sábado, agosto 31, 2013

No Lusers 165 - El nuevo Batman

Figura 1: No Lusers 165 - El nuevo Batman

Ha pasado casi medio año desde que publiqué el último No Lusers, per la publicación de que había sido seleccionado un nuevo actor para el papel de Batman que iba a sustituir a Christian Bale - no confundir con su "primo" Garreth Bale que juega al fútbol - me hizo acordarme de esa conversación entre Marcos y Ángel de la novela Hacker Épico, cuando están esperando que la treta preparada con Metasploit de su fruto, con lo que me vi envuelto en una conversación interior personal.

Figura 2: Propuesta de un Batman mejor

¿Ben Affleck? Pero si Ben Affleck era DareDevil. ¿Cómo voy a ver a Daredevil y a Batman con el mismo actor y me lo voy a tragar? Bueno, si al menos fuera Jhonny Depp seguro que sería posible. De hecho, las reacciones en la web han sido muchas. Más incluso que cuando se rumoreo que habría podido existir la posibilidad de que Nicholas Cage hubiera hecho de Superman. ¡Qué miedo! El caso es que cada uno está dando la lista de qué actores podrían ser "Un Batman mejor".

Figura 3: MallRats... con Ben Aflleck, Stan "the man" Lee, Jay & Silent Bob

En fin, que puestos a hacer una crítica personal de Ben Affleck, decidí re-aprovechar la crítica que hacen dos de los personajes de mi adolescencia en una película cuya temática son los cómics y en la que sale hasta Stan-Lee, llamada Mallrats. El resultado es este No Lusers que he hecho en mi último viaje a Londres, que puede que no comprendas demasiado hasta que no veas la serie: Clerks, Mallrats, Chasing Amy, Dogma, Clerks 2 y.... Phantoms.

Saludos Malignos!

PD: Recordad que esta noche, a las 00:01 se estrena el primer capítulo de Cálico Electrónico Temporada 5: "La noche de los abrazos gratis", con una historia de miedo. Puedes ya ver el trailer en la web oficial de Cálico Electrónico.

viernes, agosto 30, 2013

Un día cualquiera en un hotel cualquiera

Abro un ojo en una habitación de hotel de alguna ciudad de España. ¿Qué habré estado soñando? ¿Qué hora será? Aún no ha sonado el despertador. Palpo a oscuras la mesilla y busco el teléfono para mirar la hora. Marca las 6:53 de la mañana. Otra vez me desperté antes de que tocara. Me ha pasado tantas veces que ya no sé ni para que lo pongo. Supongo que lo hago por no olvidarme de hacer las gracias a los amigos que tienen Siri activado. Sonrío con maldad como último gesto de relajación.

¡Mierda! Tengo que volar en 2 horas y no he impreso aún la tarjeta de embarque. Tendré que pedir ayuda en la recepción del hotel. No creo que haya problemas, tengo el documento en formato PDF en el correo electrónico. Se lo enviaré a la persona que esté en recepción para que me lo imprima y listo. Me aseó con celeridad, y tomo una ducha rápida. Empaqueto como un rayo todas las cosas que había sistemáticamente desparramado por la habitación y me llevo la pasta de dientes del kit de aseo. Seguro que me vendrá bien en algún viaje futuro.

Voy justo, pero llegaré al vuelo. Solo necesito que me impriman la tarjeta de embarque para no pasar por mostradores y me dará tiempo a subir al avión. Es una jodienda que esta compañía no acepte las tarjetas de embarque en formato digital. Bajo al lobby del hotel saltando los peldaños de las escaleras de tres en tres y me encuentro a una recepcionista distinta a la que me atendió por la noche. Es guapa, pienso.

Vengo a hacer el check-out de la habitación 666. Todo en orden señor Alonso. ¿Quiere que le pidamos un taxi? Sí, por favor, que voy con la hora justa para llegar al embarque. También necesitaría imprimir la tarjeta de embarque, que si no voy a perder el vuelo. Sonrío. ¿Te la envío por e-mail? De repente, pasa.

Lo siento señor Alonso, pero no puedo ayudarle a imprimir ningún documento ya que por motivos de seguridad tenemos terminantemente prohibido aceptar comunicaciones de electrónicas de nadie.

¿Cómo?

Sí señor, es por seguridad. Un documento infectado con algún tipo de malware proveniente de un cliente podría poner en riesgo la seguridad del sistema y afectar a la privacidad de los datos que almacenamos en él. Lo siento, está totalmente prohibido.

¿Y si te doy el documento en un pendrive?

Tampoco señor Alonso, por motivos de seguridad todos los dispositivos USB que utilizamos en este hotel están autorizados en el servidor central, cifrados y protegidos por PIN. Aunque lo conectáramos no funcionaría.

¿Y si me das un pendrive tuyo, lo pinchamos en mi equipo y te lo paso?

Lo siento señor Alonso, por motivos de seguridad no podemos dejar nuestro pendrive a ningún extraño y tampoco poner nuestras passwords en equipos que no sean de la organización. Nuestros pendrives son copias de seguridad de nuestros documentos pero nada más.

¡Nooooooooo! Oscuridad. Silencio.

Abro un ojo en una habitación de hotel de alguna ciudad de España. No recuerdo el sueño, pero tengo cierta desazón. No debió ser tranquilo. ¿Qué hora es? Vaya, otra vez arriba antes de que sonara el despertador. Ya no sé ni para que lo pongo. Supongo que es solo para no olvidarme de hacerle las gracias a los amigos que tienen Siri activado en sus teléfonos iPhone. ¡Mierda, tengo que imprimir la tarjeta de embarque! Será mejor que me de prisa para tener tiempo en recepción para que la impriman. Me aseo con celeridad, robo la pasta de dientes del kit de aseo, empaqueto como un rayo todo lo que había desperdigado por la habitación como hago sistemáticamente y bajo las escaleras con agilidad.

La recepcionista es distinta a la de la noche anterior. Es guapa, pienso. Vengo a hacer el check-out de la habitación 666. Todo en orden señor Alonso. ¿Quiere que le pidamos un taxi? Sí, por favor, que voy con la hora justa para llegar al vuelo. También necesitaría imprimir la tarjeta de embarque, que si no voy a perder el avión. ¿Te la envío por e-mail?

