martes, noviembre 30, 2010

Un mensaje de ánimo para Dab

Hola a todos, compañer@s de El lado del Mal. Hoy escribo este post para que me ayudéis a animar a un "amigo" mío. Desde que nos conocemos hemos estado como el perro y el gato. Más como gatitos que como perritos, pero manteniendo públicamente que nos hacemos putadas siempre que podemos. Así, el muy capullo me quitó mi gorro maligno - uno de los pocos a los que se lo he dejado - y me hizo burla en la RootedCon, consiguiendo que no le matara. Pero... ¿sabéis por qué? porque en el fondo yo soy fan de ese hacker de Hobbytown.


Foto 1: Disfrutando con las gracias del Dab con mi gorro

Y es que es así, siempre que hay que hacer alguna cosa con más gente pienso en él. Así está en casi todos los proyectos que organizo. No puedo evitarlo, aunque me ro-robase la FO-FOCA, yo le adoro desde siempre.


Beso Maligno en 2008. Foto extraida del libro de Análisis Forense Digital

Y es por eso que cuando comenzamos con la Maligno-Biblioteca, pensé en él para hacer un libro de Pen-Testing. Sin embargo, su vida se ha acelerado tanto como la mía en los últimos tiempos y sé que está pasando la crisis del escritor. Esa en la que lees lo escrito, lo relees, lo cambias, y no acabas de avanzar.

Es por eso que, desde aquí, Alex, te envío un mensaje de ánimo para que puedas acabarlo, que, como tú dices, cuando ves que hay un nuevo libro publicado de otro compañero [DNI-e], te da rabia no tener el tuyo terminado.


Y tú, si quieres transmitirle un mensaje a Dab, ponle un comentario aquí, escíbele un e-mail, cuando le veas en persona anímale, o llámale por teléfono si lo tienes y dile que estás esperando a leer su libro, y que sin duda tendrá la calidad de los posts que escribe en SecurityByDefault y que solo deje que sus manos escriban lo que su cabeza se sabe.

Saludos y Animos Malignos para ti Dab!

lunes, noviembre 29, 2010

Salidas de Emergencia

Hace unos meses asistí a una charla que daba alguien que de esto de los aviones sabe un montón y dijo una frase que hizo que desde entonces antes de subir a un pájaro de hierro llame a los seres que quiero. No, no os asustéis tanto como yo, lo que pasa es que, en la mayoría de los casos, una vez que te abrochas el cinturón y se dice eso de “cross-check realizado” en las puertas cerradas, la suerte está echada.

La frase en concreto que dijo fue algo así como “En un incidente aéreo, la probabilidad de salir diciendo ‘uf que susto’ es infinitamente menor que la de todos muertos”.

Claro, desde entonces, las medidas de seguridad que se toman dentro del avión me preocupan un poco menos, y puedo disfrutar más de situaciones como la que viví ayer en mi vuelo a Praga.

La historia radica en que las filas de asientos en las puertas de emergencia son muy golosas par todo el mundo ya que, como muchos sabéis, para que se pueda salir bien del avión, en el hipotético caso de un aterrizaje de emergencia del avión, como en el ejemplo del amerizaje en el Hudson de New York.

Por lo tanto, las normas de seguridad en las compañías aereas, exigen que las personas que se sienten en esas filas de asientos cumplan al menos dos requisitos:

1) No tengan problemas físicos para que puedan abrir las puertas.
2) Que hablen inglés para que sigan las órdenes de la tripulación.


Ya volviendo de Oslo el año pasado, Palako y yo tuvimos una anécdota con un señor que pedía sentarse en la fila e emergencia porque “no podía estirar la rodilla porque la tenía mal”. Así que la señorita le enseño el cartel de “sin problemas físicos” y le mando a galeras. En el asunto de ayer, el tema fue el inglés.

Llegué el primero a la fila de embarque y pedí un asiento en la fila de emergencia, y me hicieron la rutinaria pregunta de, “¿usted habla inglés?” A lo que contesté sin mayor esfuerzo un triste “Yes”, y pensé "si se le puede llamar inglés a lo que yo chapurreo..." Nada de alguna frase elaborada, o un triste Yes, I do para aparentar más o algo similar. La señorita me miró y me dio el asiento 10A. Listo.

Cuando llegué a la posición en la que luego buscarían mi cadaver en caso de que pasase algo, vi que en la otra mitad de la fila, es decir, en los tres asientos de la fila 10 del otro lado, estaban sentadas tres señoras de unos 55 a 60 años, con sus joyas, con sus bolsos, todas ellas de una altura de 1,50 más o menos, con sus abrigos, y hablando en un español con acento gallego muy divertido. Las tres parecían muy emocionadas y excitadas con el viaje, y con sus flamantes asientos de la fila de emergencia.

De repente llegó la azafata a la que, por su envergadura y tamaño, llamaremos Inga, para que os hagáis una idea. Rubia, 1.80, 110 – 80 – 110, y con una sonrisa blanca como la nieve que hoy cubre Praga. Se acercó a mí y me impartió las consignas habituales que sirven como Soma de que sí que se puede salir vivo de un accidente. Ya sabéis las preguntas de que si sabía inglés, que en el dibujo estaba como abrir la puerta, que la ventana debía estar abierta durante el despegue y aterrizaje y que no se puede poner ningún bulto en las filas de emergencia.

Cuando terminó conmigo fue a por las tres amigas. Se acercó a ellas y las dijo:

“Hello, you are in an emergency exit, do you speak English?”

La más echada para adelante, la sonrió, y desde su asiento de ventanilla, la dijo, en perfecto español a la checa:

“Un poquito bonita, pero habla despacito, que si no, no te entiendo nada, guapa”

Las otras dos amigas se reían por lo bajini aferrando con sus muñecas empulseradas hasta le codeo, los bolsos esos que llevan algunas madres y en los que cabe hasta la batidora, por si hay que pasar algo rápidamente por la turmi. Inga, parpadeó un par de veces, e intentó recuperarse de lo que la hubiera dicho la jovenzuela, para continuar su charla en inglés.

“Ma’am, during take-off and landing, all your personal belongs, should be stored in the upper lockers”

Mientras Inga hablaba, las señoras cabeceaban y sonreían simulando entender lo que decía, pero se veía a legua que no estaban cazando ni media. Obviamente, no hicieron ni amago de moverse y subir sus bolsos a los maleteros. Inga sonrió, y volviendo a la señora de la ventanilla, que por lo menos tenía menos vergüenza en simular que se enteraba de algo, volvió a insistir:

“It's necessary that you stored all your bags in the lockers, madams, ok?”

A lo que la señora, tras terminar el último cabeceo de asentimiento, y sin moverse ni soltar sus bolsos, contestó.

