miércoles, septiembre 30, 2009

Nos vamos de acampada: Asegúr@IT Camp!

Después de haber organizado esto, y de haber estado con los compañeros de I64 en la LaCon’09, no me queda claro si esto lo de las charlas de seguridad las hacemos para juntarnos y hacer el gamba, o nos juntamos para hacer el gamba como excusa para disfrutar con las charlas.

Sea como fuere, nos hemos preparado un fin de semana de esos a los que los freaks más freaks ya se han apuntado. Un viernes noche, sábado y domingo mañana a los pies de la cruz de los caídos, en el Escorial. Bueno, no os asustéis, esta unos kilómetros a los pies, en el El Camping de El Escorial. Será el fin de semana del 23 al 25 de Octubre.

Para que la cosa tenga su aquel, esto va a circular de la siguiente manera:

El viernes noche se llega al registro de armas y estupefacientes. A la cola de la izquierda CON a la cola de la derecha SIN. Una vez clasificados los energúmenos de los energúmonos nos vamos a cenar todos juntitos RANCHO. Nada de cenita a la carta en plan degustación del mule carajonero. Nada, nada... puro ranchaco elegido por mí, que dos días antes deberé elegir entre basura con patatas o basura con ensaladita. Después en grupos de 4 o 5 los seres serán distribuidos a su cabañita bungalow de madera, para que puedan dejar sus cosas, e irnos a tomar un algo al bar y charlar de las tonterías habituales. (Los que estuvisteis en el curso de verano de Salamanca seguro que os hacéis una idea buena).

El que quiera podrá comenzar el juego de la “Caza del Tesoro” que están organizando los compañeros de I64 y que tendrá un premio, ya veremos cuál, de algún sponsor.

El sábado por la mañana, una vez aseados y duchados, se procederá al rancho de desayuno, en fila de a uno y con la mochila bien puesta, para comenzar la tanda de charlas. Para que la cosa sea amena he juntado a unos buenos piezas de cuidado:
Carles Martín de Quest Software y la lucha Jedi por la integración de todos los sistemas operativos en el orden y concierto imperial.

Alberto Moreno “Gospel” y su manía persecutoria de los pobres dispositivos móviles a los que va a hacer de todo.

Los ex evangelistas David Cervigón y el “abuelo” Parada, que ahora, viviendo como curas, vendrán a darnos una charla de algo que aun no tenemos muy claro.

Juan Garrido, “silverhack”, y sus aparatos CSI, en este caso, para hacer un forense a ver qué coño le pasa a la Internete que va muy mal. Y podrá resolver el misterio de “Dios se ha caído Google!”.

Eso por la mañana, luego comida de … RANCHO!!! Eso sí, con su cafelico para el que quiera y aguante, que la sesión de la tarde tendrá su miga y contará con:

El First Foca Fighting o “El combate de las FOCAS” que será una sesión en la que primero habrá un “FOCA Tips & Tricks” para luego ver cuáles han sido los ganadores de este concurso que MAÑANA os explicaré en detalle.

Alejandro Ramos, “dab”, de SecurityByDefault, vendrá a darnos una entretenida y curiosa sesión dedicada a los “hackeos memorables” donde podremos descubrir cuáles fueron las cagadas, las reacciones y lo que realmente sucedió en algunos ataques mediáticos.

Luego, entraremos en la parte de Seguridad Informática pura y dura con la participación estelar de Nico de Nicodemo Animation, que vendrá, acompañado de su colega “Muza” (este último me da a mí que viene a las sesiones post-cena) a darnos una charlita de cómo animar en Flash y no morir en el intento. Además, ha prometido que nos enseñará algunas escenas de lo que será la aparición de Cálico Electróncio, el superhéroe “aspañol", en el mundo del séptimo arte, a lo menos.

Y para terminar, el Chico Maravillas, Ricardo Varela, de Yahoo! y un servidor, daremos una sesión ridícula sobre “Técnicas de posicionamiento SEO para empresarios de moral relajada”… que ya veremos cómo sale.

Después habrá cena de RANCHOTE MALOTE, y sesión post-cena en el bareto que nos llevará irremediablemente a un domingo mañanero de resaca en el que se entregarán los diplomas de participación, el premio al ganador del FIRST FOCA FIGHTING elegido por los participantes y la solución a la Caza del Tesoro. Por supuesto, será momento de fotos, lágrimas, besos y cuanto te quiero y eso.

El número de plazas está un poco restringido al número de bungalows que tenemos pre-reservados y, todo este maravilloso menú gastronómico, y estancia en el paraíso de El Escorial, rodeado de los tipos más cool, tiene un coste de 100 pavos por persona. Os podéis registrar desde ya y, cualquier duda que tengáis sobre “cómo podría” o “y si…” o algo similar… me ponéis un e-mail.

Tienes toda la información de registro en la siguiente URL: ASEGÚR@IT CAMP!

Saludos Malignos!

martes, septiembre 29, 2009

No Lusers 76: Operación Swordfish







Así pasa, los jóvenes ven estas cosas y se piensan que la vida del juanquer es... recibir cariñitos. Por cierto, ¿recordáis la música del final?


La escena original


Saludos Malignos!

lunes, septiembre 28, 2009

Vaya Crater en Barcelona

Pues sí, hay un buen crater....


Estos chicos malos... son muy malos...

Saludos Malignos!

Décimo Aniversario

El próximo jueves, 1 de Octubre, como ya os anticipé, Informática64 cumple 10 años. Ese día lo vamos a celebrar con un evento y 5 hols gratuitos que han ido recibiendo vuestras peticiones de reserva.


Quiero daros las gracias de antemano a todos los que habéis mostrado el interés en participar y aprovechar al mismo tiempo para dejaros como está el status.

Los Hands On Lab de SQL Server 2008, Análisis Forense y Terminal Services están llenos. Sé que muchos habéis mostrado mucho interés en asistir a ellos y algunos estáis en lista de espera, pero ya no se va a aceptar ninguna reserva más, porque estos tres HOLs están hasta arriba.

Quedan, si embargo, alguna plaza en el DL05 dedicado a Cámaras de Video Vigilancia IP de D-Link y el de Microsoft SharePoint Portal Server 2007 : Up & Running, debido a que cuentan con unas salas con mayor espacio.

Además, el evento principal, donde hablaremos Joshua Sáenz Guijarro, Juan Luís G. Rambla, Alejandro Martín Bailón y yo sobre Microsoft Exchange Server 2010, Quest Message Stats, Microsoft Forefront Threat Management Gateway, Microsoft Internet Inforation Services, MetaShield Protector (y la FOCA!) y Connection String Attacks, dispone aun de plazas para asistir.

Todos, tanto los asistentes de los Hands On Lab, como los asistentes del evento, tendrán derecho al catering, así que no te precoupes, no te vas a quedar sin desayunar.

Por último, quiero recordaros que allí NO se venderán los libros de Análisis Forense en entornos Windows y el de Aplicación de la LOPD en la empresa. Sialguien quiere recogerlo allí, deberá comprarlo previamente online y solicitar que se lo lleven al evento, pero por motivos de organización NO podremos vender allí los libros.

Tienes toda la información sobre el evento en la siguiente URL: 10º Aniversario

Saludos Malignos!

Connection String Attacks (II de VI)

*********************************************************************************************
- Connection String Attacks (I de VI)
- Connection String Attacks (II de VI)
- Connection String Attacks (III de VI)
- Connection String Attacks (IV de VI)
- Connection String Attacks (V de VI)
- Connection String Attacks (VI de VI)
*********************************************************************************************

Delegación de autenticación en aplicaciones web

A la hora de establecer un sistema de autenticación para una aplicación web se puede optar por crear un sistema propio de credenciales o delegar la autenticación al motor de base de datos.

En muchas ocasiones el programador de la aplicación opta por utilizar un único usuario para conectarse al motor de base de datos. Este usuario representará a la aplicación web dentro del motor de base de datos y ella misma, utilizando esta conexión, realizará consultas a una tabla de usuarios dónde gestiona las credenciales de usuario.