Claro, pero si quiere me la pasa en un pendrive, aquí el correo electrónico va bastante mal. Lo mejor será que pruebe a enviármelo a mi correo personal que va más rápido, me conecto desde aquí mismo a mi cuenta y se la imprimo.

Sonrío. Me da su cuenta personal de un servicio gratuito de Internet. El alias de la cuenta tiene tela, pero evito reírme en ese momento de manera visible. Ella se pone un poco colorada cuando se da cuenta que el alias de correo dice más de ella de lo que imaginó en un principio. Busco el correo con la tarjeta de embarque y cuando lo tengo listo estoy tentado de enviarle un PDF especial con un exploit que tengo yo por ahí que devuelve un Shell a una dirección no-IP. Sonrío internamente. Descarto la idea maligna. Envío el mensaje con la tarjeta de embarque a su cuenta de correo y veo como entra en su buzón personal donde tiene de todo. Hace doble clic en el PDF con destreza y le da a imprimir.

Aquí tiene señor Alonso. Mire, además ha llegado ya su taxi. Que tenga un buen día señor Alonso.

Cargo la mochila al hombro. La miro y respondo con cierta maldad y una sonrisa maligna “Tú también, Vampira 23”. Se sonroja. Me abren la puerta del hotel y subo al taxi donde el conductor tenía la puerta abierta esperándome. “Al aeropuerto, por favor”.

Saludos Malignos!

jueves, agosto 29, 2013

Esa URL que envías a tus clientes puede ser tu perdición

Hoy he decidido no publicar el post que había preparado, ya que podría afectar a personas inocentes, pero os voy a contar en qué consiste el problema que ni es nuevo, ni es difícil de entender para buscar una solución.

El problema

Si has recibido alguna vez un correo con una URL para confirmar tu correo electrónico habrás visto que suele venir un ID y un Código_Temporal que hace las tareas de una especie de password. Este código temporal debería cumplir dos requisitos como mínimos:
- Ser de un único uso.
- En el caso de tener una vida más larga, no permitir jamás acceder a información sensible o personal.
¿Por qué debería ser así? 

Pues porque la URL no es ni mucho algo privado. Una dirección URL puede acabar en manos de cualquiera. Puede acabar en cualquier registro de actividad web, en un motor antispam / antimalware, o lo que es mucho peor, en cualquier buscador que la indexe.

Figura 1: Una URL que puede ser un FAIL si da acceso a info sensible

Por eso, cada vez que me llega un correo electrónico con una URL en la que aparece un ID y un Código_Temporal, decido hacer un poquito de hacking con buscadores, y mirar cuántas de esas URLs han terminado en Google, como ya os conté en el caso del Sofá del Bank of América o en el tricky caso de cómo ver los post de Blogger antes de que se publicasen.

En este caso, aparecían 370 URLs indexadas, de las que varias tienen el Código_Temporal aún activo y dan acceso a datos sensibles de clientes, como números de teléfono, datos de contacto, direcciones y alguna información más.

Figura 2: URLs con acceso a información sensible indexadas en Google.

De ellas no se almacena ningún contenido porque el robots.txt así lo dice, sin embargo está guardada la URL en la base de datos de Google, además del título de la página en varios casos.

¿Qué se puede hacer?

En el caso en concreto que he decido no publicar, la URL da acceso mediante un ID y un Código_Temporal que puede durar meses, a datos personales e información sensible que puede ser utilizada para realizar cambios en otros sitios que podrían afectar a la vida de una determinada persona.

El uso de los incomprendidos robots.txt para que no acabe indexado el contenido de la web en uno de esos sitios no es suficiente, por lo que como medida urgente se deberían utilizar las Herramientas del Webmaster para borrar las URLs también de la base de datos de los buscadores.

Figura 3: Solicitud de eliminar una URL del índice de Google

Sin embargo, la solución más sencilla si no puedes cumplir con los dos requisitos citados al principio, sería no enviar el código temporal por GET, sino dotarlo de la importancia que tiene - al final hace de password - y solicitarlo por tanto usando un formulario de acceso en una web entregada bajo HTTPs.

Si no haces eso, esa URL que envías a tus clientes puede ser tu perdición.

Saludos Malignos!

PD: Vamos a reportar el fallo de forma responsable, pero cuando esté solucionado y nadie se vea afectado prometo contaros qué fue lo que decidí no publicar... y me entenderéis.

miércoles, agosto 28, 2013

Herramientas de seguridad y ataques de red en IPv4/IPv6

Desde que arrancamos con el trabajo de Evil FOCA para realizar ataques man in the middle en IPv6 he estado preguntándome si en una red común sin protecciones extras de seguridad para el protocolo IPv6 saltaría alguna alerta con las utilidades habituales para protección de equipos, ya que algunos antimalware se venden como soluciones completas de seguridad en el PC.

Para eso, le pedí a mi compañero Umberto que hiciera unas pruebas con las suites de seguridad para sistemas Microsoft Windows y viera si alguna de ellas detectaba dos ataques muy comunes: ARP-Spoofing en IPv4 y Neighbor Advertisement Spoofing en IPv6. Las suites probadas fueron las siguientes:
- NOD32 Smart Security 6
- Kaspersky Internet Security 2013
- Bitdefender Total Security
- Panda Global Protection 2014
- McAfee Total Protection 2013
- Norton 360
Los resultados fueron bastante sorprendentes, pero de manera negativa, ya que de todas ellas, la única que detecto un ataque ARP-Spoofing fue NOD32 Smart Security 6, mientras que el resto de suites dejó que se manipularan las tablas ARP del equipo que estaba protegido.

Figura 1: ESET Smart Security 6 detectando el ataque ARP-Spoofing

Visto estos resultados, os podéis imaginar que cuando se hizo un Neighbor Adverstisement Spoofing con Evil FOCA en los equipos, ninguna de todas ellas fue capaz de detectar que se habían manipulados las tablas de vecinos, así que la Evil FOCA puede campar de forma libre por esas redes. Evil FOCA wins.

Figura 2: NA Spoofing con Evil FOCA

Después quisimos probar con las herramientas de seguridad MARMITA 1.3 y PATRIOT NG 2.0, destinadas a proteger el sistema contra ataques de red. Los resultados fueron los esperados, ya que ambas detectaron el ARP Spoofing en IPv4, pero ninguna de ellas fue capaz de detectar el ataque NA Spoofing en IPv6.