“Muy bien guapa, y a ver si la próxima vez, igual que hacemos nosotras con el inglés, te esmeras tú con el español, ¿eh, bonita?”

Inga dio un core-dump y miró extrañada en derredor. Yo, que ya no podía parar de troncharme con la escena, dejé de descojonarme, e intenté ayudar a las señoras a entender que tenían que deshacerse de sus bolsos durante el despegue.

Al final, las señoras cumplieron dejando los bolsos, pero no soltaron su poltrona en la fila de emergencia, ni tampoco Inga se lo solicitó. ¿Para qué? ¿Porqué no sabían inglés? Total… las probabilidades de salir vivos en un incidente aéreo son las que son…

Saludos Malignos!

domingo, noviembre 28, 2010

Montar un Web Server en tu iPhone porque mola y que te indexen: Priceless

Desde que estoy enredando con Apple, me estoy encontrando cosas de lo más curiosas. Primero las carpetas de los usuarios que comparten su disco por AFP sin usuario ni contraseña, luego los servidores XServe con los discos RAID con contraseñas por defecto y ahora esto, que es de lo más curioso.

La historia comienza un viernes como otro cualquiera en el SOCtano, mucho curro y momento de juntarse para intercambiar rápidas ideas o experiencias entre la gente. En esta ocasión Silverhack andaba por allí y le dije. "Oye, si tenéis alguna idea para investigar con Apple avisadme, que estamos mirando cosas". A esto contesta que en un curso, jugando con Shodan, a uno de sus asistentes le había dado por buscar iPhone en Shodan. "¿Cómorl?"

Dicho y hecho, al llegar por la noche a casa me puse a enredar con este tema. Es cierto que se puede instalar un servidor web en los dispositivos iPhone. Puedes instalar Apache, Lighttp o casi lo que quieras. Buscando iPhones en Shodan aparecen servidores por todo el mundo.


Figura 1: Servidor Apache sobre iPhone descubierto con Shodan

Por supuesto, para no ser menos, también tenemos hasta un servidor http sobre iPhone descubierto en... España. ¿Eres tú?


Figura 2: Servidores web en iPhone de distintos tipos. Uno en España

No sé cuanta gente comprará una dirección IP fija para conectar su iPhone a Internet, ni cuantos operadores a nivel mundial darán direcciones fijas a sus clientes de telefonía con iPhone, pero deben ser pocos. Es por eso que llama la atención que justo, en el momento que están haciendo las pruebas, llegue la araña de Shodan y te indexe... ¡Qué putada!

La gracia es que, claro, si montas un servidor web en tu iPhone, es para hacer alguna freakada, y ¿qué mejor que poner una aplicación PHP para ver tus contactos?Así, en uno de los móviles,...bingo, aplicación de contactos actualizada con fecha del mismo viernes. Es decir, que debía de estar en ese momento con las pruebas, y recien indexado por Shodan. ¿Ya es casualidad, no?


Figura 3: Aplicación de contactos en iPhone vía web

Por supuesto, una vez que entras, se puede ver volcada toda la agenda del móvil. NOTA: En ningún momento ha pedido credenciales de acceso.


Figura 4: Lista de contactos publicados en Internet

Buscando por Internet, la verdad es que me costó encontrar más móviles que o estuvieran online en ese momento, pero pensé... si ha llegado Shodan... ¿por qué no Google? Así que busqué por Internet a ver si algún otro iPhone con servidor Web había sido indexado en Google y... Bingo, en la caché es posible encontrar iPhones indexados por la araña de Google.


Figura 5: Servidor web en iPhone cacheado en Google

Es curioso que pase esto, pero, lo sorprendente, es que no pasa solo con los iPhones, sino que también es posible descubrir servidores Web en iPods...


Figura 6: Servidors web en iPods descubiertos por Shodan

Al final, dentro de poco, la leyenda urbana de las empresas que montaban sus CPDs con Play Station y Furbys migrará a los iPods. ¿Malware distribuido a través de servidores web en iPhone? ¿Qué nos deparará el ifuturo?

Saludos Malignos!

sábado, noviembre 27, 2010

Servidores sin actualizar como spammers

Habitualmente los servidores sin actualizar que almacenan software con vulnerabilidades conocidas, suelen ser utilizados masivamente para las mismas cosas:

- Hospedar malware, como le pasó a Apple.com en Agosto.
- Hospedar kits de phishing para simular sitios web falsos.
- Ser utilizados para spammear nuevas víctimas.

El viernes le eché el ojo a un spam que me había llegado de Apple, para ver desde donde procedía. Tras analizarlo, vi que venía de un servidor con unos bonitos paneles de control, y un compañero en el SOCTano econtró en Internet el que sería el posible bug utilizado para hacerlo. Un bug de LFI (Local File Inclusion) ¡del año 2007! en uno de los software utilizados. El artículo quedó gracioso pero, como trataba de temas Apple, decidí publicarlo en Seguridad Apple en lugar de ponerlo en El lado del Mal.

Así había quedado la cosa, pero ayer viernes volví a recibir un spam similar, en este caso de Facebook.


Figura 1: Spam de Facebook

Al mirar desde qué servidor había sido enviado, me sorprendió descubrir que venía exactamente de uno del mismo dominio.


Figura 2: Origen del mensaje de Spam

Por supuesto, al comprobar si tenía esa vulnerabilidad, volvía a estar disponible el mismo fallo de LFI.


Figura 3: /etc/passwd del FreeBSD con el sw sin parchear

Al final, los Spammers suelen utilizar los mismos trucos. Cuentas de hotmail robadas, - si te llega un spam de un amigo de hotmail... dile que cambie la password, se ponga un antivirus y por la dudas aplique "Fuego Purificador" - máquinas troyanizadas en una botnet - les cuesta cada día más meter spam en los servidores corporativos - o un servidor vulnerado.

Además, en el caso de Facebook, a diferencia de Apple.com, su dominio marca una política -all en el registro SPF, por lo que, como podéis ver en el mail, el dominio es más falso que un Euro de madera.


Figura 4: Registro SPF de Facebook.com

Saludos Malignos!

viernes, noviembre 26, 2010

Morir de éxito

Durante los dos últimos años casi no he tenido un segundo de descanso. Ha sido un placer viajar por todo el mundo, conocer gente genial, vivir experiencias únicas y estar en situaciones que sé que costaría volver a repetir.

En todo este tiempo he intentado dar lo mejor de mí, os lo juro. En todas las charlas, en todas las reuniones, en todos los cursos y conferencias he puesto la carne en el asador, dejándome muchas veces la salud y mi tiempo libre en ello.
Acompañado a todo este ajetreo he tenido que llevar mi labor en Informática64 y he querido seguir alimentando este desahogo psicológico que es para mí El lado del mal. Ha estado genial.

