardar cambios”:

Figura 5: Importación de cookie de sesión en Edit my cookie

Una vez hecho esto, volví a escribir la dirección del portal de Microsoft Office365 sin cerrar el navegador y la sesión seguía abierta a pesar de haber sido cerrada explícitamente en la última sesión.

Figura 6: Acceso a sesión anterior

Mitigar el robo de la cookie de Microsoft Office365

Conseguir acceder a la cookie de sesión de Microsoft Office365 requiere de hacer otro ataque combinado, como accediendo localmente a los archivos locales, engañar a un usuario para que caiga en un esquema de Man in the middle o encontrar una vulnerabilidad client-side que permita acceder a la cookie. No es fácil, pero aún así, la cookie debería morir cuando se cierra la sesión para mitigar este problema. En el artículo de Raúl Siles de Session Management Cheat-Sheet se explican las medidas de seguridad que deberían aplicarse a las cookies de sesión.

Microsoft ha confirmado que están trabajando en fortificar la seguridad de las sesiones, pero mientras tanto asegúrate de que tus cookies no caen en manos de nadie, así que borra la caché del navegador - si usas la navegación en modo in-Private o modo Incóngito mejor que mejor - cuando acabes para evitar que quede ninguna cookie de sesión. Por supuesto, evita usar tu sesión Microsoft Office365 en un equipo que no sea tuyo.

Autor: Alberto Pascual
Microsoft MVP Office365

domingo, julio 21, 2013

Cómo espiar WhatsApp

Estas son algunas de las técnicas que existen para espiar WhatsApp, aunque este tiempo atrás la noticia fue que se ha detenido el creador de WhatsApp Spy, una aplicación falsa que estafaba a usuarios con la esperanza de poder obtener las conversaciones de otras personas. La pregunta que mucha gente se hace es si es posible espiar las conversaciones de WhatsApp, así que viendo el gran interés del mundo en la seguridad en WhatsApp, he decidido escribir este recopilatorio con todas las posibilidades que existen para esta tarea para que toméis vuestras precauciones al respecto, aunque no olvidéis que si hay un iPhone de por medio, mejor que os leáis el libro de Hacking iOS: iPhone & iPad, donde se cuentan muchas formas de hackear el terminal que darían acceso al WhatsApp. Vamos a ello:

Espiar WhatsApp sabiendo el número de teléfono de una persona

Actualmente, si se conoce el número de teléfono de la cuenta asociada a WhatsApp se puede sacar información del dueño, e incluso la fotografía pública asociada, pero no hay ningún servicio que permita llegar a las conversaciones. Esta era la estafa.

Figura 1: What's App on PC es un malware

También debes huir de programas mágicos que te bajas a tu PC o a Android te permitirá configurar cualquier número de teléfono en él. Esto, por desgracia, suele ser malware. En un estudio hecho por Eleven Paths, en sólo un mes fue posible encontrar muchas apps maliciosas de WhatsApp en Google Play.

Figura 2: Consulta de información pública de WhatsApp agregando a contactos

La gente de WhatsApp Voyeur quitó el servicio de consulta de información asociado al número de teléfono, pero puede hacerse manualmente simplemente agregando el número de teléfono a los contactos. Por otro lado, solo con agregar un contacto también se puede saber cuándo está conectado o no, salvo que se hayan aplicado tips de privacidad en WhatsApp. ¡Ojo!, también toma medidas contra el doble check azul.

Gracias a un nueva función de previsualización de imágenes de URLs enviadas por mensaje de chat en WhatsApp para Android, una persona podría enviar una URL de una página web controlada, y forzar al cliente a realizar una conexión de datos a ese servidor web, por lo que se podría averiguar la dirección IP y por tanto la ubicación de esa persona, además de la versión exacta del sistema operativo que tiene.