Figura 3: Marmita detectando el ataque ARP-Spoofing

Visto esto, hemos comenzado a trabajar para tener un agente de seguridad IPv6 - que seguramente incorporemos a Marmita - y que sea capaz de detectar los ataques de red en IPv6 además de los de ataques en red de IPv4, para mitigar estos problemas.

Saludos Malignos!

martes, agosto 27, 2013

Algunas cosas más que me piden

Ya he contado muchas veces el tipo de cosas que me piden por correos electrónicos, sin embargo a veces es también por Twitter o por Facebook como me llega todo tipo de solicitudes. Muchas me dejan pasmado, otras directamente no sé cómo acaban en mi buzón. Debo tener algún reclamo para ser el soporte de todo.

A las de "necesito hackear la cuenta de" directamente les envío a los artículos de Buscas Criminales, No Hackers y al de un Escarmiento Maligno para la delincuente del Tuenti, para que sepan cuál es mi opinión al respecto de estas peticiones.  Pero... gracias a mis artículos de Cómo Espiar WhatsApp y Cómo instalar un troyano en iPhone, el número de peticiones sobre esos temas de visitantes efímeros ha crecido exponencialmente.

Figura 1: Petición habitual para hackear el WhatsApp de alguien.
Aquí os dejo algunas más, de temáticas variopintas que me dejan un poco anonadado... a ver qué os parecen. La primera es para ver si podía ayudar a perseguir una campaña de robo de identidad. No tengo tiempo, pero no es de las más raras que recibo.

Figura 2: Investigar una campaña de spam para evitar un robo de identidad

Esta otra es una de "necesito hackear a...". En este caso los registros de Vodafone - algo que le vendría muy bien a mi actual trabajo en Telefónica - pero la gran pregunta es... ¿a dónde habría llamado?


Figura 3: Hackea Vodafone

Como soy informático, es imposible librarse de dar soporte gratis, y ahora con Internet el soporte se solicita más masivamente. Así que nada, buscan en Google "Informático" y debo salir yo por ahí...

Figura 4: ¿Ayuda para embeber un vídeo de caballos en una web?

Y por supuesto, las de los que dicen que quieren ser hackers, pero de forma cómoda. Estos son los que me motivaron el post de Cómo ser hacker. Aquí una petición que me llegó por Facebook que seguro que a muchos os traerá nostalgia.

Figura 5: ¿Te rulas un 0day por el Facebook? Anda, que quiero ser tu amigo....

En fin, que si recibís este tipo de peticiones os animo a que me re-enviéis el correo para que haga un nuevo post con las cosas que se piden a los informáticos, a ver si reducimos un poco el spam que nos llega de personas con inquietudes raras.

Saludos Malignos!

lunes, agosto 26, 2013

Der Spiegel: La NSA espió en el cuartel general de la ONU

Parece que las revelaciones sobre todos los lugares donde estuvo espiando la NSA son interminables y semana tras semana las noticias aparecen dejando a todo el mundo más boquiabierto. Desde luego, ver la conferencia del general de la NSA que dio en BlackHat USA este año ahora, es decir, 4 semanas y buen número de revelaciones después, es lo mismo que jugar a "busca las incongruencias", ya que muchas de las cosas que se afirmaron en aquella sesión han ido siendo rebatidas filtración tras filtración de documentos.

Figura 1: Conferencia del general de la NSA en la BlackHat USA 2013

En este caso ha sido el periódico alemán Der Spiegel quien ha afirmado que según un documento interno filtrado por Edward Snowden, la NSA consiguió hackear el sistema de video conferencia utilizado por la ONU y acceder a cientos de comunicaciones. La frase exacta que se puede leer en el documento según es:
"The data traffic gives us internal video teleconferences of the United Nations (yay!)"
Y les permitió, según se cuenta en el documento filtrado:
"within three weeks the number of decoded communications rose to 458 from 12."
Lo más curioso de todo esto, al igual que sucedía con el espionaje en las embajadas de la Unión Europea y los reuniones del G8 y el G20 es que al final, la ley FISA norte-americana les permite hacer esto, incluso a pesar de que se equivoquen en miles de casos ya que todos son ciudadanos extranjeros y por tanto no es necesario solicitar ningún tipo de orden a la justicia, ni nada similar.

Figura 2: Detalles de Patriot Act y FISA sobre el espionaje a extranjeros 

Y meses atras....

Visto todo esto, resulta curioso que a principios de este año el principal foco de USA no fuera defenderse de todo lo que está siendo publicado gracias a las filtraciones del ex-técnico de la NSA, sino dirigir la atención mediática hacia China, con informes como el de APT1, el documento sobre Cómo construir sistemas resistentes, o el el Informe de Ciber-Seguridad Anual que se envía al congreso donde se decía que China estaba hackeando a todo el mundo para espiar.

Saludos Malignos!

domingo, agosto 25, 2013

La NSA dice: Desactiva IPv6 y tapa la Webcam (y el micro)

La verdad es que para muchos nos parece una obviedad desde el punto de vista de seguridad este par de medidas, pero recuerdo que hasta hace poco mantenía por Twitter alguna conversación con algún otro profesional de este mundo sobre la conveniencia o no de desactivar IPv6 y, por supuesto, muchos son los que aún ven eso de tapar la WebCam un poco "exagerado".

Al final, todo lo que se ajuste a aplicar los principios de la fortificación de sistemas de Mínimo Punto de Exposición, Mínimo Privilegio Posible y Defensa en Profundidad siempre me parecen de lo más sensato en el mundo de la seguridad. Estos tres principios dirigen el guión del libro de Máxima Seguridad en Windows y del libro de Fortificación de Sistemas GNU/Linux y por supuesto se pueden aplicar de igual forma en el mundo Mac OS X, que es lo que ha hace esta guía de recomendaciones de seguridad para Mac OS X de la NSA.

Figura 1: Guía de fortificación de Mac OS X de la NSA

Lo que se convierte en una ironía, a la par que en un aviso para navegantes, es que sea la NSA (National Security Agency) de los USA, la mente pensante detrás de los programas PRISM o X-KeyScore, dentro de la lista de recomendaciones de seguridad, sea la que avise a todo el mundo de los riesgos de tener IPv6 configurado por defecto y de tener habilitada la WebCam

Figura 2: Desactiva IPv6 en Mac OS X

No olvidemos que los programas de "vigilancia en Internet" que utiliza la NSA han mostrado tener capacidades más que avanzadas para realizar "análisis de datos" mediante "esquemas de hombre en medio" y que cuentan con características que dotan a los investigadores de la organización de la posibilidad de "explotar vulnerabilidades y tomar el control" de máquinas de los investigados - algunas veces hasta por error -.