Sin embargo, cuando recibí el último dibujo del gran Sorian sobre Josemaricariño y la FOCA, me di cuenta de una cosa. En todo este ajetreo he tenido que sacrificar cosas.


Sorian, eres un crá!

La lista de cosas que he tenido que sacrificar ha sido tiempo libre para mí, para los amigos, para investigar más temas a fondo o para poder sentarme a dibujar. No sé ni cuándo fue la última vez que pude dibujar un No Lusers.

El caso es que aún antes de terminar el año me voy a la Republica Checa, luego voy a volver a cruzar el charco y ya para el 2011 tengo cerrada la Gira Up To Secure 2011 (10 ciudades), mi participación en la Troopers 2011 en Alemania y la HackCon 6 en Noruega. Más el master de la UEM, el master del UOC, unas charlas en el master de la URJC, una charla en Imaginática en Sevilla, y las jornadas de Seguridad en A Coruña. Y por supuesto la Rooted. Todo esto sin acabar el año.

El tema es que si mantengo este ritmo de combate no voy a poder disfrutar de lo que más me gusta: La informática. Así que tal vez cancele alguna de las cosas que tengo para el año que viene porque si no, voy a morir de éxito, y prefiero ir al año siguiente, con alguna cosa nueva chula.

Antes de terminar este post, quería daros las gracias a todos aquellos que habéis querido contar conmigo en alguna de vuestras actividades. Me siento halagado y recompensado solo por eso. Y recordad que, si os digo que No, u os cancelo algo, será por necesidad y prometo volver más adelante.

Saludos Malignos!

jueves, noviembre 25, 2010

En riesgo por una foto

Muchas vece he hablado de los metadatos en fotografías, he hecho cosas curiosas y divertidas, como buscar fotos recortadas de perfiles en blogs y blogs "divertidos" para sacar el thumbnail o información GPS, o, como en el caso de SBD, para ver donde cenan los famosos, o dónde está tu ex-Novi@.

Todo eso está muy divertido, pero no ha sido hasta que he dado la última charla en Brasil, que un asistente se preocupó de verdad por este tema. Tras mantener una conversación durante unos minutos con él, me lo explicó.

La respuesta es bastante sencilla. Él saca a pasear a su hijo todos los sábados a la misma hora al mismo parque de juegos. Un parque donde el niño juega y disfruta. Momentos que aprovecha él para tirarle fotos con su teléfono móvil que, obviamente, tiene información GPS y guarda metadatos en la fotografía.

En un país como Brasil, esto puede significar un riesgo personal para su hijo y, después de la charla, dijo que jamás publicaría una foto de su hijo sin limpiarla de información de metadatos.

Preocupado por este tema he ido a ver si la gente estaba limpiando de metadatos las fotos que suben de sus hijos a Flickr o Twitpic, y la conclusión es que no.


Figura: Foto de niño publicada en Internet con metadatos

Por suerte, la mayoría son fotos sin información GPS, pero sí que hay bastantes que tienen esos datos. El problema puede venir si se empieza a generalizar el uso de telefonos de gama alta que, por defecto, almacenan esta información. Como precaución personal... ¿a quién le importa donde juegue tu hijo?

Saludos Malignos!

miércoles, noviembre 24, 2010

Intimidad de las comunicaciones

Reconozco que no estaba haciendo nada bueno. Reconozco que las ideas que tenía/tengo en mente para estas pruebas no tenían nada que ver con las noticias que me estaba enviando, pero esto ha superado lo que esperaba encontrar.

En Pamplona, en el curso de Cibercrimen que se impartió la semana pasada tuve una discusión con un señor juez que tiró abajo pruebas aportadas por los cuerpos de seguridad del estado por incumplir la Ley de inviolabilidad de las comunicaciones. La idea es que tiró atrás una lista de direcciones IP de pederastas que compartían pornografía porque según su apreciación de las redes P2P, para saber eso hay que meterse en medio de las comunicaciones y eso es ilegal. Ya discutí yo con él un rato, intentando ver los sutiles matices del protocolo P2P.

El caso es que, en esta ocasión, estaba haciendo una revisión del artículo que escribí sobre "Enviar a un amigo" para hacer un par de cosas curiosas que se me han ocurrido, cuando en un sitio me ha pasado esto.

Iba yo tan campante "leyendo" noticias, cuando he visto una que me parecía muy interesante para enviarsela a mi amigo. En la página web, como se puede apreciar en la imagen, no había ninguna información extra de este servicio, y yo he asumido que era como los de todos. Lo curioso es que este panel de enviar a un amigo está en la web del, digamos, Dominio A.


Figura 1: Servicio de enviar a un amigo, no a dos

Una vez enviada la notica, a Gmail, por eso de que los filtros SPF se los pasa por el forro, resulta que me encuentro en CC un nuevo amigo que me ha salido del DominioB. WTF?


Figura 2: Mi e-mail, con un nuevo amigo

Lo curioso es que el DominioB, aparentemente, no tiene nada que ver con el DominioA, y sin yo saberlo se ha metido en medio del e-mail que le envío a mi amigo. ¿Es esto legal? Todavía más peculiar es que parece que ese del DominioB es de la empresa que diseña la web del DominioA, pero para nada es mi amigo, y no tengo interés en enviarle un mail a este señor para nada. A ver, los de leyes, ¿esto se puede hacer o es violar la intimidad de las comunicaciones?

Saludos Malignos!

martes, noviembre 23, 2010

Diciembre: Cursos y Eventos

Creo que al final no me me voy a poder librar de cruzar por última vez el charco este año, para visitar Argentina, Chile y, tal vez, México, pero de momento no lo tengo 100% confirmado, así que, por ahora, os dejo lo que tenemos claro que sí, de aquí a fin de año. Como en otras ocasiones, os marco con [*] donde voy a estar yo y con [G] los que son gratuitos.

Noviembre

25: Online. Learn about FOCA and Get FOCA PRO [*]
25 y 26: Madrid. Dlink Academy - Tecnología Firewalling
29: Madrid. MS Windows Server 2008 R2: Implementing
29 y 30: Madrid. MS Windows Server 2008 R2: Network Services
30: Madrid. MS Windows Server 2008 R2: Active Directory
29 y 30: Praga. CONFidence 2.0 [*]
30: Madrid. Día Internacional de Seguridad Informática [G]
Con Rubén Santamarta, David Barroso, Juan Luís G. Rambla, etc...