Figura 4: Autenticación controlada por la aplicación web

Como se utiliza un único usuario que accede a todo el contenido de la base de datos se hace imposible implantar un sistema granular de permisos sobre los diferentes objetos de la base de datos o realizar un seguimiento de las acciones de cada usuario, delegando estas tareas en la propia aplicación Web. Si un atacante es capaz de aprovechar vulnerabilidades en el código de la aplicación para acceder a la base de datos, esta quedara completamente expuesta. Esta arquitectura es utilizada por la mayoría aplicaciones web expuestas a Internet, como Joomla o Mambo entre otros.

Como ventaja, permite al administrador de la base de datos no tener un gran número de usuarios que puede que sólo accedan una vez a la aplicación y disfrutar de un entorno mucho más fácilmente portable de un entorno a otro. El objetivo de un atacante en este tipo de entorno será extraer el contenido de la tabla de usuarios para poder acceder a las credenciales.

La otra alternativa, consiste en implementar una delegación del proceso de autenticación en la base de datos, así se puede utilizar la cadena de conexión para comprobar las credenciales de un usuario. Si el usuario existe y tiene privilegios podrá conectar la aplicación a la base de datos. Por el contrario, si el usuario no tiene privilegios no podrá entrar en la base de datos y, por tanto, tampoco podrá acceder a la aplicación web.

Este sistema permite delegar toda la lógica y gestión de credenciales al motor de bases de datos. Como ventajas, esta arquitectura permite auditar granularmente los permisos en la base de datos, así como tracear fácilmente y evitar ataques de elevación e privilegios cuando se produzcan fallos en el código de la aplicación web. Como inconveniente principal tiene la necesidad de dar de alta en el sistema todos los usuarios. Sin embargo, para aquellas aplicaciones web cuyo objetivo es gestionar la propia base de datos, es necesario utilizar una arquitectura como ésta.


Figura 5: Autenticación en aplicaciones web delegada

Cada uno de estos sistemas ofrece diferentes ventajas e inconvenientes. Este artículo se centra en el segundo de los entornos, es decir, aplicaciones web con al autenticación delegada al motor de bases de datos.

Connection String Injection

Las técnicas de Connection String Injection permiten a un atacante, en un entorno de validación delegada, inyectar parámetros mediante la adición de nuevos parámetros con el carácter punto y coma.

Suponiendo un ejemplo en el que se solicite usuario y contraseña para crear una cadena de conexión, un atacante podría quitar el sistema de encriptación introduciendo, en este caso en la contraseña algo como:

contraseña; Encryption=off

Al generar la cadena de conexión se añadirá el valor Encryption a los parámetros configurados previamente.

Connection String Builder en .NET

Microsoft, conociendo la posibilidad de realizar este tipo de inyecciones en las cadenas de conexión, incluyó a partir de la versión 2.0 del Framework las clases “ConnectionStringBuilder”, que permiten, a través de la clase base (DbConnectionStringBuilder) o través de las clases especificas para los diferentes proveedores (SqlConnectionStringBuilder, OleDbConnectionStringBuilder, etcetera), crear cadenas de conexión con una sintaxis correcta y de forma segura, ya que solo se admiten pares clave/valor validos y se controlan los intentos de inserción de entradas malintencionadas escapando adecuadamente los intentos de inserción.


Figura 6: Información en MS sobre Injección en cadenas de conexión

El uso de estas clases a la hora de construir dinámicamente una cadena de conexión evitaría las inyecciones, sin embargo, no es utilizado por todos los desarrolladores de código y, por supuesto, no por todas las aplicaciones. Esto puede ser debido principalmente a la no existencia de formas de atacar estas vulnerabilidades de manera práctica, ya que basta con echar un vistazo a OWASP y descubrir que no hay documentada ninguna forma de ataque.


Figura 7: Resultados en OWASP sobre ataques a cadenas de conexión

*********************************************************************************************
- Connection String Attacks (I de VI)
- Connection String Attacks (II de VI)
- Connection String Attacks (III de VI)
- Connection String Attacks (IV de VI)
- Connection String Attacks (V de VI)
- Connection String Attacks (VI de VI)
*********************************************************************************************

domingo, septiembre 27, 2009

Connection String Attacks (I de VI)

*********************************************************************************************
- Connection String Attacks (I de VI)
- Connection String Attacks (II de VI)
- Connection String Attacks (III de VI)
- Connection String Attacks (IV de VI)
- Connection String Attacks (V de VI)
- Connection String Attacks (VI de VI)
*********************************************************************************************

Introducción

Cuando una aplicación va a trabajar con un repositorio de datos externo necesita configurar como debe realizarse el acceso al mismo. El almacen de datos puede ser un fichero en el sistema operativo, una base de datos relacional, un árbol LDAP o una base de datos XML. En cualquier situación debe identificarse la ubicación del repositorio de datos mediante una cadena de conexión.

Las cadenas de conexión en aplicaciones web, como ya se ha dicho, se pueden utilizar para conectarse a bases de datos relacionales. La sintaxis de estas cadenas dependerá tanto del motor de base de datos al que se vaya a conectar como del proveedor o driver que vaya a utilizar el programador para establecer la conexión y definir el intercambio de datos.

De una u otra manera, el programador debe especificar el servidor al que se conecta, el nombre de la base de datos, las credenciales a utilizar y los parámetros de configuración de la conexión, tales como el timeout, bases de datos de respaldo, el protocolo de comunicaciones o las opciones de cifrado de las mismas.

El siguiente ejemplo muestra una cadena de conexión común para conectar a una base de datos Microsoft SQL Server:

“Data Source=Server,Port;
Network Library=DBMSSOCN;
Initial Catalog=DataBase;
User ID=Username;
Password=pwd;”


Como se puede apreciar, una cadena de conexión es una secuencia de parámetros separados por el carácter punto y coma “;” definidos como pares atributo, valor. Los atributos utilizados en el ejemplo se corresponden con los utilizados por “.NET Framework Data Provider for SQL Server”, que es el utilizado por los programadores cuando usan la clase “SqlConnection” en las aplicaciones .NET. Lógicamente es posible realizar conexiones a SQL Server utilizando otros proveedores como “.NET Framewor Data Provider for OLE DB” (oldbConnection), “.NET Framework Data Provider for ODBC” (OdbcConnection), "SQL Native Client 9.0 OLE DB provider", etc...

Lo habitual y recomendado para las conexiones desde aplicaciones .NET a SQL Server es utilizar el proveedor proporcionado por el propio Framework. La sintaxis de la cadena de conexión a utilizar con él es común para las diferentes versiones de SQL Server (7, 2000, 2005 y 2008) y son las utilizadas en este articulo para ilustrar los ejemplos.

Cadenas de Conexión y Google Hacking

Tal como se puede apreciar, la información que acompaña una cadena de conexión es sensible. Puede contener información relativa a ubicaciones de servidores y credenciales del sistema que deben ser protegidas.

No obstante, es secillo encontrar cuentas del sistema y servidores de bases de datos usando un poco de Google Hacking y, con una sencilla búsqueda por los campos Data Source y Password, por ejemplo, pueden aparecer en Internet múltiples sitios dónde la cadena de conexión ha sido indexada.


Figura 1: Credenciales en cadenas de conexión

Esta información no tiene porque ir incluida en el própio código de la aplicación web y, como forma de intercambiar correctamente la información de conexión a una base de datos, existe el formato de fichero UDL [Universal Data Link] con el que se definen los parámetros de la conexión.


Figura 2: Información de conexión en fichero UDL

Al ser un fichero de texto, es fácil localizar en Google este tipo de archivo con información sensible sobre conexiones a bases de datos con una simple búsqueda por ficheros de tipo UDL con la palabra password.