Espiar WhatsApp robando las conversaciones por la red WiFi

Antes sí se podía descifrar la comunicación entre los servidores de WhatsApp y los dispositivos móviles. WhatsApp pasó a utilizar SSL a partir de la versión 2.8.3, por lo que ya no utiliza los antiguos trucos basados en la MAC o el IMEI - fácilmente consultable -. Si la versión fuera antigua, aún servirían herramientas como WhatsAppSniffer y todas las variantes que aparecieron. Para hacerlo desde capturas de tráfico de red, existía para las versiones antiguas un plugin llamado Wireshark-Whatsapp.

Figura 3: WhatsAppSniffer para Android

El 8 de Octubre de este año se ha publicado un nuevo método con una Prueba de concepto para descifrar las comunicaciones de WhatsApp por red, pero aún no hay ninguna herramienta que lo haga con las comunicaciones de la aplicación oficial, pero si se graban las conversaciones con un sniffer tipo WireShark, probablemente en el futuro se puedan descifrar todas. No obstante, piensa en serio poner una conexión VPN para proteger tus conversaciones de WhatsApp.

A finales de Noviembre de 2014 se ha anunciado la migración del sistema de cifrado de WhatsApp a end-to-end, para acabar con los bugs que permitían su descifrado. Esto se ha hecho al aplicar el cifrado de TextSecure en WhatsApp. Aún solo está disponible en Android y en las últimas versiones, pero poco a poco será para todas las versiones.

Averiguar el número de teléfono de WhatsApp una persona por la WiFi

En las comunicaciones de WhatsApp se envía un paquete de tipo WA en el que se especifica el número de teléfono, la versión del sistema operativo y más información que va sin cifrar. Capturando el tráfico de red con WireShark se puede usar WhatsApp Discover para localizar los números de teléfono que están siendo utilizados por la red WiFi.

Figura 4: Paquete de red con el número de teléfono de WhatsApp

Espiar WhatsApp robando la cuenta remotamente

Para conseguir esto habría que encontrar una vulnerabilidad en WhatsApp que permitiera registrar el número de teléfono de la víctima en otro terminal y descargar las conversaciones que estén almacenadas en el servidor. Estos fallos de hijacking de WhatsApp han existido en el pasado, pero actualmente no hay ninguno que lo permita en remoto que sea conocido.

Figura 5: Ejemplo de Hijacking de WhatsApp publicado en 2011 por Yago Jesús

Tal vez aparezcan en el futuro o alguien tenga algún 0day no publicado al respecto, pero no se conoce ninguno que funcione ya que debido a la importancia que tienen, WhatsApp cierra estos fallos lo más rápido que puede.

Otra opción es que se pueda clonar la SIM de la persona que tiene instalado el WhatsApp para robar la cuenta de la víctima o que se intercepten las peticiones de alta y el mensaje SMS sniffando el tráfico GSM.

Espiar WhatsApp robando la cuenta de Apple ID

En la última versión la base de datos de conversaciones de WhatsApp puede guardarse en Apple iCloud. Si te roban la cuenta de Apple ID - con un keylogger o mirando por encima del hombro -- podrían llegar a la base de datos y ver las conversaciones accediendo al backup de iCloud con herramientas como ElcomSoft Phone Password Breaker.

Espiar WhatsApp con robo de cuenta con acceso físico al teléfono

Si se tiene el teléfono cerca y tiene la previsualización de mensajes SMS activada, se podría instalar un WhatsApp en un tablet y pedir el SMS de confirmación para robar la cuenta y descargar las conversaciones anteriores. Este es el mismo caso que robar la cuenta de Hotmail/Gmail con un iPhone y la previsualización de SMS.

Espiar WhatsApp robando la base de datos de un backup de Apple

Cuando se hace un backup de un iPhone por medio de Apple iTunes a un equipo, la base de datos de WhatsApp se va también. Se puede localizar este fichero y analizar. Este proceso se explica en detalle en el libro de Hacking iOS: iPhone & iPad.