Figura 3: Desactiva la WebCam (iSight) y el micrófono

Con IPv6 ya hemos visto que se pueden hacer muchos esquemas de man in the middle - además de otros muchos ataques en red - y por supuesto una vez que se toma el control de una máquina se puede fácilmente encender la WebCam y/o el micrófono para convertir el equipo en un sistema de espionaje.

En definitiva, visto esto, si Simón dice que hay que tapar la WebCam - y el micrófono - y que hay que desactivar IPv6 si no se está utilizando... pues será porque Simón sabe lo que se dice, ¿no creéis?

Saludos Malignos!

sábado, agosto 24, 2013

CookieLess: Tracking de usuarios usando etiquetas ETag

El proyecto se llama CookieLess y explica un método más para conseguir hacer un tracking de usuarios y tener una huella digital de la conexión de un usuario. Una técnica más que desconocía y que se suma a la larga lista de técnicas para hacer WebBrowsing fingerprinting y tracking de usuarios a las ya conocidas, y que cada día se van haciendo más difíciles de evadir.

En este caso es algo tan sencillo como volver a utilizar la caché de los navegadores para saber quién es quién, usando las etiquetas ETag. La idea es tan sencilla como fácil de implementar. Cuando un usuario navega por una página web donde hay una imagen estática, esta es entregada desde el servidor al navegador junto con una etiqueta ETag que contiene un checksum del fichero.

Figura 1: Funcionamiento de ETags

La segunda vez que el navegador visita la página, cuando tiene que descargar el mismo fichero, envía el checksum del que tiene ya descargado en la caché, enviando el ETag para que el servidor no le envíe otra vez el fichero si este no ha cambiado.

El truco para hacer tracking de usuarios es entregar un ETag distinto a cada nuevo visitante, y comprobar el valor del ETag del fichero en cada petición al sitio. Insultantemente sencillo.

La solución para evitar esto, a priori, es tan fácil como no utilizar navegación con caché, algo que desde que estuvimos trabajando con las JavaScript Botnets y los ataques dirigidos con los payloads cacheados, ni se me ocurre utilizar, y todas mis sesiones son en modo Private o Incógnito.

Figura 2: Configuración de Secret Agents para reescribir ETags

Para evitar este tracking en Mozilla Firefox también hay un add-on que se llama Secret Agent que re-escribe los TTags. ¿Qué difícil se hace navegar de forma privada, verdad?

Saludos Malignos!

viernes, agosto 23, 2013

¿Un error informático pone a Bale en el Real Madrid, dices?

Hoy estoy contento porque ayer volví a ver a Raúl jugando con la camiseta del Real Madrid marcando un buen gol. Así que aprovechando que el Manzanares pasa por Madrid he querido hablar de una noticia que tenía que ver con el Real Madrid y con los Informáticos, porque no sé cómo nos las arreglamos, pero los informáticos somos siempre los culpables de todo.

Figura 1: Raúl, de capitán en el Real Madrid con el 7 y marcando goles en el Santiago Bernabéu

El titular dice: Un fallo informático pone a la venta la camisetas de Bale en el Real Madrid. Vamos, como siempre la culpa de los informáticos, cuando se puede ver que ha sido un zarpas, que para ahorrar trabajo le ha dado a la tecla antes de tiempo. Así, así más puro estilo de las historias de lusers únicos que cuenta Wardog en el libro que más me ha hecho llorar de risa en los últimos tiempos. Pero... es bueno que haya informáticos para que paguen los platos rotos.

Figura 2: La noticia del "Fallo Informático"

En fin, que si yo hubiera tenido que escribir la notica hubiera tirado más en plan conspiranoico. Algo como: "El Real Madrid presiona al Tottenham poniendo a la venta la camiseta de Bale en su web". Porque... ¿no podría haber sido eso? Pues no... Adidas ha dicho que ha sido un operador, pero en el titular el marrón nos cae a nosotros. Luego se quejan de que nos convirtamos en BOFHs... en fin.

Saludos Malignos!

PD: Sí, quería poner la foto de Raúl en mi blog.... }:)

jueves, agosto 22, 2013

La condena de Bradley Manning: 35 años

Bradley Manning fue el responsable de la filtración de los cables de las embajadas americanas a Wikileaks, que generaría la persecución a la web Wikileaks, y al fundador del proyecto Julian Assange, que todavía perdura. También es el que filtró los polémicos vídeos en los que se podía ver que soldados americanos mataban a civiles en Afganistan, y que conmocionaron al mundo.

Después de pasar una temporada en el "infierno", tras tres años por fin consiguió ser juzgado, pero su estatus de militar obligó a que lo fuera bajo una corte marcial que lo ha condenando a 35 años de cárcel, de los que le descuentan los tres que ya ha cumplido. El principal motivo es haber compartido secretos con el enemigo, ya que la liberarlo públicamente los enemigos también leyeron todo.

Tras esa condena algunos pedían el perdón, que va a ser solicitado a Obama para que lo someta a su criterio - no olvidemos que el presidente de los USA tiene el honor de haber recibido el Nobel de la Paz -, otros pedían una condena de 90 años, y algunos que el mundo le reconozca como héroe y le otorguen también el premio Nobel de la Paz como al presidente Obama.