Figura 3: Ficheros UDL en Google

*********************************************************************************************
- Connection String Attacks (I de VI)
- Connection String Attacks (II de VI)
- Connection String Attacks (III de VI)
- Connection String Attacks (IV de VI)
- Connection String Attacks (V de VI)
- Connection String Attacks (VI de VI)
*********************************************************************************************

sábado, septiembre 26, 2009

Entrevista a Moxie Marlinspike

En la Ekoparty he tenido varios grandes descubrimientos personales, es decir, conocer a gente genial, pero una de las personas con las que he podido disfrutar tiempo ha sido Moxie. Este chico alto ya había hecho las delicias de los asistentes de las conferencias en 2008 y 2009. Habíamos coincido en Black Hat Europe 2009 dónde nos hicimos una foto con él (bueno... yo de grupie...). En la Defcon 17 no fue posible charlar nada porque estuvo bastante solicitado pero… en Argentina estaba desprotegido ya que es tierra de lenguaje español… (si se puede llamar español a lo que habla mi amigo Luciano Bello).


El gran Moxie con el pequeño maligno

Ha sido divertido escuchar las divagaciones de Moxie sobre el uso de dirigibles unipersonales o el uso de Google para obligarle a crackear hashes, pero también lo ha sido hacerle a ratos de traductor de español a inglés (bronxtolita edition), e intentar explicarle porque coger significa pick something up en España y fuck en Argentina. "How can it be possible?" gritaba entre extrañado y divertido con los brazos en alto...

En fin, que le cogí (Spain’s meaning) y le hice una entrevista, que aquí tienes para que la disfrutes.

Saludos Malignos!

1.- Tall, Blonde… are you from German?

Actually, my hair isn't even really blond, I've just spent too much time outside recently. After another long winter, I'll look more like my usual American self.

1.- Alto, rubio… ¿Eres de Alemania?

De hecho, mi pelo no es realmente rubio, sólo que últimamente he pasado demasiado tiempo fuera. Después de otro largo invierno, luciré mucho más como mi yo americano habitual.

2.- As I told you, we don´t study too much American history/geography, so… what can you tell us about your State? What is good to do there?

I live in Pittsburgh, which is in western Pennsylvania. The state itself has a pretty strange history, and Pittsburgh has a population that's almost 50% of what it was before the major industrial collapse in the 60s. So my town is what you could call a post-apocalyptic landscape: there are plenty of abandoned steel mills, churches, and houses to explore.

2.- Como te conté, nosotros no estudiamos demasiada historia/geografía americana, así…¿qué puedes contarnos de tu estado? ¿Qué es bueno hacer allí?

Vivo en Pittsburgh, que está en el oeste de Pennsylvania. El estando en si mismo tiene una historia bastante extraña, y Pittsburgh tiene una población que es casi el 50% de la que tuvo antes del gran colapso industrial de los 60. Por lo que mi ciudad es lo que podrías llamar un paisaje post-apocalíptico: Hay un montón de fabricas de acero, iglesias y casas abandonadas que explorar.

3.- You are the first person I met from the states who likes ride bicycles instead of driving cars.. Is it possible to live in the states without a car?

Sure it's possible. Most cities in the states were built after the introduction of the automobile, so their layouts make it very difficult to build effective public transportation. Since there's no metro, riding a bike is a good alternative.

3.- Eres la primera persona que me encuentro de Estados Unidos a la que le gusta ir en bici en lugar de conducir el coche, ¿se puede vivir en Estados Unidos sin coche?

Claro que es posible. La mayoría de las ciudades en los Estados Unidos fueron construidas después de la introducción del automóvil, por lo que sus diseños hacen difícil construir un transporte público efectivo. Debido a que no hay metro, ir en bici es una buena alternativa.

4.- How do you get involved in this crazy world of computer security?

The 90's hacker scene!

4.- ¿Cómo te viste involucrado en este loco mundo de la seguridad informática?

¡La escena hacker de los 90!

5.- What operating system is running in your box? A Windows Vista?

When I'm not running Windows ME, I run Debian.

5.- ¿Qué sistema operativo corre en tu máquina? ¿Un Windows Vista?

Cuando no estoy ejecutando Windows ME uso Debian.

6.- What did you study along your life to learn computer security? How a guy can learn computer security? What would you recommend to them?

I always say that the secret is to begin. Find a problem that seems interesting, and start working on it. You'll figure out the rest along the way.

Alternately, you could do an internship with the Institute For Disruptive Studies and possibly learn a lot.

6.- ¿Qué has estudiado en tu vida para aprender seguridad informática? ¿Cómo puede alguien aprender? ¿Qué le recomendarías?

Yo siempre digo que el secreto es comenzar. Encontrar un problema que parece interesante, y empezar a trabajar en él. Ya descubrirás el resto a lo largo del camino.

7.- I asked to you this before, but.. What was your favorite conference?

Summercon '96, when cops still weren't welcome at hacker cons, and security as an industry was only just starting to happen.

7.- Ya te lo pregunté antes, pero … ¿Cuál es tu conferencia favorita?

La SummerCon’96, cuando los policías no eran bienvenidos en las conferencias de hacker, y la industria de la seguridad estaba sólo comenzando a existir.

8.- Well, I know you are an expert in Spanish… so.. do you know how to order your favorite drink in our language?

Unfortunately my Spanish language skills leave something to be desired, but fortunately "gin and tonic" seems to be translated as "gin y tonic," so I've got that much under control.

8.- Bien, se que eres un experto en la lengua española… así que… ¿sabes cómo pedir tu bebida favorita en nuestro idioma?

Desafortunadamente mi nivel de español deja algo que desear, pero, por suerte, “gin and tonic” pareque ser traducido como “gin y tonic”, así que tengo eso bastante bajo control.

9.- What are the next places in which is possible to see you delivering a talk?

I'm speaking at the University of Michigan on the 20th, then I'll be going to hack.lu at the end of the month and DeepSec in November.

9.- ¿Cuales son los siguientes sitos en los que será posible verte dando una charla?

Voy a hablar en el 20 aniversario de la Universidad de Michigan, luego iré a hack.lu a finales de mes y DeepSec en Noviembre.

10.- I know sometimes is necessary to keep the things secret, but… in what are you working on know? Where are you working? Doing what?

In addition to the super secret stuff, I'm working on secure communication applications for the Android platform.

10.- Sé que a veces es necesario mantener las cosas en secreto pero… ¿en qué estás trabajando ahora? ¿Dónde estás trabajando? ¿Haciendo qué?

Además de las cosas super secretas, estoy trabajando en aplicaciones de comunicación segura para la plataforma Android.

11.- When you don´t have a laptop in your hands… what do you like to do? Do you like comics, music, reading books?

I build fireworks, sail boats, play music in impromptu bands, and promote strange events. In general, I like the weird stuff.

11.- Cuando no tienes un portátil en tus manos.. ¿Qué te gusta hacer? ¿Te gustan los comics, la música, leer libros?

Construyo fuegos artificiales, toco música en bandas improvisadas y promuevo eventos extraños. En general, me gustan las cosas raras.

12.- Who are the three most famous people from Pennsylvania?

I have no idea. There is a lot of history here, though. This is the town where the Homestead Strikes happened, and where Alexander Berkman subsequently tried to assassinate Henry Clay Frick. It's where the railroad strike of 1877 happened, and is where a ton of different immigrants came together to work in the mills -- often with incredibly explosive results.

12.- ¿Quiénes son las tres personas más famosas de Pensilvania?

Ni idea. Aunque hay un montón de historia aquí. Esta es la ciudad donde tuvo lugar Homestead Strikes (la huelga más grande y con más revueltas de la historia de Estados Unidos), y donde, a consecuencia, Alexander Berkman intentó asesinar a Henry Clay Frick. Es dónde tuvo lugar la huelga del ferrocarril en 1877, y donde toneladas de diferentes inmigrantes vinieron a trabajar juntos en las fábricas, a menudo con resultados explosivos.

13.- What is your favorite computer game? Mine Searcher?

I actually don't play computer games. I think the last thing I played that I actually enjoyed was Duke Nukem 3d. That shit was fun.