Figura 6: Copia de la base de datos de WhatsApp en el backup de Apple iTunes

Es un fichero SQLite, así que con cualquier visor de este formato de base de datos se puede ver. Hay que tener presente que si se han borrado mensajes, en la base de datos obtenida no se podrán ver. Sin embargo, es posible hacer un análisis forense de SQLite con Recover Messages y obtener muchos de los mensajes de WhatsApp que han sido borrados por el dueño.

Espiar WhatsApp robando la base de datos de la SD Card de un terminal Android

Si el terminal es Android, se puede obtener la base de datos de WhatsApp de la SDCard. Esta base de datos tiene un cifrado muy sencillo de quitar para obtener después el fichero SQLite en plano. Si se sube la base de datos cifrada a Recover Messages, se obtiene la base de datos descifrada automáticamente de forma gratuita. En los últimos resultados, ya hay más de 800.000 bases de datos analizadas con Recover Messages, y más de 25.500 usuarios registrados.

Figura 7: Opciones de cifrado de bases de datos. En Android ha cambiado en las últimas versiones

Ha habido cambios en el cifrado de las últimas versiones de WhatsApp para Android y es necesario contar no solo con la base de datos msgstore.db.crypt sino que además se necesita la cuenta de correo electrónico del terminal para poder descifrar ese fichero.

Espiar WhatsApp robando la base de datos de un terminal iPhone

Tanto si se tiene el passcode del terminal iPhone, como si se tiene acceso a un equipo con el que se haya hecho el pareado de Apple iTunes/iPhone, es posible utilizar una herramienta tan sencilla como iFunBox y acceder al fichero de la base de datos de WhatsApp en el terminal iPhone sin hacer jailbreak, ni nada.

Figura 8: Accediendo a la base de datos de WhatsApp de un iPhone con iFunBox

Por supuesto, si el terminal tiene jailbreak, y no se han cambiado las contraseñas por defecto se podría acceder al terminal de muchas otras formas, incluyendo OpenSSH o haciendo uso de Gecko. En el libro de Hacking iOS: iPhone y iPad tienes muchas formas de acceder a los terminales iPhone saltándose u obteniendo el passcode.

Espiar WhatsApp instalando troyanos en los terminales

Si tienes acceso al terminal iPhone o Android existen muchas formas de instalar un troyano. En el caso de iPhone yo recopilé en este artículo las formas de instalar un troyano en iPhone. En Android las formas son otras, pero visto la cantidad de malware que hay y los últimos fallos de seguridad que se saltan las validaciones de las firmas no es de lo más difícil.

Figura 9: Espiar WhatsApp está entre las características de muchos troyanos

Espiar WhatsApp remotamente con una app maliciosa en Android e iPhone

En noviembre de 2013 se publicó el servicio WhatsAppCopy, un servicio basado en instalar una app maliciosa que pretendía ser un juego en terminales Android. Esta app se dedicaba a robar las bases de datos de WhatsApp de todas las víctimas y ponía en un servicio de pago el acceso a los mensajes de terminales. Fue eliminada de Google Play  pero cualquier app que tenga el permiso de READ_EXTERNAL_STORAGE puede acceder a ella y subirla a una web.

Figura 10: Código de app maliciosa Android para robar WhatsApp

El código para hacer este tipo de apps maliciosas para Android está disponible en Cómo Espiar WhatsApp en Android, y ejemplos de cómo hacerlo en iPhone están en el libro de Hacking iOS. Son técnicas muy conocidas para los desarrolladores de apps para móviles.

En el caso de Android, existe la posibilidad de utilizar un APK creado con Metasploit que directamente ejecute Meterpreter en el terminal y te permita robar la base de datos. En este artículo se explica en detalle cómo robar la base de datos de WhatsApp de Android con Metasploit.