Diciembre

01: Madrid. MS Windows Server 2008 R2: Recuperación frente a desastres
01 y 02: Madrid. Windows Server 2008 R2: Network Access Protection
02: Madrid. MS Windows Server 2008 R2: Clustering Services
03: Madrid. MS Windows Server 2008 R2: Remote Desktop Services
09: Madrid. Aplicación del Esquema Nacional de Seguridad
09: Madrid. Análisis Forense: Entorno de Malware
09: Madrid. Análisis Forense de tráfico de Red
10: Madrid. Análisis Forense de Logs
10: Madrid. MS System Center Operations Manager 2007 R2
10: Madrid. Seguridad Web en Madrid on Rails[G] [*]
14: Online. Microsoft Windows 7: Implementing
14: Online. Microsoft System Center Configuration Manager 2007 R2
15: Online. Microsoft Windows 7: Integración en Entornos Corporativos
16: Online. Microsoft Windows 7: Seguridad

Saludos Malignos!

Somos enfermos del cybersexo

En las charlas que doy a los chavales sobre los riesgos de Internet siempre les pongo un vídeo de CyberSexo para que vean cuales son los riesgos de hacerlo con extraños. Tengo el vídeo sin censurar, pero para que no me lo quiten del Youtube lo he censurado... Seguro que os imagináis que está pasando por donde está la censura.


Esto es algo muy normal, ya que, como todos sabéis, el Messenger se creo para ligar, por eso si yo te he dado mi messenger es que...

Y visto este vídeo primero, no me queda más remedio que poner el de las Supremas de mi pueblo, de Bronxtolex, sobre este temita, que aunque no os lo creáis, es cierto que había oido la canción pero nunca había visto el vídeo musical y me he descojonado. ¡Ole Paca, Ole!


Saludos Porno-Malignos!

lunes, noviembre 22, 2010

Hoy estoy de viaje, así que música


Estoy en Brasil, ya os contaré cosas mañana...

Saludos Malignos!

domingo, noviembre 21, 2010

O todos bot o el spider al rio

Ayer, en los comentarios del post [Y lo que me he ahorrado], Ender me alertaba con buenas intenciones (gracias!), de las implicaciones que tendrá el nuevo código penal, cuando se ponga en práctica este mes de diciembre. Ya, cuando lei hace tiempo lo que se iba a aprobar, dejé publicado un post en el que dejaba claro que, con la entrada en ejecución de éste, nadie iba a avisar de los fallos de seguridad [Date por avisado].

Sin embargo, no deja de sorprenderme este artículo en concreto, que ayer diseccionaba Rubén Santamarta en 48bits [Código penal rima con hemoal] en el que dice:

"3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo...

Ajá! Eureka! Arrakatruki! Tengo la solución. Osea que cuando alguien ponga las medidas de seguridad como el gobierno de los USA en su servidor FTP basadas en un cartel que dice "CUIDADO CON EL PERRO QUE MUERDO", como aquel servidor que os puse en [Cuando salí de USA] donde la único que hay que hacer para vulnerar la seguridad es seguir un enlace... ¿se está cometiendo un delito? Pues se va a cagar Google, Bing, Exalead, los indexadores de blogs, y el pinche pelota que lance cualquier araña para hacer estudios de mercados o aplicaciones 2.0 en las que se mire lo cool que es un dispositivo.


Figura 1: Medidas de seguridad en el FTP de USA

De hecho, se me ocurren mil formas de montar un DDOS de casos que deban de ser de oficio solo con que existan "medidas de seguridad establecidas para impedirlo" de mierda.

Además, si miro los ficheros robots.txt [Funcionamiento de los robots] de casi todos los sitios pone:

User-agent: *

y luego con Disallow donde no se puede entrar, así que asumo que puedo entrar en todo el resto de contenidos porque me han invitado.

Si a esto le sumamos la coletilla del artículo, entonces he visto la luz...

"..o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años"

No,no, que yo solo pasaba por aquí, ¿quieres que me vaya? Pues me voy... avísame cuando esté dentro si te molesto, y nada, y me voy. ¿Esto quiere decir que si yo entro en un sitio, y nadie me dice que me vaya puedo estar dentro?

Lo que es increible, es que pretendan perseguir de oficio a quién avise, porque nada, se hace que las peticiones se den unos pirulos por algunos servidores en 3 o 4 países, pasando por bouncers, proxies, servidores TOR y luego se hace que sean los buscadores los que ataquen a las webs [Buscadores como armas de destrucción masiva] y listo, todo un caos.

En fin, que de todas formas, por si algún día pasa algo, y me véis haciendo una demo, recordad que me llamo Fermín y que este blog, a partir de diciembre se va a dedicar a enseñar como cocinar.

Saludos Malignos!

sábado, noviembre 20, 2010

Y lo que me he ahorrado...

El tema de las cámaras de vigilancia está ya manido. De él se ha hablado ya muchas ocasiones y en todas sus vertientes. Es un tema delicado pues atañe a la seguridad y la protección, pero al mismo tiempo a la privacidad de las personas. Aún así, a día de hoy, es posible encontrar a empresarios que se ahorran la pasta en buenos profesionales de la materia y deciden hacer chapuzas como este ejemplo.

¿Quién quiere un profesional técnico?

A nivel técnico la chapuza es, cuanto menos curiosa. Por supuesto, la cámara se encuentra "oculta" por el puerto 81, ya sabéis, el Well-Known de las camaras de seguridad. Eso no sería mayor inconveniente si la contraseña no estuviera guardada, por defecto, en el interfaz. Es decir, no es necesario ni adivinar, ni saber, ni escribir ninguna contraseña. Símplemente entrar.


Figura 1: La contraseña está cacheada en el intefaz

¿Quién quiere un profesional legal?

En los cursos de certificación de la D-Link Academy centrados en Cámaras de Vídeo Vigilancia, se hace también hincapié en cómo deben ser colocadas las cámaras de seguridad en una determinada ubicación para no estar incumpliendo ninguna de las leyes. Una de ellas, por supuesto, es que no se debe grabar la calle, y mucho menos sin que las personas lo sepan.


Figura 2: La cámara enfoca la calle

En la imagen de la cámara se puede ver que se está enfocando a la calle en una porción del espacio. He tomado la captura a una hora en la que la tienda aún está cerrada, no hay mucha iluminación y el cierre está bajado, pero aún así se observa que está a pie de calle y que por la puerta circulan paseantes.

En suma, con estas dos pifias, ¿cuánto le podría salir la broma a este empresario si hubiera una denuncia de por medio? A lo mejor sale más barato contratar profesionales de verdad, ¿no?

Saludos Malignos!

viernes, noviembre 19, 2010

Viviendo en la paranoia

Con la proliferación de los ataques por medio de malware, he llegado a un estado de paranoia bastante exacerbado cuando recibió un correo. Ésta es la historia de cómo me afecta a mi vida profesional.