13.- ¿Cuál es tu juego preferido? ¿El buscaminas?

De hecho no juego con el ordenador. Creo que la última cosa a la que jugué, y que de hecho disfruté, fue Duke Nukem 3D. Esa mierda era divertida.

14.- So… Is possible to be safe using https over a WiFi connection in a hacker’s conference?

I wouldn't recommend it, especially if I'm there. =)

14.- Asi que… ¿Es posible estar a salvo utilizando https en una red WiFi en una conferencia de hackers?

Yo no lo recomendaría, especialmente si yo estoy allí. =)

15.- How did you decide to try the famous null character?

Just seemed obvious. It probably came in a flash of inspiration similar to your thoughts about the semicolon.

15.- ¿Cómo decidiste probar el famoso character nulo?

Simplemente parecía obvio. La idea probablemente vino como un flash de inspiración similar a vuestros pensamientos sobre el punto y coma.

16.- Next march 2010 is going to be held the first big hacking security conference in Madrid: RootEDCon, what in the hell we have to do to get you there? Bikes?

In Pittsburgh we have a "relocation program" designed to attract cool people who we'd like to move here. If you move, we provide you with a rent-free place to live, a bike, and a blind date. I'm sure something similar would get me to Madrid. =)

16.- El próximo Marzo de 2010 va a tener lugar en Madrid la primera gran conferencia de seguridad en Madrid: RootEDCON, ¿Qué demonios tenemos que hacer para conseguir que estés allí? ¿Bicicletas?

En Pittsbiurgh tenemos un “programa de recolocación” diseñado para atraer a gente interesante que nos gustaría que viniera aquí. Si té te vienes a Pittsburgh nosotors te proveemos con una lugar gratuito para vivir, una bicicleta y una cita a ciegas. Estoy seguro que algo similar me llevaría a Madrid. =)

17.- Have you been to Spain before? Do you know who is Raúl González Blanco?

No, I've never been, and all that I know about Spain is what I read in George Orwell's _Homage To Catalonia_ -- which is pretty awesome, but he didn't cover football players in there.

17.- ¿Has estado en España ants? ¿Sabes quién es Raúl González Blanco?

No, no he ido nunca, y todo lo que se sobre España es lo que he leído en el libro de George Orwell’s “Homage To Catalonia” que es bastante increíble, pero no se habla de jugadores de futbol allí.

19.- How many girls here in Argentina asked you a picture?

Not as many as you, Chema. =)

19.- ¿Cuántas chicas aquí en Argentina te pidieron una foto?

No tantas como a ti, Chema. =)

20.- And the last one… are you a vamp?

Vampire? I'm almost certain that you've seen me in the light of day.

20.- Y la última… ¿Eres un vampiro?

¿Vampiro? Estoy casi seguro que tú me has visto a la luz del día.

- moxie

--
Thoughtcrime: http://www.thoughtcrime.org
Blue Anarchy: http://www.blueanarchy.org
Audio Anarchy: http://www.audioanarchy.org

viernes, septiembre 25, 2009

LaCon 2k9

Hola a todos,

sí, ya sé que muchos estaréis preocupados porque no he posteado hoy nada, así que, para vuestra tranquilidad, dejo esté post. No he puesto nada porque los viajes y las charlas no me han dejado, pero... aprovechando una parada os voy a dejar unas obras de arte.

Este fin de semana está teniendo lugar la LaCON'09, quizá la conferencia que más ganas tengo de ver, pero, por problemas de agenda, no he conseguido llegar a las sesiones de hoy. No obstante, mañana por la mañana aprovecharé eso que llama AVE para ir lo más rápido posible y no perderme las sesiones de la tarde... y las de la noche... jeje.

Quiero con este post dar una felicitación enorme a los artístas que han diseñado los carteles de prueba, y el definitivo, y que han hecho que se me pusiera la piel de gallina y me entraran más ganas de ir cada vez que los he ido viendo. ¡Aquí quedan!


WarGames...


El Padrino


L de LaCon


LaCON IDA


Cartel LaCon'09

Saludos Malignos!

jueves, septiembre 24, 2009

Jaquers en el SIMO

Este evento no hace referencia a que por el SIMO se pasara ayer nuestro amigo RoMaNSoft a recoger los premios de su CTF de la Ekoparty, ni que estuviera Ramandi allí realizando HOLs guiados y autoguiados con nosotros, ni que Yago, de Securitybydefault, "el amigo de los certificados digitales", estuviera hasta en la sesión de la tarde de Seguridad en Windows 7 con Lain (esta última me faltó a media sesión por ir a ver si le daban regalitos y la he quitado puntos como grupie). No, me refiero a los que nos han robado los libros del stand. ¡Qué arte!

Los métodos que han utilizado han sido diversos e ingeniosos, algunos clásicos, algunos elaborados, otros simples y rápidos. Al final, tras estos dos días las bajas ascienden a 5 ejemplares, pero lo más interesante son las técnicas que ha sido utilizadas:

SBI: eSe Brazo Injection

El vector de ataque se produce cuando varias personas están lo suficientemente cerca de la mesa de los libros, pero han dejado un agujero de seguridad entre ellos para introducir el brazo desde la segunda fila. Sin embargo, tiene la característica de que el libro y la mano quedan expuestos en la mesa durante el tiempo que se está produciendo el ataque. Si alguien tiene una alerta en el log de la mesa puede detectarlo.

BookJacking

La idea es similar al ataque de clickJacking. El ataque se debe realizar aprovechando el uso de capas en la mesa. Para ello se utiliza una de las hojas tamaño folio de la promoción de otras actividades que debe situarse sutilmente sobre el libro. Una vez disimulado lo suficiente se recoge el folio y, descuidadamente el libro debajo. Este ataque también puede ser realizado utilizando un periódico o carpeta que se deja, como descuidadamente mientras se pregunta algo. ¡Ojo! Algunas personas ya se conocen la técnica y ponen un dedito en el libro y queda muy triste decir eso: “¡Uy, no me di cuenta!” Ya que entre un folio y un libro hay un lomo de 1 centímetro de grosor.

FriendNET

La idea es conseguir mover la atención entre varios atacantes, al más puro estilo de una botnet. Para ello varias personas “ojean” el libro y se lo van pasando mientras siguen preguntando a la persona que les atiende. En un descuido, producido por la saturación de threads del que atiende, el que tiene el libro en la mano “ojeándolo” se da el piro con el libro en la mochila o bajo el brazo. ¡Cuidado! Si te dan cuenta la excusa también es muy mala, la que menos mal queda es decir: ”Uy, pensé que era gratis”.

Race Condition

En este caso hay que vigilar desde una distancia prudencial y detectar la carga del sistema adecuada y el objetivo desprotegido. Es importante no haberse acercado a hablar antes para preguntar por el libro, pues si te han dicho que tiene un coste, la cosa queda como muy cutre cuando te pillan.

Elevación de Privilegios

El ataque consiste en intentar conseguir el libro mediante un ataque de credenciales contra las personas que atienden el stand. La idea es convencerles de que se es tan importante como para merecer el libro. Este ataque no debe hacerse a la ligera, puede que se haya aleccionado al personal con un procedimiento especial para clientes “VIP” a los que atenderá directamente root. Si esto es así, te puedes encontrar contra un root bronxtolita con permisos de sysadmin sobre los IPS, que yo los contrato por tamaño.

Spidering

La idea de este ataque es conseguir llegar a algún almacén de libros que se encuentre en una ruta no pública de los libros. Para ello, en lugar de ir a ver los libros en el stand se debe proceder a una visita circular. El objetivo es, como el que no quiere la cosa, recorrerse por fuera todos los rincones del stand observando todas las ubicaciones donde los administradores están almacenando libros. Descubrir la ruta que no está protegida por credenciales y tomar el libro.