Cuando llegué a Gatwick, esa era la noticia en la radio y tenían abierto el teléfono para que llamara la gente y diera su opinión sobre qué debería haber recibido Bradley Manning. Yo, que no me callo ni en inglés, le hice la misma pregunta al taxista:
- ¿Qué opina usted de Bradley Manning? ¿Merece esa condena? ¿90 años? ¿El Premio Nobel de la Paz?
El taxista, inglés, por supuesto me contestó.
- Si tu ratificas tu lealtad a tu país cuando entras en el ejercito, no puedes robar datos secretos. Él juró su lealtad al entrar y no debería haber revelado esa información.
Yo, que soy bastante abogado del diablo le empecé a preguntar un poco más:
- Cierto. Pero ante todos somos seres humanos y tenemos ética y moral. Él firmo lealtad por un país al que ama, pero resulta que descubrió unos vídeos en los que veía que algunas personas con posición de autoridad en su país  que habían dado orden para matar civiles, él pensó que esas personas no eran a las que él había dado su lealtad, y que el pueblo americano debía saberlo. ¿No le parece que la moral de un ser humano debe estar por encima de una lealtad dada a ciegas a una organización dentro de su país?
El taxista me miró extrañado, y un poco confundido. Al final yo ocupaba una posición de privilegio en nuestra relación: Era el cliente. Así que tenía que pensar bien la respuesta para no contrariarme.
- Bueno... sí. Pero si eres militar es distinto.... supongo.
Estaba claro que el taxista no pensaba hacer por salir de esta encerrona moral en la que le había intentado meter yo, y estaba dispuesto a estar sometido para no molestarme. Para saber un poco más de qué pie podía cojear yo me preguntó:
- ¿De donde es usted?
Yo le conté que de Madrid, y le tiré un capote esperando que se pringara más en el tema Bradley Manning:
- Entiendo que Bradley Manning cometió el error de enviar masivamente los cables a Wikileaks, sin hacer un filtro previo de lo que para su moral era malo y lo que era una revelación de secretos, y le ha dado herramientas a la opinión pública para condenarle por ello. ¿No cree usted?
Después de eso, el taxista ya estaba entregado, y no pensaba discutir nada más. Me dijo que llevaba razón, que era cierto que gracias a sus revelaciones se habían visto cosas deleznables por cualquier ser humano, pero que también se habían revelado conversaciones que deberían haber permanecido privadas en un entorno como la defensa de un país.

Con esas, llegué a mi destino a juntarme con mi amigo Palako y tomar unas Troopers, y por supuesto a debatir de todo esto en profundidad y más tarde de la gira de Maiden England en la que se repetía el espectáculo del Seventh Son of a Seventh Son. Ahora, ya pasada la resaca de ayer me gustaría preguntaros... ¿qué opináis vosotros sobre este caso?

Saludos Malignos!

miércoles, agosto 21, 2013

Tu industria en mis manos

El título puede parecer algo desmedido, pero realmente puede llegar a ser así. Os cuento, me dedico profesionalmente a la automatización industrial, y aunque tengo aprobado algún Microsoft Certified no me considero ni por asomo un profesional del sector de la informática, sino sólo un aprendiz.

Por motivos ajenos al trabajo, estaba yo colaborando en el proyecto de automatización de una máquina cuyo emplazamiento sería “en mitad de la nada”, donde por supuesto, las conexiones a Internet de la máquina no pueden hacerse vía ADSL. Como solución, el integrador decidió colocar un módem GPRS, y conectar a él directamente el PLC (Programmable Logic Controller).

Para los que no lo estéis acostumbrados a este mundo, una definición rápida de PLC sería la de un elemento utilizado en el mundo industrial para controlar máquinas y procesos. Es decir, es como un pequeño computador, pero con Entradas/Salidas estandarizadas que permiten controlar sensores y actuadores industriales.

El hecho de conectar el PLC directamente al módem es práctico y cómodo, pero desde el punto de vista de seguridad tiene ciertos problemas que deben tratarse, al estar expuesto a Internet. Sin embargo, en muchas instalaciones se fía todo a que nadie sepa en qué dirección IP, en qué puerto y con qué software se puede acceder a ellos. Es decir, seguridad por oscuridad. Pero si sabes esas tres cosas, suele ser fácil para cualquiera tomar control de este tipos de PLCs. A mí me ha permitido divertirme un rato con ellos.

Sabiendo esto, mientras trabajaba, me hice un pequeño programa que buscaba direcciones IP con el puerto 9600 abierto en mi mismo rango de dirección IP pública. El puerto 9600 es el de conexión por defecto a los PLCs de marca Omron, el ISP de salida para la prueba es Iberbanda.

Lo dejé corriendo al salir de trabajar, sin demasiadas esperanzas de éxito, pero cuál fue mi sorpresa cuando llegué de vuelta al día siguiente y antes de tomar café para salir del modo Stand-by de por las mañanas, vi que se habían encontrado varias direcciones IP en mi mismo rango con el puerto 9600 abierto. No me lo acababa de creer, así que decidí comprobar que había detrás de alguna de esas direcciones IP. Ahí estaba, a la primera, un PLC Omron ¿en serio? ¿así de fácil?

Figura 1: Conexión al puerto 9600 de una dirección IP

Me conecté con el software específico para este tipo de controladores y los resultados fueron sorprendentes. Estaba ante un PLC que parece que, entre otras cosas, se dedica a monitorizar el sistema de gas en una fábrica. En la primera imagen podemos ver que se monitorizan los valores de presiones y temperatura del gas.

Figura 2: Alertas gestionadas por el PLC

En la segunda se muestra la parte del programa que envía mensajes SMS con los eventos que genera el sistema de monitorización, como por ejemplo, Cuando hay una Fuga de GAS.

Figura 3: Envío de mensajes SMS en fugas de gas

Me preocupó pensar el que esto pudiera estar así tan expuesto y pensé que los que habían montado esto no deberían haber pensado ni por asomo en los riesgos de seguridad que tienen unas instalaciones hechas de esta forma. Bendita ignorancia.

Revisando algunas de las restantes direcciones IP que tenían el puerto 9600 abierto y que no eran PLCs de Omron, nmap las detectaba como otros sistemas bien conocidas en el mundo de automatización industrial. Decidí pasarme al hacking con buscadores y revisar cuántos de ellos había en Shodan, lo que ofreció resultados mucho más que preocupantes, ya que hay demasiados de ellos con las credenciales por defecto.

Si tienes un sistema industrial con PLCs, por favor, asegúrate de que los accesos a estos están bien protegidos, que no es posible conectarse sin autenticarse y que las credenciales por defecto están cambiadas. Si no lo haces, estarás poniéndoselo muy fácil a unos posibles malos, especialmente ahora que se la liberado Zmap con su capacidad de escanear Internet completo en una hora y después de todas las charlas que ha habido ya en conferencias de hacking sobre este tema.

Autor: Juan Luis Valverde
er_wanchu@hotmail.com

martes, agosto 20, 2013

Metadatos en (los otros) ficheros de Microsoft Excel

Los metadatos son un problema de fuga de información que afecta a muchas empresas, de hecho, haciendo una pequeña prueba con las empresas líderes en protección contra fuga de información según el cuadrante mágico de Gartner, pudimos ver que a ellas también les afectaba de manera especialmente sensible en algunos casos.