El otro día, en el buzón de registro que usamos para recibir los ficheros con los datos de los estudiantes había un correo con un adjunto en formato Excel, el que nosotros utilizamos, pero con un nombre Chino o similares – perdonad mi incultura en el tema de las lenguas-. El caso es que el próximo día 25 de Noviembre tenemos un training de la FOCA en inglés, y en el anterior ya se apuntó gente de todo el mundo, por lo que pudiera ser un registro para este seminario.


Figura 1: El sospechoso

El antivirus/antispam del servidor de correo no lo había eliminado, por lo que había pasado el primer filtro de seguridad, pero aun así… ¿hay cojones de abrirlo a la ligera? Pues en mi caso no. Lo siguiente que hice fue descargarlo y analizarlo con el antivirus de mi máquina y nada. Pasó el segundo filtro.

Si el fichero no pasa alguno de los filtros de seguridad, la opción es fácil. Se elimina o se pasa al SOCtano para que le hagan un análisis forense al malware, pero si pasa todos los filtros… tendría que enfrentarme con la dura decisión de abrirlo o no.

La siguiente opción fue enviarlo a VirusTotal y a ver si algún motor de Antivirus tenía información relevante para ver si era o no un malware


Figura 2: 43 motores antimalware dicen que no hay malware

Y nada, el puto fichero seguía pasando filtros de seguridad e iba a tener que abrirlo. Pero… ¿y si es un 0day de MS Office? Mmm… vamos a enviárselo a la FOCA y que me dé información de metadatos


Figura 3: Metadatos extraidos por la FOCA

Vaya, tiene un usuario y configurada una impresora, lo que significa que ha configurado las opciones de impresión de este documento. La fecha de creación es reciente y la de última modificación es de hace unos días, con lo cual si es un 0day lleva tiempo creado, o han estado manipulando esta información con un editor hexadecimal adrede para engañar a los que busquemos esta información… mmm… poco probable. Además está bien formado el fichero Excel y se ha sacado el sistema operativo con los OLE Streams.

Mirando las fechas, pudiera ser un exploit para la vulnerabilidad de MS Office que se explotó activamente, pero ya está parcheada en mi versión.

En fin, que va a tocar abrir el fichero pero… ni de coña en mi máquina, así que será una máquina virtual, con Office 2010 parcheado y la sandbox activada.... y aver por dónde canta la rana. Vamos allá, a dar el salto de fe.


Figura 4: Apertura en Sandbox con Office 2010

Me cago en su padre, es un correo de alguien que está buscando curro y nos envía su currículo… en chino. Lo que hace la crisis...

Al final, después de todo el tiempo invertido, era un spam y me ha hecho poner toda la paranoia activa. Y tal y como va esto… creo que cada vez acabaremos siendo más paranoicos. ¿No te da grima cuando un colega te manda una URL o un PDF?

Saludos Malignos!

jueves, noviembre 18, 2010

Análisis Forense de Dispositivos Móviles

Pédro Sánchez es afable, simpático, buen tipo, de esos con los que puedes estar días y días disfrutando de animadas conversaciones y reflexiones sobre lo humano, lo divino y lo técnico. Es de esos que te saca un post en su blog Conexión Inversa de lo que menos te esperas y cuando menos te lo esperas, eso sí, siempre con dos premisas: buen rollo y análisis forense.

Pedro, además, es un tipo dispuesto a apuntarse a lo que salga, una conferencia en México, el Blogcamp, a echar un paper a una CON en Canadá, la NCN o la RootedCon, a ponerse en paños menores para el Calendario Tórrido, hacer un prólogo al libro de Análisis Forense en Windows de Silverhack o, si se lo pedimos, a grabar un villancico. Así es Pedro. Si le conocéis en persona, seguro que no os estoy descubriendo nada nuevo.

Así que, cuando ya por fin he tenido en mis manos el libro sobre el DNIe - todos los que ya lo habéis comprado empezaréis a recibir desde hoy en vuestras casas - he decidido que era buen momento para avanzaros otro de los proyectos en que Pedro se dejo liar en nuestro peiplo por México: Escribir un libro.

El tema que elegimos es de Análisis Forense de Dispositivos Móviles, un tema del que ya ha escrito en su blog algunos temas, y que le tiene enfrascado en la actualidad en más procesos de investigación.

El libro se va a poner a la venta coincidiendo con la próxima RootedCON en Madrid, de la que ya sabéis que se ha abierto un pre-registro especial para los asistentes del año pasado, y, además... no, no puedo leer más, tengo que esperar a que se desvelen más cosas de la RootedCon antes de seguir escribiendo.

En definitiva, gracias Pedro por ser como eres y dejarte liar.

Saludos Malignos!

miércoles, noviembre 17, 2010

Descubrir servidores SQL Server con MylittleBackup

El otro día me puse tan contento cuando alguien en twitter puso que en un proceso de pentesting había podido utilizar las técnicas de Connection String Parameter Pollution. Mola cuando a más gente le resulta útil el trabajo.


Figura 0: No me puedo decir cuál era la aplicación

Cuando estabamos escribiendo el artículo y preparando las demos, nos dimos cuenta de que a veces costaba encontrar los servidores internos de la empresa. Saber la lista de servidores SQL Server de la empresa es necesario para polucionar el parámetro Data Source de la cadena de conexión.

Posteriormente a que se pasara la oleada de charlas presentando el trabajo, en el SOCtano se miraron los productos vulnerables a las técnicas de CSPP, y nos llevamos la sorpresa de que los productos MyLittleAdmin y MiLittleBackup utilizan un fichero de configuración config.xml que está en el path principal donde está instalado el producto.

Es decir, que cuando te encuentras la pantalla de Login como esta:


Figura 1: Login de myLittleBackup

Lo que tienes que hacer es pedir, en la misma ruta, config.xml... y voilá.


Figura 2: Config.XML de un mylittlebackup

Ahí lo tienes, la lista de servidores SQL Servers que están siendo administrados por la herramienta, la forma de conectarse internamente -que viene muy bien para hacer la polución del parámetro Data Source- y un montón de información de usuarios, roles y rutas.

Como está la ruta de los ficheros de log, y tienes acceso al formato de los nombres, solo tienes que solicitar el fichero de log y leer más datos aún.


Figura 3: Log con información de usuarios

Mirando por Internet, hay algunos que tienen toda la granja de servidores SQL Server publicados.


Figura 4: Config.xml de MyLittleBackup con lista de servidores SQL Server

En fin, que cuando menos te lo esperas, te encuentras el mapa de la red interna publicado, y sin FOCA ni ná.

Saludos Malignos!