No todas han tenido éxito, por supuesto, y lo mejor ha sido contar las anécdotas de los logs. Las excusas en respuesta y las caras han sido geniales. Algunas con vergüenza, algunos han sido de verdad confusiones, y otras han sido de lo más descaradas y sin inmutarse lo más mínimo. Lo que no se esperaban muchos es que un grupo de asalto bronxtolita estuviera configurado con IPS. En fin, eso demuestra que los libros que hemos escrito, de los que ya se han vendido más de 350 ejemplares, están gustando.

Saludos Malignos!

miércoles, septiembre 23, 2009

SIMO: Día 1

La verdad es que estoy un poco, lo que viene siendo, un algo como, apaleadillo de cansancio. La organización y preparación de nuestra participación en el SIMO ha sido intensa y la estancia allí más.

Para los que no hayáis venido aún al SIMO os cuento que este año es un pelín distinto. Son sólo dos pabellones y uno de ellos está dedicado integramente a Spectra y sus acólitos. En ese pabellón, de unos 10.000 metros cuadrados, se dan cita todos los seguidores de la doctrina demoníaca. Tipos malvados con sus logos de Gold Partner, enfermos seguidores con el tatuaje de Vista y muchos secuaces con la camiseta de Raúl, por eso del lanzamiento de Windows Raúl.

Nosotros, como fuerza evangelizadora y lavacerebros del mismísimo Satán, tenemos allí un recinto cerrado y electrificado, con 30 equipos y un despliegue de 10 personas de i64, en el que nos dedicamos a ilustrar sobre como se pueden hacer las cosas con Windows y por qué no es necesaria otra cosa que no sea Windows. Para ello, ayer tuvimos 4 Hands On Lab, hoy y mañana habrá 6 más y el último día tendremos un par de ellos dedicados a la enésima alianza por el control del mundo entre Spectra y otra multinicacional, en este caso D-Link, con dos seminarios más. Nos hemos llevado los switches y los AP para que los que participen puedan toquetear alegramente.

Además llevamos los libros para el que los quisiera ver y.... bueno, hemos tenido que reponer un par de ellos porque nos los han robado ('josdeputa que somos de Bronxtolex!!...ya no se respecta ni la raza bronxotolita...) Vaaaaaaaale... y también otros compraron como unos 50 libros ;)

En la sala principal, la suma maestra sacerdotisa inauguró el concilio a las 17:00 horas para que Windows 7, tres años después de Windows Vista, quedara lanzado oficialmente en esta tierra, colonia oficial de la sacra madre Spectra.

Hoy le toca el turno a los alfiles, es decir, a los IT Pros que pasarán hoy por allí en el evento del Innovation Tour, donde hablaremos un buen manojo de tekis, y por supuesto, me he colado en la agenda, para cerrar la última parte a partir de las 15:30 con algo de seguridad en Windows 7. Esperemos que no me de un patallazo azul durante la demo....

El pabellón de Spectra no tiene muchas actividades más allá que ver algunas demos en los diferentes stands de los partners, relacionarse con contactos y ver quién ha cambiado de empresa y quién está fuera (que sorprendenmente este año es casi una alegría cuando te dicen: "Sigo en el mismo sitio").

El otro pabellón es más tipo old-fashioned SIMO, es decir, pequeños stands con casetilla al más puro estilo feria de variedades, donde acceder a ver demos o recoger información sobre productos, tanto software como hardware, variados.

¿Triunfará este nuevo concepto de SIMO?

Pues no lo sé, la verdad, pero lo que sí es seguro es que el año que viene no hay lanzamiento de Windows 8 y, viendo como son los recortes que hacen las empresas en marketing, tal vez cueste reunir a tantas empresas. Pero.. a lo mejor todo esto cambia otra vez... quién sabe.

Yo me voy, que debería haber salido ya para llegar a tiempo al evento y creo que no va a ser asi...

Saludos Malignos!

martes, septiembre 22, 2009

Dios tiene un plan

Así suena una de esas canciones que te hacen saltar y botar en las fiestas pachangueras de estos pueblos de la zona sur de Madrid. Bueno, si he de ser sincero, la canción tiene ya unos añitos, pero sigue sonando en los garitos de “mejor” reputación de la zona de chiringuitos. Hacer planes siempre es bueno, ayuda a que las cosas lleguen a buen puerto.

A propósito de planes hay una historia que cuenta mi amigo Palako de lo más genial. Palako es un pozo de sorpresas, ese programador de mobile en chanclas y pantalones grises aviejados, con barba raruna y ordenador de manzanita era realmente un hermano del metal en la Sevilla que le acogió. Las aventuras de su época de metalero no tienen fin, y escuchar de su boca algunas epopeyas mágicas como el verano en Alemania o la wildest fiesta en Sevilla en la que tuvo que ir con su hermana preguntando a la gente: “¿nos conocemos de algo?” para echar a los que se habían colado no tiene precio. Pero… esas historias se van a quedar para otro momento en que él mismo nos deleite con su fluida narrativa…

Sin embargo, hay una historia que me hizo mucha gracia, y es la de su época de jaquerl de pockerl... ¡Lo más! La historia comenzó, como no era de extrañar, con un plan. Un amigo tenía un plan para ganar a los casinos de poker online. El tipo le dijo a Palako:

-“Tengo un plan”

- “Ajá!”, Palako respondió mientras pensaba… “Pobre… hijo de una hiena…”

El plan del amigo necesitaba de un jaquerl que reconociera las cartas automáticamente según se imprimían en pantalla para poder aplicar su algoritmo, uno que jamás compartiría porque era un plan para forrarse.

Mientras el hombre trazaba su plan, y por supuesto no se forraba, Palako seguía recibiendo encargos de reconocer nuevas cartas en nuevos casinos con la palakopokerdll. Al fínal, como era de esperar, el plan no funcionó y Palako siguió su vida de jaquerl.

Debatiendo estas aventuras en nuestra idílica gayer luna de miel en Las Vegas, Palako me dijo una frase que se quedo a fuego en mi mente:

- “Con el juego, en el momento que piensas que tienes un plan, has perdido”

La explicación es tan buena, como que la matemática del juego del casino está tan bien estudiada para que no haya plan y, para los casos degenerados, siempre quedan los límites del casino y las normas extras de seguridad. [Qué me lo digan a mí el último día de la Defcon 17]

Sin embargo, parece que alguien todavía sigue confiando en tener planes para ganar en los casinos, o, los aun mejores, planes para recuperarse de una “pequeña pérdida de dinero inicial”. Y buscando aprovecharse de ellos ha llegado este fantástico spam, que es una obra de arte.

En él, un supuesto triunfador en los casinos le cuenta a su amigo su PLAN para ganar pasta en los casinos jugando al rojo y al negro. Este método es un método de bajo riesgo y poca ganancia clásico que además está descompensado por un número muy chulo llamado CERO que no es rojo ni negro, y por otro que tienen otros casinos más superchulis llamado DOBLE CERO. Este caso supone además que tienes que jugar con poca pasta pues si empiezas apostando con 1.000 € al rojo (que yo estoy forrado y no me ando con mariconadas) y salen 7 veces seguidas negro, se supone que tengo que tener para jugar un total de 127.000 € para recuperarme. ¿No está mal eh?


Tú también tienes un plan!

Casualmente este Spam, además de contarte el gran misterio, te recomienda un sitio para que pruebes, que seguro, seguro, seguro, seguro que ganas..porque…tú tienes ya un PLAN.

Saludos Malignos!

lunes, septiembre 21, 2009

Entrevista a Andrés Riancho de w3af

En la Ekoparty se encargó de realizar el CTF Pre-Ekoparty y el CTF de la misma, pero Andrés Riancho es un tipo que un día dijo: "OK, me voy a programar una herramienta que me ayude a detectar y explotar las vulnerabilidades conocidas en páginas web". Y lo hizo. Así debió de nacer w3af. Una herramienta que ha ido creciendo. La primera vez que conocí la herramienta y Andrés Riancho fue en el CIBSI 2007 en Mar del Plata. Desde ese momento w3af ha entrado en el repositorio de Debian, ha crecido en número de vulnerabilidades detectadas y explotadas y hasta ha adquirido un entorno gráfico, programado por Ulises, para hacer la vida más cómoda a los amantes de los Botones.