Espiar WhatsApp en iPhone sin troyano

En el caso de iPhone aunque no es su propósito original, se puede utilizar la herramienta WhatsApp Anti-Delete Protectiton Tool. Esta herramienta puede utilizarse para proteger tus mensajes, pero también podría ser usada como método de control parental de jóvenes o para espiar los mensajes de una persona. Se necesita en cualquier caso acceso físico al terminal. En el siguiente vídeo podéis ver su funcionamiento en detalle.

Figura 11: Funcionamiento de WhatsApp Anti-Delete Protection Tool
Espiar WhastApp con "tranquilidad"

No te olvides que muchas veces la forma más sencilla es que o no haya passcode, que sea un passcode que se haya adivinado o conocido o que aparezca un bug para saltarse el passcode así que, bastaría con acceder a los mensajes tranquilamente. Explicación común en muchos casos.

Conseguir bases de datos de WhtatsApp de la red

Como curiosidad, por descuido mucha gente puede dejar las bases de datos de WhatsApp compartidas en la red, ya sea en redes P2P como se ve en este artículo o en servidores de archivos de cualquier índole. El nombre de la base de datos de WhtasApp en un backup de Apple iTunes es 1b6b187a1b60b9ae8b720c79e2c67f472bab09c0.

Figura 12: Copias de conversaciones de WhatsApp en e-mule

Como podéis ver, a pesar de que el tipo ha sido detenido por cometer una estafa, existen ciertas formas -  aunque no tan mágicas como las que prometía - por las que se puede conseguir leer los mensajes enviados y recibidos por WhatsApp, así que hay que tomar medidas de precaución para que esto no te pase.

Saludos Malignos!

sábado, julio 20, 2013

Evaluar la calidad de un escáner de vulnerabilidades web

Como ya os he contado, en Eleven Paths estamos creando una nueva cosa que internamente llamamos Foca as a Service. No es nada más que una FOCA mutada para encargarse de hacer los servicios de Pentesting Continuo que vamos a empezar a ofrecer desde el próximo mes de septiembre para crear una nueva forma de hacer auditorías continuas a los sitios web de las organizaciones que lo contraten.

Ayer tuve la ocasión de sentarme a ver en detalle los resultados que estamos obteniendo, y la verdad es que estoy muy contento de la cantidad de pruebas que se hacen en un sitio, y los resultados obtenidos en cada una de las prueba contra sitios que ya habían tenido una auditoría previa. Ahora bien, en los scanners de vulnerabilidades web siempre queda la pregunta que te hace un cliente.

¿Cómo saber que este escaneo de un escáner de vulnerabilidades es suficientemente bueno?

Es difícil de valorar, y dependiendo de la naturaleza de las vulnerabilidades que tenga el sitio web unos encontrarán más o menos resultados. En un trabajo del 2013 realizado por Fernando Román Muñoz y Luis Javier García Villalba en la Universidad Complutense de Madrid titulado "METHODS TO TEST WEB APPLICATION SCANNERS" se hacía una curiosa comparativa sobre varios tests de comparación de resultados sobre escáners de vulnerabilidades web.

Figura 1: Clasificación de escáners web en 4 comparativas distintas

En él se concluye al final que es necesario crear un conjunto de vulnerabilidades de referencia en aplicaciones web que vayan adaptándose a la realidad del tiempo, es decir, que vaya cambiando el conjunto de referencia a medida que avanza el estudio de nuevas vulnerabilidades o técnicas de descubrimiento.

Figura 2: Tipos de vulnerabilidades que se evalúan en las diferentes comparativas

En PCI DSS, el famoso estándar para los medios de pago con tarjetas de crédito, existe la figura del ASV (Approved Scanning Vendors) que no es más que escáners de vulnerabilidades aprobados por PDI DSS para ser utilizados en la búsqueda de vulnerabilidades para pasar la certificación PCI. Estos escáners deben buscar y encontrar un conjunto de vulnerabilidades antes de conseguir el nivel de aprobación, y estas van desde nivel de red o versiones de software desactualizadas hasta las que aparecen en aplicaciones web.