PD: Para los que no estén al día de lo de CSPP, os dejo la presentación de la Ekoparty (la primera que dimos) sobre este tema.

Connection String Attacks - ekoparty Security Conference 5th edition from ekoparty on Vimeo.



martes, noviembre 16, 2010

FOCA Free 2.5.6 disponible

Desde hoy tenéis disponible para descarga la versión 2.5.6 de la FOCA Free en la que se han añadido algunas de las características que ya tenía la versión PRO, como son:

- Vista de Roles: De momento sólo es durante la búsqueda de los servidores y no se almancena la información en el proyecto, pero seguiremos trabajando en ello en próximas versiones. Foca Role Oriented

- Detección automática de DNS Cache activado: En la vista de roles, en la parte de DNS, intenta encontrar automáticamente cacheado www.google.com. Si lo encuentra da un mensaje de que la caché está activada. Si no lo encuentra, tal vez ese servidor tenga activada la caché DNS, pero hemos pensado que como test automático nos venía bien www.google.com.

- Filtro de criticidad en el log: Para que sea más fácil conocer que está pasando en cada momento en el proyecto de la FOCA se ha añadido un filtro por componentes (si quieres ver que pasa sólo tienes que seleccionar el módulo debug y estarás en modo verbose), y por niveles de criticidad. Así, si pones medium o high te sacará las cosas chulas.

A parte de esto, se ha arreglado un problema con la descarga de ficheros en Google, ya que había habido cambios en las respuestas y no se podían descargar más de 300 ficheros. También se han solucionado otros bugs menores que nos habéis ido reportando a amigosdelafoca@informatica64.com

Puedes descargarte ya la FOCA Free 2.5.6

Saludos Malignos!

PD: Esta tarde hay un training de la FOCA y puedes obtener la versión PRO.

lunes, noviembre 15, 2010

¿A quién le damos la pasta?

Hola a todos,

ya tenía medio decidido a quién le iba a dar la pasta que se saque con el Calendario Tórrido 2011, pero he pensado que mejor sean los propios protagonistas del calendario los que decidan a quién dársela. Para ello, la idea es la siguiente:

Primero, en este post podéis proponer un destinatario del dinero que se obtenga. Este proyecto podrá ser un proyecto humanitario, una ONG, un proyecto social, etcétera.

Yo haré una lista y se la pasaré a todos los participantes que salgan en alguna foto para que voten sobre los proyectos que crean que deben recibir el dinero. El que más puntos saque de la votación de los participantes es el que se llevará el dinero.

Se van a hacer 1.000 copias del calendario, en formato A4, y su precio será de 10 € + gastos de envío (o si vienes a alguna conferencia intentaremos llevártelo). Se podrá comprar a partir del día 1 de Diciembre y hasta fin de existencias. Solo habrá 1.000 copias, que espero que no sean muchas, porque no hay tiempo, ni posibilidades de hacer copias de 1 en 1 o de poco en poco.

Espero que a vosotros os guste el resultado final y a los que participan en este proyecto, cediendo sus torsos... 1 K de gracias.

Saludos Malignos!

domingo, noviembre 14, 2010

Paseantes (strollers)

07:00 Pi-Pi, pi-pi,pi-pi.

Mierda, maldito despertador, que rápido cuentas las horas para llegar a las 7:00. Ya podrías entretenerte un poco en las 4 o perderte en las 5. Joder, y hoy tengo una reunión de mierda, para aclarar quién se come el marrón de no haber entregado el informe a tiempo. Seguro que el capullo éste está aún tan cómodamente en su cama. El muy mamón. Si es que es un puto vendido, diga lo que diga. Además de no tener ni puta idea de nada. Joder, que fría está el agua. Hoy paso de meterme la cuchilla, hoy le toca currar a la máquina automática. A ver qué gilipollez publica hoy el tonto-maligno de los cojones. Seguro que pone algo del último fallo de Firefox o de OpenOffice que hace mucho que no abre la bocaza con eso. Claro, no va a poner nada del 0day que aún no han parcheado sus amiguitos de Spectra. Claro… como son tan buenos.

Vaya, son las 08:30 y no ha posteado nada aún. Joder, no hay quien lea el RSS en el transporte público. ¿Y éste no ha publicado aún? Qué raro. A lo mejor es que me está fallando el lector, voy a entrar en su puto-blog-de-mierda a ver si es algo con el feed. Mmm… no, pues sigue la misma basura de ayer. Y mira, los comentarios… “que si mola…” “que si me gusta…” puag!! Putos pelotas de mierda. ¿No se darán cuenta de que es un puto vendido? Mi parada. Como no me dé prisa me van a empurar.

10:00 Joder que mierda de reunión. Y encima de que me toca un montón de curro y aguantar al tonto de Martínez ahora tengo que hacer yo mi trabajo y el suyo. Manda cojones. En fin, vamos a ver qué ha pasado por el mundo mientras me tomo el café. Bla, Bla, Bla, … bien, lo de siempre más o menos… ¿y este cabrón? Aún no ha puesto nada. Qué raro. A ver su agenda… Aps, mira, es que hoy está de conferencia fuera. Seguro que el subnormal nos cuenta luego lo bien que se lo ha pasado de copas, cenando o con la gente tan maja que ha estado. Es que me saca de mis casillas.

10:30 Es raro, normalmente ya habría publicado algo este tipo, aunque sea un spam de mierda de esos de cuáles son los próximos cursos, o qué libro tan chulo ha escrito su amiguito de turno. Yo la verdad es que no me explico como este tío tiene amigos. Si es inaguantable. Siempre sintiéndose el más chulo del barrio, con ese gorrito que debe tener hasta garrapatas. ¿Y los chistes? Joder, si me he visto la conferencia de la FOCA cinco veces y siempre dice lo mismo. Y la gente se rie, ¡joder! ¿pero no ven que no tiene ni puta gracia? En fin. Vamos trabajar algo.

11:00 Nada, este tío hoy no quiere currar ¿habrá puesto algo en el twitter? A ver… nada las chorradas de siempre. Mírale, contestando a una chica en el twitter… ¡qué no vas a ligar cara melón! Si es que eres un inútil. Patético. Lo que no entiendo es como le invitan a ir a charlas en el extranjero. A lo mejor es que en inglés, como no tiene ni puta idea de hablar bien, hace más gracia, porque lo que es en Español. Me voy a trabajar un rato.

11:45 Una llamada: ¿Sí? ¿Quién es? ¿Qué ya ha posteado? Voy a verlo ahora mismo, y NO.. no es mi amigo.. .me cae como el culo.