Andrés Riancho controlando el CTF en la Ekoparty

En la ekoparty le asalté y le pedí una entrevista y esto es lo que le pregunté y lo que él me contestó.

Saludos Malignos!

1.- Vale, venga, asústanos, ¿cuántas líneas de código tiene w3af?

Esa es una pregunta que me hacen bastante seguido, y ya que esta vez va a quedar impreso, me tome el tiempo para utilizar cloc [0] y darte una respuesta exacta:

Lenguaje: Python
Archivos: 380
Líneas en blanco: 14189
Líneas de comentarios: 6443
Líneas de código: 52716

Algo muy importante en mi opinión en este proyecto, es la documentación y claridad del código, y parece que esto se ha logrado, ya que podemos ver que cada 8 líneas de código hay 1 comentario que explica que es lo que se está haciendo.

[0]http://cloc.sourceforge.net/


2.- ..Y ¿quién es Andrés Riancho? ¿De dónde eres y cómo te dio por acabar rompiendo webs?

Andrés Riancho es ahora un profesional de seguridad informática, dedicado de pleno a la seguridad en las aplicaciones Web. Llegué a esto luego de muchos años de estudiar, leer, aprender e informarme de los temas que siempre me han apasionado. La seguridad informática tiene "ese no sé que" para mí, que hace que a uno le apasione y quiera siempre saber más, lo que me ha llevado a pasar por varios empleos, hasta fundar mi propia empresa: Bonsai Information Security [1].

[1] http://www.bonsai-sec.com/


3.- Me ha llamado la atención descubrir que aquí en Argentina, entre los que se dedican a la seguridad informática no hay tanta afición al futbol, pero… ¿en tu caso es así o eres un forofo de algún equipo?

Creo que en Argentina todos son fanáticos de un equipo, eso no quiere decir que vayamos a la cancha, o veamos todos los partidos! Pero cuando vemos que ese equipo que nos gusta va a jugar contra su rival clásico de todos los tiempos, siempre queremos que nuestro equipo gane. En mi caso soy de Boca Juniors, afición pasada a mí por mi tío, quien es realmente el fanático de la familia =)

4.- RoMaNSoFt me va a matar si no le llevo su regalito por el CTF previo a la Ekoparty. ¿Cuánto tiempo ha llevado preparar el CTF que estáis realizando?

El CTF que estamos realizando en conjunto con Juliano Rizzo de Netifera [2] nos ha llevado desarrollar algo así como 4 semanas de trabajo (2 cada uno). Es un juego bastante complejo, en el cual cada usuario tiene una cuenta en un banco central, y existen bancos más pequeños que poseen las vulnerabilidades a explotar. Una vez que has encontrado una vulnerabilidad, tienes la posibilidad de transferir dinero a tu cuenta del banco central, para así subir en la tabla de posiciones.

En el caso de Ekoparty, el juego fue apasionante, y hubo mucho revuelo debido a que un equipo pudo robarle dinero al resto de los equipos (cosa que estaba permitida), y así ganar el juego.

[2] http://www.netifera.com/


5.- ¿Por qué aquí le llaman doblebetresaefe si tu programa es uvedobletresaefe?

Hehehe, es que la "w" en Argentina se dice "doble b", no "uve doble" ;)

6.- ¿Qué ha estudiado Andrés Riancho para aprender Seguridad Informática? ¿Qué les recomendarías a los jóvenes que quieran aprender?

¡Qué preguntón! Para aprender seguridad informática he leído todo lo que se me ha pasado por las manos. Cualquier paper, nota o blog post que me ha interesado, y fue publicado en security-focus, packetstorm, milw0rm, full-disclosure, etc.

Creo que más allá de las fuentes de información que he mencionado, lo más importante es tener amigos, conocidos y contactos que estén en el mismo tema, para intercambiar información y experiencias.


7.- ¿Quién te ha impresionado y te ha servido de guía en este mundo de seguridad informática?

En realidad no he identificado nunca una persona como mi modelo a seguir, más bien tomo lo mejor de cada una de ellas e intento crear mi propio estilo.

8.- Has dado la vuelta al mundo dando conferencias… ¿cuál ha sido la que más te ha gustado? ¿Cuál no debe perderse uno?

Hace poco estuve en CONFidence, Krakow, Polonia. Una gran conferencia, muy bien organizada y con alrededor de 400 asistentes. La ciudad de Krakow es hermosa, la gente es muy amistosa, y la conferencia estuvo excelente. Creo que una de las razones por la que la disfrute mucho, es que no tuve que dar una charla ;)

9.- ¿Has sido gamer? ¿Cuál es el juego que más te ha enganchado?

¡Sí! Por supuesto que pase por la etapa de gamer, en su momento jugaba mucho al Counter Strike y al Quake III. Creo que era bastante bueno... un tiempo después de no jugar pude comprobar que todavía tenía mis skills cuando le gané a un amigo y ex-compañero de trabajo al Quake III manejando el mouse con l mano izquierda ;)

10.- ¿Qué sistema operativo corre en tu máquina? ¿Un Windows Vista tal vez?

Desde hace un par de años que estoy corriendo Ubuntu. Todavía no he tenido la oportunidad de probar un Windows Vista, pero no creo que lo haga, las prestaciones que me proveen las herramientas Open Source incluidas en Ubuntu superan mis necesidades.

11.- ¿Qué ventajas tiene w3af respecto a otros escáneres de vulnerabilidades?

Es fácilmente extensible, es Open Source y posee una comunidad que te dará soporte cuando lo necesites.

12.- ¿Cómo fueron tus orígenes con la informática? ¿Qué recuerdos guardas de tus primeros ordenadores?

Mi familia es dueña de una Imprenta, y el primer ordenador con el cual tuve contacto fue el que compraron para realizar el manejo de los clientes de la empresa. Recuerdo mi abuela diciéndome que no debería usar la computadora para otras cosas que no fuesen ese sistema, ya que la iba a romper, lo cual si mal no recuerdo sucedió. Un tiempo después tuve una 286 en mi hogar, con la cual jugaba como cualquier niño =)

13.- ¿Qué tiene que saber un gallego que visite argentina para no cagarla?

No mucho, simplemente absténganse de usar la palabra "coger", ya que nosotros aquí la utilizamos como "tener sexo" y suena muy gracioso cuando alguien dice: "Me voy a coger un taxi"! jajajaj.

14.- ¿Has estado en España? ¿Qué es lo que más te ha gustado?

No, no he tenido la oportunidad de estar en España, pero si alguien me quiere invitar a una conferencia por allí, con todo gusto me hago el viaje.

15.- ¿Crees que llegará un día en que no haya páginas web con SQL Injection?

Yo creo que sí, pero esos tiempos no están cerca. Algunos pasos en la dirección correcta han sido tomados por los desarrolladores de HDIV [3], pero el framework todavía permite al usuario cometer errores e introducir vulnerabilidades de inyección SQL.

Es un cambio radical, pero creo que la única manera de lograr que las aplicaciones Web no tengan inyecciones SQL es que los lenguajes de desarrollo eliminen todas las librerías que interactúen de manera directa con la base de datos, y dejen a los desarrolladores solamente con prepared statements como opción a la hora de realizar un query a la base de datos.

[3] http://www.hdiv.org/


16.- ¿Dónde trabaja ahora Riancho? ¿Qué estás haciendo ahora mismo?

Desde inicios de este año he comenzado con mi propio emprendimiento, Bonsai Information Security [0], una empresa focalizada en la seguridad en las aplicaciones Web. Desde Bonsai proveemos de servicios de consultoría y educación a clientes de todo el mundo que aprecian la calidad del trabajo que realizamos y nuestra pasión por la seguridad informática.

17.- ¿A quién te gustaría conocer porque lo admiras?