La descripción de las vulnerabilidades que debe buscar y encontrar un ASV las podéis ver en la guía "Payment Card Industry (PCI) Approved Scanning Vendors" donde en la parte relativa a web se describe lo siguiente:

Figura 3: ¿Qué vulnerabilidades web debe encontrar un ASV?

Por supuesto, los ASV no tienen necesariamente que ser los mejores del mundo, pero sí que han pasado al menos un conjunto estandarizado de vulnerabilidades que eliminarían las que PCI ha definido como más importantes.

En un entorno real, puede que la vulnerabilidad sea muy gorda, pero ningún escáner sea capaz de localizarla. De hecho, hace tiempo hicimos una comparativa con los escáners más populares y las Inverted Queries, es decir, consultas SQL escritas al revés con vulnerabilidades de SQL Injection, y los resultados fueron bastante sorprendentes.


Al final, la recomendación más efectiva es utilizar cuantos más escáners se pueda mejor para buscar las vulnerabilidades, porque no todos utilizan las mismas técnicas de detección y no buscan las mismas vulnerabiliades y fallos en las aplicaciones web, que estas pueden aparecer y ser encontradas de formas muy diversas.

Saludos Malignos!

viernes, julio 19, 2013

Notas autodestructivas y e-Garante Web Sellada

De un tiempo acá, en Internet comenzaron a aparecer servicios de envío de mensajes que se autodestruyen cuando se leen o cuando ha pasado un tiempo. Generalmente estos mensajes están cifrados en la base de datos con sistemas de cifrado efímero que hace que no sea posible leerlos aunque se tenga acceso al contenido de la base de datos, por lo que los emisores pueden sentirse "seguros" después de pasado la autodestrucción del mensaje.

Figura 1: URL que se envía con DestructingMessage.com

Los que se basan en páginas web ofrecen un enlace que solo muestra la nota durante un tiempo para desaparecer para siempre su lectura. En algunas dejan claro que los datos están cifrados y no pueden dar ninguna información del mensaje. 


Figura 2: Envío de una URL de mensaje autodestructivo a eGarante

No obstante, en caso de que se reciba una nota de estas, por si después se quiere guardar una copia de esta nota con los datos para pedir acceso después a los datos de conexión al servicio - timestamp de creación de la nota, dirección IP de conexión de cuando se creó la nota, datos del navegador que se utilizó, etcétera - se podría hacer una captura de pantalla. Esto es fácilmente manipulable, así que conseguir una orden judicial por solo una captura de pantalla podría ser complicado.

Figura 3: Nota de DestructingMessage.com firmada digitalmente con eGarante

Yo he probado algunos de esos servicios con e-Garante, para ver si era posible leer el mensaje con el servicio de firmado de páginas web, y algunos de ellos permiten ser firmados fácilmente. He enviado la URL de estas notas - que si no se usan acortadores de direcciones web se usan dominios fácilmente reconocibles - a eGarante para obtener la nota firmada digitalmente.

Figura 4: Nota de Privnote firmada digitalmente con eGarante

No todos los servicios funcionan igual, pero si puedes tener una copia firmada con e-Garante, además de la captura de pantalla que puedas hacer en caso de recibir un mensaje susceptible de ser un delito, mejor que mejor. Y por mucho que el sistema no permita recuperar el contenido del mensaje, con una orden judicial sería posible conseguir info que pueda ayudar mejor a localizar al emisor.

Figura 5: Mensaje enviado de Privnote al correo de confirmación configurado

En el caso de Privnote, por ejemplo, el creador de la nota puede asociar un correo electrónico y una referencia para recibir un mensaje de correo cuando el destinatario haya leído la nota. Esta información  que se debe almacenar en la base de datos también queda en los logs de los servidores de correo saliente, así que puede que haya por donde tirar del hilo..

Saludos Malignos!

Eleven Paths Blog

Seguridad Apple

Entradas populares