Figura 1: Fugas de información en empresas líderes en DLP según Gartner

Por eso decidimos continuar evolucionando nuestras herramientas de protección y dentro de las mejoras continuas que estamos introduciendo a la familia de productos de MetaShield Protector para controlar los metadatos decidimos ir a las fugas por los ficheros ofimáticos menos comunes. Hace unas semanas os hablaba de los metadatos perdidos en los archivos perdidos de Microsoft Office y hoy quiero hablaros de Los Otros.

Figura 2: Ficheros XLSB de Microsoft Excel

Los Otros no son nada más que el resto de formatos de ficheros nativos que soporta una aplicación ofimática, y para ejemplarizarlo he elegido Microsoft Excel, que cuenta con la siguiente lista de formatos nativos:
.xl - Hoja de cálculo de Excel
.xla – Complemento de Excel
.xlb – Barra de herramientas de Excel
.xlc - Grafico de Excel
.xld – Base de datos de Excel
.xlk - Copia de seguridad de Excel
.xll - Complemento de Excel
.xlm – Macro de Excel
.xls – Hoja de cálculo de Excel
.xlsb – Hoja de cálculo binario de Excel
.xlshtml – Hoja de cálculo de Excel para Internet formato HTML
.xlsm – Hoja de cálculo de Excel con Macros habilitadas
.xlt – Plantillas de Excel
.xlv – Modulo de Visual Basic de Excel
.xlw – Espacio de trabajo de Excel
.xlw – Libro de Excel
Cuando se hace un hacking con buscadores persiguiendo todos los archivos ofimáticos, estos deben ser buscados también cuando se hace uso del comando ext:, ya que si no nos quedaríamos sin muchas fugas de información que podrían dar información jugosa.

Figura 3: Metadatos en un fichero .XLL analizado con FOCA Online como XLS 

Yo me he parado a ver cómo son todos esos ficheros y he sacado alguna cosa curiosa sobre cada uno de estos tipos que os resumo en esta lista.
- XLA: No tiene metadatos, es código y se puede ver información sólo en los comentarios de los programas VBA y en los nombres de las variables.
- XLB: Sin metadatos, es un archivo de código binario.
- XLC: Codificación binaria. Mismos metadatos que un XLS. 
- XLD: Formato XML sin metadatos.
- XLK: Formato binario. Mismos metadatos que un XLS.
- XLL: Formato binario. Mismos metadatos que un XLS.
- XLM: Codificación OOXML. Mismos metadatos que un XLSX.
- XLS: El formato nativo.
- XLSB: Formato binario. Mismos metadatos que XLS.
- XLSHTML: Codificación HTML.
- XLSM: Codificación OOXML. Mismos metadatos que XMLX.
- XLT: Codificación binaria. Mismos metadatos que XLS.
- XLV: Codificación binaria. Mismos metadatos que XLS.
- XLW: Codificación binario. Mismos metadatos que XLS.
Como se puede ver, casi todos los formatos ofrecen metadatos que pueden ser extraídos con las herramientas como FOCA Online, o MetaShield Forensics, solo hay que buscarlos de ellos cuando se esté realizando la fase de footprinting y fingerprinting de un pentesting y preocuparse de ellos cuando se esté realizando un proceso de Data Loss Prevention. En la familia MetaShield Protector hemos creado una versión para IIS, otra para SharePoint, otra para File Servers y otra para usar en los clientes Windows. Cuando tenga un poco más de tiempo os paso un resumen similar de "Los Otros" de Microsoft Word y Power Point.

Saludos Malignos!

lunes, agosto 19, 2013

Una aventura de switches, acumuladores y contadores

Tenía unos 12 años cuando me apunté a la academia de mi barrio a aprender informática. Se llamaba Academia RUS, y tenía un dibujo hecho con spray de un robot en el que ponía algo como "Clases de Informática: Apúntate al futuro". Y mi madre me apuntó al futuro.

Allí tuve a Teo, un profesor curioso que venía todos los días a clase con un libro de lectura y nos contaba historias, no solo de informática, sino también de ciencia ficción. Entre otras cosas, en los descansos, nos contaba cosas de "IT" de Stephen King - uno de los libros que trajo muchas veces mientras se lo terminaba -, "Caballo de Troya" de J.J. Benitez y de RoboCop, una película que acabaríamos yendo a ver a su estreno en el Cine Capitol de Gran Vía y que me llevaría a conocer el universo Paul Verhoeven en todo su esplendor. Todo eso cuando yo era un niño.

Creo que mi paso por esa academia con 12 años me marcó mucho más de lo que yo iba a imaginar en mi vida. Allí comencé programando en BASIC, en ordenadores de los 80, donde había cosas como el Dragon Computer con el que tiré mis primeros programas, o equipos Sinclair, Atari, y por supuesto los famosos AMSTRAD CPC 464. Daría oro por volver atrás en el tiempo y entrar en aquella sala llena de joyas de la historia de la informática hoy en día.

Figura 1: DRAGON 32

Teo, mi profesor, me sentó, y se dedicó a explicarme los conceptos básicos de la programación iterativa donde todo se resolvía con tres estructuras básicas de control de flujo: La secuencia, la repetición y la alternativa. Todo era sencillo y divertido y bastaba con poner números de orden a las instrucciones, hacer bucles y aplicar sentencias IF-THEN-ELSE. Por supuesto, teníamos la posibilidad de romper el flujo con las instrucciones GOTO - algo que como cuentan en Microhistorias quedaría muy mal visto por los desarrolladores - y por eso nos recomendaba hacer uso de Subrutinas y utilizar GOSUB y RETURN o de las llamadas a funciones.

Figura 2: Una pequeña subrutina en BASIC para dibujar una ventana en ASCII

Con poco más, añadiendo el uso de variables y arrays de varias dimensiones, el acceso a periféricos como la pantalla, el teclado, el joystick o la impresora, jugando con los ficheros que abríamos de lectura o escritura y poco más, los programas iban saliendo poco a poco. Todo era un juego.

La pantalla del AMSTRAD era genial, porque tenía tres modos con diferente número de columnas en cada modo, y si tenías un monitor en color, podías cambiar el color del borde, el papel, y la tinta de los caracteres. Además, podías jugar con los caracteres ASCII y redefinirlos con la función SYMBOL, lo que ayudaba a hacer cosas.