Ahora que he fundado mi propia empresa, he comenzado a leer otro tipo de libros y a interesarme en otros ámbitos de la vida además de los técnicos. Me gustaría conocer a emprendedores como Steve Jobs, Linus Torvalds y Bill Gates. Creo que mis posibles charlas con ellos no serían sobre aspectos técnicos, pero sí sobre cómo llevar adelante un negocio y como invertir.

18.- Es difícil detectar las nuevas vulnerabilidades, ¿Cómo lo haces? ¿Qué lees para estar al día de ellas?

Sí, es bastante complicado mantenerse al día de todo lo que está sucediendo en el ambiente de la seguridad informática, por eso es que me estoy focalizando principalmente en la seguridad en las aplicaciones Web, en donde me siento más cómodo y puedo hablar con la mayoría de los investigadores que encuentran nuevos tipos de vulnerabilidades de manera directa en conferencias o por IRC.

19.- ¿Qué tres herramientas nunca faltan en tu ordenador?

1. Python
2. nmap
3. w3af


20.- ¿Te irías a vivir a otro país por trabajo o aquí estás bien?

Argentina tiene muchos problemas, pero también tiene a mis amigos de toda la vida. No sé si me iría a vivir a otro país... es algo que me he planteado un par de veces, pero todavía sigo aquí!

Ekoparty: Las actividades

A parte del track de conferencias, que duró dos días completos, hubo una zona destinada al resto de actividades periféricas. Una de las más interesantes, por supuesto, la del papeo, que me trajo loco y me fue totalmente imposible no hincharme.. en fin. Pero a parte de esta actividad, también hubo alguna más:

El CTF (Capture The Flag)

El CTF estuvo dirigido por Andrés Riancho y su compañero Juliano Rizzo y al mismo participó un buen número de asistentes. El sistema estaba formado por un banco principal y una serie de banquitos a los que había que sacar pasta. La única regla era que no se permitían los ataques de D.O.S. pero nada más. Al final, el ganador esnifó las passwords de algunos otros jugadores y les robó la pasta de sus cuenteas. No era lo esperado pero... sirvió para ganar.

LockPicking Village

Deviant Ollam me ha impactado en toda su participación en la conferencia. Empezó con un curso que llevó con una gran profesionalidad, llevando todo tipo de material para que todos pudieran practicar. Después con una conferencia perfecta y por último, con el montaje de la LockPicking Village por la que pasó casi todo el mundo a probar a abrir todo tipo de candados, jugar al juego que montó (cada candado daba puntos, y el tiempo que se tardaba en abrir) o quitarse las esposas. Chapó.


Deviant Ollam y la LockPicking Village

Inmunity y el Canvas

La gente de Inmunity se desvivió para atender a todos los que fuimos a charlar con ellos. Previamente, Damián, el Cordobés (de la Córdoba Argentina) que más entiende de romper Windows había dado un training de ... Breaking Windows.


Damián, de Inmunity

Además, Nico Waisman, que fue un autentico placer descubrirlo como persona, estaba por allí enseñando Canvas, la herramienta de exploiting y pen testing que venden (a muy buen precio). Como era de esperar, la demo que hizo fue la de nosequé de un tal SMB y ejecutar código y tomar no se qué control de un Vista.

Y alguna más

A parte de estas, el evento se completaba con una zona de arte, algo de retro hardware y, por supuesto, el War Driving y la fiesta del último día que tuvo lugar en un garito de lo más cool lleno de un montón de gente guapa que no sabía nada de ordenadores. Por desgracia... la música de ese garito me mató y no estuve mucho.

Saludos Malignos!

domingo, septiembre 20, 2009

Post-SIMO Pamplonica

La semana que viene tenemos ya todo listo para nuestra participación en el SIMO. Allí, como ya os he contado, tenemos 10 seminarios Hands On Lab sobre los últimos productos y participaremos en el evento de lanzamiento de Windows 7/Windows Server 2008 R2/Exchange Server 2010. También, a colación con esto, vamos a realizar dos seminarios de la Azlan D-Link Academy: Uno sobre Switching & NAP y otro sobre Windows Server 2008 y WiFi WPA-Enterprise.

Y una vez acabado todo esto… visita a Pamplona donde voy a participar en tres eventos, que paso a describiros:

Identidad en el Correo Electrónico

El jueves 24, es decir, mientras se está acabando nuestra participación en el SIMO, yo cogeré un tren para ir a Pamplona, allí, por la tarde, presentaré una nueva herramientilla que estamos preparando para implementar el algoritmo de reconocimiento de correos falsos en Gmail, Hotmail y Yahoo! mail. La herramienta lleva varias partes de trabajo, en las que están implicados Palako y el señor Thor, y alguna cosa más para fortificar la empresa. La sesión es parecida a la que se dio en la Gira Summer Of Security, pero con sorpresa.

La sesión está organizada por ATANA, que llevan un año detrás de mí, y será de 18:00 a 20:30 con tiempo después para “argo”. El registro desde la siguiente URL: Identidad y seguridad en el correo electrónico

Connection String Attacks

Al día siguiente, a primera hora de la mañana, aprovechando que mi tren sale a las 14:00 de la tarde, me pasaré por la Universidad de Publica de Navarra a impartir la sesión que acabo de impartir en la Ekoparty sobre Connection String Attacks. Para asistir, basta con registrarse en el siguiente URL: Evento UPNA. La sesión será a las 09:00 de la mañana y terminará a las 10:30, momento que aprovecharé para desayunar e irme al...

Metadata Security

...Instituto Cuatro Vientos para acabar con la tercera sesión de Pamplona. Allí, los que vengan, podrán ver la sesión que impartimos en la Defcon 17 sobre metadatos, la Foca y MetaShield Protector pero….. con una versión FOCA en RC1, una versión final de MetaShield Protector y un montón de metadatos ya guardados en mi disco.

La asistencia a este evento está un poco restringida, pero si quieres asistir mándame un mail diciendo quién eres y por qué quieres venir y que yo soy tu amo y que me quieres… y veré si puedo suplicar una plaza por ti.

Innovation Tour

Días después, pues tengo que bajar a unos asuntos.. . ineludibles... regresaré a Pamplona con mis compañeros de Spectra a participar en el Innovation Tour. Será el día 29 de Septiembre y para hablar de Windows Server 2008 R2, Exchange Server 2010, Windows 7 y esas cosas. El registro en la siguiente URL: Innovation Tour Pamplona

Porteador de libros

De Pamplona me han pedido que lleve algunos libros de los Best Sellers “Análisis Forense en Entornos Windows” y “Aplicación de medidas técnicas y organizativas para la implantación de la LOPD en la empresa”. Sólo cargaré con 10 como mucho, así que los 10 primeros libros solicitados serán los llevados. No más.

Y por supuesto, me tiraré fotos, daré besos y abrazos a todos los que queráis, que el amor es muy bonito. Sniff….

Saludos Malignos!

PD: Completa la Fiesta con la Navarparty

Además, si quieres oir a otro que no sea el "pesado de siempre", puedes ir a las conferencias que tienen preparados los chicos de la Navarparty. Tienes el calendario completo en la siguiente URL: Conferencias Navarparty.

Las charlas tendrán lugar los días 25 y 26 de Septiembre, y este es el horario.

Viernes 25

15:30-17:30 (por determinar)
17:30-19:30 La alternativa Ágil de desarrollo de software
19:30-21:30 Buenas prácticas para la creación de web accesibles


Sabado 26

15:30-17:30 Introducción al concepto de Cloud Computing
17:30-19:30 Webcomics
19:30-21:30 Del anteojo al Hubble: tecnologías para conocer el Universo

sábado, septiembre 19, 2009

Ekoparty: La Previa

La Ekoparty 2009 la estoy disfrutando mucho. Haciendo el ganso por todas partes, conociendo a un montón de gente y aprendiendo muchas cosas. Ya os iré contando algunas cosas más pero antes os voy a narrar como ha sido la previa a los dos días de conferencias.