A ver el RSS.. .aún no ha actualizado, voy a dejarme los ojos con su cutre-plantilla. A ver… JODER. Toma basura, si ya sabía yo que hoy no me defraudaba. Se va a cagar, comentario al canto:

Anónimo: Tus posts son cada vez peor, esto empieza a ser un insulto para tus lectores. Eres una vergüenza para la profesión.

Ja,ja,ja. Toma maroma. A ver qué dice ahora, a ver como se justifica.

11:50: Ctrl+F5.. A ver si ha contestado. Nada, aún nada. ¡Que se joda! Seguro que está ocupado y no puede verlo ni borrarlo.

12:30: A ver si ya ha contestado… nada, mira, uno de sus “amiguitos” me dice que si no me gusta por qué vengo. Pues porque me sale de la polla… no te jode. En fin, a ver que dice el subnormal.

14:00 Comida: ¿Habéis leído lo que ha puesto hoy el bocazas de siempre? Si es que no me mejora. No me explico cómo se lo ha montado para vivir del cuento.

19:00 Por fin en casa. Vaya día, y encima aún tengo que comprobar si me ha llegado la parte de Martínez que tengo que meter en el informe. Y este tonto no me ha contestado. En fin, ahí se lo dejo, a ver si aprende la lección y mañana publica algo mejor, aunque me sorprendería que tuviera neuronas para hacerlo…

00:00 Acabé el informe. A dormir que ya no aguanto más. Mira me ha contestado… a ver… mmm, puag… las mismas gilipolleces de siempre. Si es que no lo aguanto. Paso, hasta mañana.

sábado, noviembre 13, 2010

Prepara el dinero: Calendario Tórrido 2011

Son varios meses los que llevo ya persiguiendo, convenciendo, y buscando los huecos y lugares para hacer las fotografías a los miem... a los participantes de los distintos meses. Hasta el momento tengo ya hechos 10 meses, con lo que esta semana espero poder terminar las 2 fotos que me faltan, y ver si acabo de liar a Héctor Sánchez Montenegro, Sebastián Muriel e Ismael Elqudsi para salgan también.

Os garantizo que algunas de las fotos que aún no habéis visto son de traca. La de los forenses (Pedro Sánchez, Igor y Silverhack) en plan casa de la pradera, los chicos de Quest en plan Beach Boys, los de RootedCON rooteados y la de la Marcelo Rivero y Diego Ferrerio en plan "Hay un malware en mi cama" son grandes.

Mientras tanto, chicas, para ir abriendo boca, id guardando pasta que mirad que dos meses va a traer el calendario. Mirad que chulas que las deja la artista @Kuasar.

Nikotxan, creador de Cálico Electrónico


Rubén Santamarta

¿No me digáis que no va a ser un pedazo de regalo estas navidades? ¿Quién quiere el calendario de los bomberos teniendo a estos hax0rs aquí y así?

Saludos Malignos!

PD: Aquí tenéis las tres fotos anteriores que os publiqué

viernes, noviembre 12, 2010

Tengo un XServe y te comparto mi RAID

He de reconocer que desde que estoy involucrado en el blog de Seguridad Apple, me lo paso genial descubriendo como está la situación en seguridad en muchas de las cosas que están por aquí. Ya os conté lo de los fallos curiosos en el iPhone, o lo de los usuarios de Mac OS X que comparten por defecto sus carpetas para todos los amigos por medio de AFP – espero que no tengan porno y se vean denunciados -.

Hoy la historia viene a colación de la noticia esa de que Apple iba a abandonar los XServe por los nuevos Mac Pro Servers. Decidimos, a colación de ella, echar un ojo a los servidores que usaba Apple para escribir un artículo llamado "¿Servidores Apple Sí o No?" en el que sólo jugueteamos con Shodan y la FOCA un rato.

Lo gracioso es que me llamó mucho la atención uno de los servidores, los que tenían el banner de "Apple Embedded Web Server". Mirando en Shodan aparece un buen montón de servidores.


Figura 1: Servidores descubiertos en Shodan

Investigando un poco, es fácil descubrir que son servidores de almacenamiento en RAID. La guía de administración de estos servidores te da mucha información sobre su gestión y, por supuesto, cuales son las contraseñas por defecto.


Figura 2: Passwords por defecto

Como podéis imaginar, se me ocurrió pensar lo mismo que a vosotros, así que nada, descargamos la utilidad de administración desde esta URL y “un amigo mío que usa Mac OS X” probó a ver si se podía conectar a estas utilidades con las passwords por defecto. La herramienta de administración puede ser descargada desde esta URL: XServe RAID Admin Tools

Tal y como se ve en el panel de control de la herramienta, unas daban problemas de contraseña – bien por los administradores que las cambiaron -, otros de conexión – bien por los que filtraron las direcciones IP de conexión -, y otras permitían acceder al panel de administración - FAIL -.


Figura 3: Prueba con algunos servidores públicos

Una vez allí, la utilidad de configuración permite visualizar la información de red, temperatura, almacenamiento, configuración de los RAID, etc… toda la parte de controles típicos de servidores de almacenamiento.


Figura 4: Opciones del fibre channel

O símplemente cotillear como está el equipo para ofrecerles una ampliación o un sistema de refrigueración, o vete tú a saber qué:


Figura 5: Estatus del servidor

Por supuesto, tal y como indica la guía, es posible entrar en las utilidades de administración avanzada, siempre y cuanto se tenga la credencial de administración. En las utilidades la cosa se pone más fea, ya que es posible, desde rehacer el RAID, hasta crearte tus propios RAID y, por supuesto borrarlos.


Figura 6: Opciones de manipulación del RAID

Esto es feo, muy feo. De verdad, sé que están acostumbrados a sus propios protocolos, y que debido a eso han vivido aislados en su bonito paraíso donde NO eran objetivo, pero… eso ya pasó. Si tienes servidores Apple, también tienes que auditarlos y cuidarlos, además de actualizar el software (salvo que tengas PGP en todo el disco }XD )

Saludos Malignos!

jueves, noviembre 11, 2010

Sprite Animation Contest

Tras el éxito que fue ver la creatividad de todos los asistentes al BlogCamp! en la creación de animaciones con el sencillo motor que habíamos preparado en HTML5 para Internet Explorer 9, nos pareció buena idea hacer un concurso para estas navidades y que algunos se lleven una XBOX 360 como regalo de navidades. Y así nació el Sprite Animation Contest.


El objetivo es realizar una animación de hasta 3 minutos en las que utilices la potencia de HTML para conseguir un objetivo. Enseñar a los demás las novedades del nuevo Windows Live Mail.