Recuerdo que de todo ello, lo que más me motivaba era hacer los programas más rápidos que los de mis compañeros, y para ello había que ser muy bueno con la optimización de las instrucciones. Los switches, los acumuladores y los contadores eran mágicos, te permitían tener información de lo que ya había sucedido en el flujo del programa y de lo que quedaba por terminar, por lo que podrías saber si estabas haciendo doble trabajo con alguna instrucción o si podías saltarte un paso innecesariamente. 

Una de las cosas geniales de aquella época era que podías escribirte tus propios juegos con sencillez, y de hecho los compartíamos en papel impreso para que otro se los fotocopiara y los tecleara en su equipo. Programas de tenis, de disparos, el famoso arkanoid, etcétera, eran juegos que podías escribirte tú mismo.

Figura 3: El manual del AMSTRAD CPC 464

En la propia guía de AMSTRAD CPC venía juegos al final para que los escribieras tú, consiguiendo que miles de niños escribieran programas sin entender mucho lo que estaban haciendo, lo que les llevó irremediablemente a caer el mundo de la informática.

Yo recuerdo descubrir cómo usar las envolventes de sonido, y los cuatro cronómetros de AMSTRAD para gestionar subrutinas que tenían su propio hilo de ejecución, como la pelota del Arkanoid o un disparo en un máquina de marcianitos. Gran parte de la pasión mía viene de aquellos días, donde después gracias a las revistas aprendería que con POKE o PEEK se podía acceder a la memoria y modificar los valores de los contadores de vidas y balas de un juego manipulando los valores hexadecimales de ciertas posiciones.

Figura 4: movimento una pelota para hacer un "Arkanoid o Rebotes"

Por supuesto, no sería hasta después cuando llegué a la Universidad, que descubriría cosas como la algorítmica, las estructuras de datos, y a resolver problemas de otra forma, pero también los equipos informáticos habían cambiado mucho.

Sin embargo, todo esto volvió a mí, cuando este jueves pasado, casi sin quererlo, cayó en mis manos un emulador de AMSTRAD CPC que me permitía volver a programar como cuando tenía 12 años, y caí atrapado en él.

Figura 5: Jugando en mode 0 con para hacer un editor de mapas

Volví a leerme el manual de AMSTRAD CPC y me vi haciendo un editor de mapas de Arkanoid, y moviendo de nuevo una pelota por pantalla, jugando con los colores y tirando de LOCATE y FRAME para poner un carácter ASCII en movimiento por la pantalla en mode 0.

Ten cuidado y no te bajes ningún emulador como estos. Yo comencé al principio solo por tirar unas líneas a ver qué tal iba, pero ahora estoy totalmente enganchado. Si no tienes mucho tiempo no caigas en este viaje al pasado. Ya os pasaré el código de lo que salga cuando acabe por si queréis copiarlo };).

Saludos Malignos!

domingo, agosto 18, 2013

In your Face...book: Investigador explota un No-Bug de Facebook en el wall de Mark Zuckerberg en Facebook

Hoy os iba a hablar de otra cosa, pero como hay más días que longanizas lo dejaré para otro, ya que mis amigos de Cyberhades - autores del libro que cuentan anécdotas de la historia de la informática y el hacking - han publicado esta mañana una historia que me ha llamado mucho la atención. El uso de un No-bug, par lanzar un No-exploit, y hacer un No-hack a la cuenta de Mark Zuckerberg en Facebook.

La historia parece comenzar con el reporte de un bug en Facebook que permitiría a cualquier usuario de Facebook publicar en el muro de cualquier otro usuario en Facebook. Publicar en el muro de otra persona es una característica que Facebook tiene desde los principios, pero que muchos usuarios tienen (tengo) desactivado para evitar abusos, ya que esto se podría usar para distribuir malware, hacer spam, acosar a gente, etcétera. 

Figura 1: Transcripción del correo al equipo de Facebook reportando el bug

El investigador Palestino lo reportó al equipo de Facebook como se puede ver en este mensaje publicado en Pastebin. Pero desde Facebook le dijeron que esto no era un bug y que por tanto no podría acceder a la recompensa que se entrega a los que reportan vulnerabilidades, tal y como se puede ver en la imagen siguiente.

Figura 2: Esto es un No-Bug

Así que como era un No-Bug, decidió usarlo para publicar en el muro de Mark Zuckerberg donde le dejó este bonito mensaje haciendo uso del No-exploit, donde le explicaba toda la situación y lo que podía hacer con él.

Figura 2: El mensaje en el Wall de Mark Zuckerberg

Y algo debió pasar, pues el equipo de seguridad reconoció al final que el No-bug tal vez era un bug, ya que el No-exploit podría haber supuesto un cabreo para que el que lo sufrió.

Figura 4: El mensaje con toda la historia publicado en el wall de Mark

Lo más gracioso es que una vez que el No-Bug mutó a Bug, resulta que el No-hack pasaba a ser un Hack y a incumplir la política de seguridad de Facebook y por tanto dejaba al investigador de seguridad sin derecho a su recompensa. En el vídeo más información.

Figura 5: El vídeo con la explicación del bug

Al final, esto, con recompensa birlada o sin ella, ha sido un In Your Face...Book que merece un Pwnnie Award el año que viene en la BlackHat al Epic 0wnage o al Epic FAIL o al Lamest Vendor Response.

Saludos Malignos! 

sábado, agosto 17, 2013

La NSA espió y tomó control de equipos sin querer

Supongo que a estas alturas ya todos os habréis enterado del reporte que ha publicado el Washington Post en el que se ha publicado un documento de una auditoría interna de la NSA en la que se ve que a la hora de espiar se equivocaron 2.776 veces durante un año espiando a alguien a quién no debían.  Con ese número de veces suena un poco a un sistema operado por la T.I.A. donde sin querer se les fue la mano a la hora de espiar a alguna persona, pero parece que fue sin mala intención.

Figura 1: Resumen de los 2776 casos de espionaje por error

Los errores fueron por muchas cosas, por presión laboral, por falta de controles o en los sistemas informáticos que no tienen suficientes medidas de auto-control, por errores informáticos y porque a veces se producían pequeños errores tipográficos a la hora de transcribir los nombres de los espiados.  Un resumen de algunos casos en la siguiente tabla.