La recepción a los speakers

Nos esperaban en el aeropuerto con un cartelito, al más puro estilo de viaje del inserso o turista de alto cargo. Para que ninguno de los speakers nos hicieramos los remolones a la hora de bajar a tomar cervezas con la gente, nos han cogido....eh... reservado el hotel que está justo en frente del bar, así puedes ir a gatas del bar a la cama. El primer día que llegamos nos dieron un teléfono móvil con tarjeta argentina y con el número de la organización grabado, así no había ningún problema y, para que nadie se quedara solo, nos han buscado para comer, cenar, etc... Un diez a la organización.


Pacho Amato y Jero, dos de los que se han dejado la piel en esto

Los Trainings del día antes

Durante lunes, martes y miercoles, ha habido trainings en unas académias situados en el centro. Allí, la gente de Inmunity, la gente de Argensys, Andrés Riancho y Moxie entre otros han estado dando un curso de dos días de duración. Deviant de TOOL y yo dimos un curso de 1 jordana de tiempo el miercoles.


Mis sufridos alumnos

He de reconocer que desde el primer minuto que ví como trabajaba Deviant me ha dejado loco. No he visto persona más profesional y cariñosa tratando a la gente y será una de las primeras personas que tengo que ver como traerme a España, porque da gusto verle.


Deviant Ollam dando el training de Lockpicking

Las Cenas

Además de sacarnos a tomar cervezas y picadas, también hemos ido de cena todos los speakers juntos, como se suele hacer normalmente y he de reconocer que ha sido un gusto tratar con mi viejo amigo Luciano, con Alexav8, con Moxie o con Philippe Langlois, con los que me he reido mucho.


Luciano Bello usando el GPS del Debianmovil. El malignomovil usa Windows.

Sigo pensando que este es un país de gente extraña que no toma cerveza sin alcohol pero... al menos entre el vampiro, el debianita y yo, nos hemos reido un rato..


Moxie el vampiro, Lu el Bello y el Maligno

Para empezar... no está mal la eko, ¿verdad?

Saludos Malignos!

viernes, septiembre 18, 2009

Connection String Parameter Pollution

Mi charla en la Ekoparty ya terminó, y a pesar de los problemas de garganta conseguí llevarla a término tal y como tenía planeado y sin que el portátil me diera ningún pete.

Esta son las slides de la sesión, pero durante las próxima semana publicaremos un artíuclo muy largo sobre este tema... tan gracioso.


Saludos Malignos!

PD: Gracias a Aint que me hizo un poster la mar de chulo para la sesión que voy a dar el próximo día 25 en Pamplona y que aproveché para decorar las slides.

jueves, septiembre 17, 2009

Inverted SQL queries (II de II)

****************************************************************************************************
- Inverted SQL queries (I de II)
- Inverted SQL queries (II de II)
****************************************************************************************************

Para terminar las pruebas con los scanners de vulnerabilidades probamos w3af de Andrés Riancho y Wapiti.

w3af

Los resultados con w3af fueron como con el resto de los scanners, es decir, detectó la vulnerabilidad Normal y no detectó la vulnerabilidad invertida.


Vulnerabilidad Normal detectada


Vulnerabilidad Invertida NO detectada

Wapiti

Decidimos realizar una última prueba con Wapiti, que estaba a mano, y los resultados fueron los esperados, se comporta como el resto de scanners de vulnerabilidades.


Vulnerabilidad Normal detectada


Vulnerabilidad Invertida NO detectada

Reflexiones

Tras jugar con todo esto, lo que está claro es que utilizar un scanner de vulnerabilidades para auditar una web sigue sin ser la solución definitiva y hay que seguir teniendo el colmillo retorcido para encontrar este tipo de fallos.

Una de las cosas que vimos que puede detectar este tipo de vulnerabilidades, tanto si están normal o invertidas, es el uso de las técnicas de Arithmetic Blind SQL Injection en parámetros numéricos.

La idea sería probar el ID=valor, ID=valor+1-1 para comprobar si existe la vulnerabilidad, aunque también se puede hacer la prueba de la división por cero o el desbordamiento de tipos de datos.

He tenido la suerte de hablar con Andrés Riancho y él opina que esta sería una buena solución y la va a probar dentro de w3af, con lo que puede ser el primer scanner que detecte este tipo de bugs creados por programadores rarunos.

La paradoja de MySQL

Curiosamente, si se configura la vulnerabilidad invertida con un motor de MySQL todos los scanners detectaban la vulnerabilidad. ¿Cómo es esto posible? La explicación es tan curiosa como reveladora.

En MySQL se permiten comparaciones lógicas triples, cuádruples, quíntuples o séptuples, con lo que es posible hacer algo cómo:


Where 1 and 1=1=1 -> Lo que daría un True.


Where 1 and 1=1=2 -> Lo que daría un Fasle.

¿Es o no curioso todo este asunto? Como diría alguno en el SOCtano... "Esto es turbio....muy turbio."

Saludos Malignos!

****************************************************************************************************
- Inverted SQL queries (I de II)
- Inverted SQL queries (II de II)
****************************************************************************************************

miércoles, septiembre 16, 2009

Inverted SQL queries (I de II)

****************************************************************************************************
- Inverted SQL queries (I de II)
- Inverted SQL queries (II de II)
****************************************************************************************************

En el Reto Hacking X, en la primera fase, muchos sufrieron lo indecible con la jugada de poner la consulta SQL al revés, pero lo cierto es que tan válida es una como la otra. Que un programador decida poner primero el valor y luego la variable es tan correcto como poner primero la variable y luego el valor. Si hemos de ser justo, es tan correcto como estéticamente malo.

Tras ver como sufrían los pobres jugadores del reto, decidimos que era hora de hacer sufrir a los scanners de vulnerabilidades y enfrentamos a todos ellos antes un reto sencillo. Detectar una Blind SQL Injection invertido.

La idea es tener una consulta vulnerable a Blind SQL Injection como es la siguiente, a la que llamaremos “normal”:

Normal -> “Select * from noticias where id=”+get(ID)+”;”

Y convertirla en una consulta invertida como la siguiente, a la que, por razones obvias, llamaremos invertida.

Invertida -> “Select * from noticias where ”+get(ID)+”=id;”

Para hacer estas pruebas utilizamos una conexión con la cuenta “sa”, con password “sa” sobre un SQL Server y lanzamos varios de los más conocidos web vulnerability scanners contra la aplicación teniendo la consulta Normal y después con la consulta Invertida. Estos son los resultados.

Acunetix Web Vulnerability Scanner

Utilizamos una edición NFR (Nor For Resale) de la herramienta, que amablemente nos cedieron, de la última versión del producto. Con la consulta normal Acunetix Web Vulnerability Scanner, la detección es rápida y directa, pero la invertida no es detectada.


Consulta Normal detectada



Consulta Invertida NO detectada

IBM Rational APPScan

Para realizar esta prueba usamos una versión demo de la herramienta. Dicha versión demo sólo puede ser usada contra el sitio web demo.testfire.net, que se encuentra en la dirección IP 65.61.137.117, pero... suponiendo que los resultados de allí iban a ser muy buenos, decidimos hacer un entorno de pruebas y nos montamos nuestro propio demo.testfire.net en esa misma IP en un entorno de laboratorio al que calzamos la página de preubas con la consulta Normal y la consulta Invertida.

APPScan detectó bien la vulnerabilidad en la consulta normal, pero falló al enfrentarse con la consulta Invertida.


Consulta Normal detectada



Consulta Invertida NO detectada

Paros Web Application Security

Los resultados obtenidos con Paros Web Application Security fueron similares a los obtenidos con los otros dos scanners anteriores, es decir, detecta la vulnerabilidad Normal, pero falla al detectar la vulnerabilidad invertida.


Consulta Normal detectada



Consulta Invertida NO detectada

Saludos Malignos!

****************************************************************************************************
- Inverted SQL queries (I de II)
- Inverted SQL queries (II de II)
****************************************************************************************************