La prueba: Para ello, te vamos a enseñar a animar con sprites, el método clásico de animación en videojuegos de los 80, en el que podrás aprender a mover personajes y objetos por la pantalla. Con este fin hemos preparado un sencillo motor en HTML 5 que te ayudará a empezar a trabajar, pero tú puedes adaptarlo a tus necesidades e incluso conseguir cosas increibles. Eso sí, tiene que funcionar en Internet Explorer 9, ya sabes, el que ha sacado mejores resultados en los tests del W3C.

Para que aprendas, haremos un Webcast el próximo día 25 de Noviembre donde te enseñaremos los entresijos de como hacer este tipo de animaciones. Tienes que registrarte previamente para participar en el webcast.

Premios: Se darán tres consolas XBOX a los que ganen en las siguientes categorías:

- Mejor consecución de objetivos: Este premio se dará a la animación que mejor consiga aunar los objetivos de mostrar las novedades de Windows Live con la más cuidada animación.

- Mejor animación técnica: Aquella que consiga aunar mayor destreza técnica, artística y elegancia.

- Animación más divertida: Aquella que, con humor, mejor consiga expresar las ideas del concurso.

Este concurso está destinado solo a estudiantes, así que, si no eres estudiante... apúntate a aprender algo o tendremos que banearte (ya sabes que va por ti). Eso sí, al webcast y al motor podrás acceder y hacerte tus propias animaciones. Tienes más informaicón en Sprite Animation Contest.

Saludos Malignos!

miércoles, noviembre 10, 2010

Consoladores Leganales

El día que por fin sepa qué es eso que la gente llama sexo tengo ganas de experimentar con toda la cantidad de gadgets sexuales que hay en el mercado. Y es que hay que reconocer que un Geek porno puede encontrar su paraíso con la cantidad de accesorios, mashups, simuladores virtuales y opciones de ampliación que venden hoy en día para los más juguetones del comando G. Sin embargo, hasta ese día sigo investigando las técnicas de apareamiento y acercamiento entre los miembros (no busquéis el doble sentido a este nombre) de una relación sexual.

El caso es que, desde que nos hemos acostumbrado a aprender online, qué mejor que sistemas de vídeos para documentar y hacer más entretenida la experiencia educativa. Si no, que se lo digan a Intypedia, que está intentado llevar la seguridad informática a un punto más sexy.

Con estas motivaciones, puramente educativas, muchos usuarios se han bajado porno-manuales desde las redes P2P, cosa que no ha gustado a los protagonistas de la industria de la educación sexual, el bukake televisado y los guionistas mejor pagados. Así, han contratado a un abogado para que, a 9,729 usuarios de la red P2P que compartían los mejores tutoriales de apareamiento, una jauría de congéneres legales se encargue de meterles un consolador anal con toda la ley americana del copyright .

La historia, a pesar de estrambótica y con tintes de folletín, no deja de ser una porculada para los estudiantes, realizada por muchos de los más acostumbrados a estos juegos de enredo. Al final, no entiendo por qué estos problemas con la compartición, con la de step-by-step que he visto donde se comparten parejas, juguetes y miembros (ahora sí que tenéis que buscarle el doble sentido).

En fin, que para los que no quieran verse apuntalados por lo más grande y florido de la industria del aquí-te-pillo-aquí-te-follo, os dejo algunos sitios gratuitos en la red como Youporn, Redtube, pornotube, etc…

Además, insto a todos los estudiantes experimentados a que en los comentarios nos dejen una buena lista de porno-sites para disfrutar del placer-en-soledad sin que te metan un cuerno los abogados de la polla.

Saludos Porno-Malignos!

martes, noviembre 09, 2010

Errores Recursivos

Recuerdo que en cuando existía la extinta Windows TI Magazine, el señor Carles del Collado mantenía una sección al final de errores. Recuerdo alguno muy gracioso, pero especialmente me llamaban la atención los que se producían en los módulos de tratamiento de errores, como este de una lista de ellos que recogió Gizmodo.


Error creando el informe de error

En alguna auditoría nos hemos colado en el sistema a través, precisamente, de los módulos de tratamiento de errores, y hoy que estaba un poco aburrido, he decidido mirar como estaban los módulos de tratamiento de erroes en la web.

Si he de ser sincero, no me ha dado tiempo a hacer un estudio ni nada parecido y me he quedado en sólo ASP, que no lleva protección de comillas. No he seguido porque con la primera búsqueda en Google me han salido links a sitios vulnerables suficientes como para plantearme la compra de algún kit de explotación y empezar a hacerme mi propia botnet. Os dejo algunos ejemplos curiosos:


Este es el resultado más habitual, SQL Injection en el módulo


Este módulo de reporte de errores se usa en muchas webs y está llenito de SQL Injections


Este me ha hecho gracia por la referencia a XP ... y por tener SQL injection Level 1


Otro más de la misma fiesta


Uno genial, tiene lo que tú quieras


Este sitio me ha encantado porque detecta la comilla ...



...pero no el XSS


El XSS es otro gran habitual

En fin, que ya escribió David Litchfield el paper de Remote Disassembling Web Applications using ODBC error messages, y debía estar claro que los mensajes de error son importantes, pero por si acaso, recalcad que el módulo de tratamiento de es parte de la aplicación también.

Saludos Malignos!

lunes, noviembre 08, 2010

Teenage Mutant Brother Agents para el SOCtano

Estimados seres del chip, queridos enganchados a la tecla, estares del culo en la silla y las gafas de pasta mirando la pantalla... estamos buscando sangre fresca en el SOCtano. Sí, buscamos escla...digo... compañeros de trabajo para el SOCtano que cumplan con los requisitos, así que si no cumples y no te seleccionamos, no sufras, que ya sabes que somos bastante raritos. Pero si te apetece convertirte en un encade... digo en un empleado de la caverna, siempre puedes enviarnos tu CV y supli...solicitar que te dejemos algo de espacio para ponerte a trabajar.


Queremos gente joven con ideas frescas, así que no importa si nunca antes has trabajado, vamos a intentar lavarte el cerebro y hacerte a nuestro gusto, ya sabes, uno de la secta. Entre tus misiones estará la de desarrollar en el SOCtano en .NET.


Pero también la de salir de misión a clientes, para realizar el trabajo que toque. Estos trabajitos pueden ir desde quemar un servidor a romper una red, pero también a lo contrario. Algunas veces salvamos el mundo.


Si estás interesado en perder 1 año de tu vida para que nosotros te pongamos las nalgas blanditas y veamos si puedes hacerte el tatoo del SOCtano en el cuello cual pandillero, envíanos tu currículo y dinos que sabes hacer y qué quieres hacer. El equipo de los TMBA será de 3 a 5 y tendrá su base secreta en Bronxtolex. Yo que tú no lo haría, pero es tu elección. Avisado estás.

Saludos Malignos!