Figura 2: Actividades por error a ciudadanos americanos en esos 2776 casos

Sin embargo, lo que más me llamó la atención es que por error explotaron vulnerabilidades también en algunos equipo y tomaron el control de ellos, tal y como se puede ver en la siguiente imagen, generando una intrusión sin querer.

Figura 3: Actividades realizadas por error con extranjeros en esos 2776 casos

El documento completo de la auditoría lo podéis ver online, donde está en modo resumen ejecutivo con los gráficos de resúmenes de lo detectado durante un año, pero no olvidemos que estas normas que permiten a la NSA utilizar los sistemas PRISM o XKeyscore están en vigor desde el año 2008, así que el número de incidentes podría superar con creces los 10.000 casos, lo que deja claro que no hay mucho control judicial y buenos controles de seguridad a la hora de aplicar el Acta de Patriotismo y FISA.

Saludos Malignos!

viernes, agosto 16, 2013

Terminal Hackpplications en la Ekoparty 2011

La última vez que fui a la Ekoparty fue en el año 2011. Allí di una sesión sobre Terminal Hackpplications con todos los temas que tienes publicados aquí en El lado del mal sobre Citrix y Terminal Services. Es la misma charla que habíamos dado Juan Garrido "Silverhack" y yo en DEFCON 19, pero en Español. Ahora la tienes publicada en Vimeo, así que aquí os la dejo.

Figura 1: Chema Alonso en  Ekoparty 2011

En esta ocasión, a la hora de instalar el certificado en la última demo lo instalé en el sitio erróneo y no acerté con la demo - cosas del directo -, pero creo que se entiende todo bastante bien, incluidos los chistes malos.

Por si alguno pregunta... No, aún no sé si iré este año a la Ekoparty. La verdad es que se me está complicando la agenda minuto a minuto, pero mi idea inicial era asistir... aunque aún no os puedo confirmar si iré o no. Tanto si voy, como si no voy, os enteraréis pronto, que queda poco más de un mes para el gran evento.

Saludos Malignos!

jueves, agosto 15, 2013

WebBrowsing Fingerprinting con códigos de estado HTTP

De la reciente DEFCON 21, una de las charlas que más me ha gustado  - y que, además, tiene relación con lo publicado en este blog recientemente sobre el Web Browser Fingerprinting y con algo que me ha interesado a mí personalmente desde hace tiempo - ha sido la que ha dado Chris John Riley con el título “Defense by numbers: Making Problems for Script Kiddies and Scanner Monkeys”.


Su estudio, realizado sobre los tres navegadores más utilizados - Microsoft Internet Explorer, Mozilla Firefox y Google Chrome -  analiza que tipo de comportamiento tienen estos ante diferentes códigos de respuesta HTTP, esto es, qué hace un navegador cuando recibe una respuesta que no es 200 OK. Los servidores web pueden responder con distintos códigos a los clientes para informarles de las consecuencias que han tenido sus peticiones, siendo los más frecuentes:
• 200 OK
• 304 Not Modified (cuando solicitamos un fichero que ya tenemos en la cache de nuestro navegador)
• 404 Not Found
• 500 Internal Server Error
Pero hay muchos más, ¡muchísimos! Podéis ver una lista bastante completa en la página de la Wikipedia sobre códigos de respuesta HTTP.

Lo que este hombre ha probado y testeado es la forma de actuar de estos navegadores ante páginas que devuelven códigos HTTP distintos de los esperados. Además ha probado esto con distintos elementos HTML como iframes, imágenes o ficheros JavaScript remotos, y a la conclusión a la que ha llegado es que, ante la mayoría de los códigos de respuesta, los navegadores actúan como si el código fuera 200 OK (es decir, muestran la página sin mostrar ningún tipo de mensaje de error)

Figura 2: Respuesta en base a los códigos HTTP enviados por el servidor

Como se puede ver en la tabla anterior, distintos navegadores para distintos códigos producen distintos resultados. Una de las aplicaciones en las que se puede usar esta diferencia de respuestas es en el fingerprinting de navegadores web, algo muy útil para la industria de la seguridad. De su análisis concluye, entre otras cosas, que:
Mozilla Firefox: No carga ficheros JavaScript si el código es 300 Multiple Choices, IE y Chrome si lo hacen
Google Chrome: Carga ficheros JavaScript si el código es 307 Temporary Redirect, Firefox e IE no lo hacen
Microsoft Internet Explorer: Carga ficheros JavaScript si el código es 205 Reset Content, Chrome y Firefox no lo hacen
Con estas pequeñas diferencias ha puesto a disposición de todos un pequeño POC en Internet e incluso el código fuente disponible en su repositorio de github.

Figura 3: Detección de Mozilla Firefox con WB Fingerprinting usando códigos HTTP

Esta técnica y este estudio son una gran base de información para entender mejor cómo funcionan los navegadores, además de, como en su objetivo original, penalizar a las herramientas automáticas que confían en el código de respuesta del servidor para reconocer el éxito o fracaso de un intentando de ataque.

Por supuesto, uno de los objetivos principales de las técnicas de WebBrowsing fingerprinting es la de poder luchar contra el Fraude Online en Internet. Supongamos que un usuario se conecta a su cuenta bancaria habitualmente desde el equipo de su casa, donde utiliza para entrar en la web de su banco MS Internet Explorer 9 y un día sus credenciales bancarias son robadas por un malware. Si el banco ha generado una huella digital de la conexión a sus servicios online y un tiempo después se intenta hacer una transferencia desde un equipo en el que se está usando otro navegador o en el que se detecta que se está haciendo un spoofing del USER-AGENT, entonces probablemente sea una transferencia fraudulenta.

Saludos!

Autor: Pedro Laguna (@p_laguna)

miércoles, agosto 14, 2013

El documental sobre DEFCON

Hace tiempo que se sabía que se había hecho un documental sobre las conferencias DEFCON. Ahora, desde hace ya algunos días, está disponible en la red y publicado en YouTube. Si quieres ver un poco del ambiente que se respira por allí, invierte un par de horas este verano para vértelo, porque merece la pena.

Figura 1: El documental sobre DEFCON

Espero que los más jóvenes os motivéis para que en el futuro estéis todos por allí presentando vuestros trabajos, que como podéis ver es un entorno magnífico para disfrutar de la pasión de la seguridad informática y el hacking.

Saludos Malignos!

Entradas populares