No Lusers 97: Calladito estás más guapo

Saludos Malignos!

Tocando el piano en la Ekoparty 2011

No están disponibles los vídeos aún de las charlas de la Ekoparty, pero circula por Youtube un DVD-Screener del momento en que realicé las demos de Playing the Piano en la charla de este año, y luciendo una camiseta No Lusers como las que hay para el Asegúr@IT Camp 3. Así que os lo dejo hoy aquí.

Si queréis más sobre el tema, recordad que tenéis:

- Hacking Remote Applications: Fingerprinrint con Terminal Services y Citrix

- Hacking Remote Applications: Descubriendo aplicaciones 

- Hacking Remote Applications: Jailbreaking

- Diapositivas de Bosses love Excel, hackers too

Saludos Malignos!

Anonymous y la política: Foro CNP hacked

Desde que se abrió la veda con la publicación de los datos de los escoltas en pastebin supuestamente por anonymous, la consiguiente publicación en pastehtml de un desmentido, la publicación de los datos de los GEO y la re-confirmación de que sí que eran ellos. Esto ha sido un no parar.

Parece que con la llegada de las elecciones las cosas se están acelerando y que algún anonymous, sean los que dicen que son los auténticos o los auténticos que dicen que lo son, siempre hay alguna notica al respecto. La última, en forma de un comentario en este blog que enlaza a un pastehtml en el que hay publicado el hash del administrador del FORO de la CNP, con más de 11.000 usuarios registrados.

En la página, de nuevo aparece un referencia clara a Rubalcaba, esta vez junto con un módulo javascript para hacer GETs a la web de Rubalcaba haciendo "Disparos".

¿Serán policias dentro de la policía quién publique los datos? ¿Serán los miembros de anonymous que juraron venganza tras la detención de los miembros de Asturias? ¿Será alguien con intereses políticos intentando mediatizar las elecciones? ¿Serán anonymous de verdad? ¿Hay varios anonymous en España enfrentados?

Saludos Malingos!

Cursos de Seguridad Antihacking en Getafe Gratuitos

Ya se están realizando los dos primeros Cursos Gratuitos de Seguridad Antihacking en Getafe (¡Hola a todos los que estáis allí! ¿Cómo os tratan?), y ya están listas las fechas para los próximos dos, que de momento serán los últimos, por lo que si quieres un sitio no te duermas.

Los próximos cursos comenzarán el día 19 de Octubre, durarán 100 horas, y habrá una edición en horario de mañana de 09:00 a 14:00 horas y otra en horario de tarde e 16:00 a 21:00. Los cursos se realizarán en el Centro de Formación en Tecnologías de la Información y las Comunicaciones de la Comunidad de Madrid en Getafe, sito en la Calle Arcas de de Agua sin número, junto al Metro Conservatorio.

Para poder acceder a uno de los asientos en cualquiera de estos dos cursos hay que estar en paro o en situación de búsqueda de un mejor empleo y, además, es requisito imprescindible hacer una prueba de conocimientos básicos de acceso. Esta prueba se realizará el próximo miércoles 5 de Octubre a las 10:00 de la mañana en turno de mañana y a las 16:00 horas en turno de tarde.

De cualquier manera, si tienes dudas sobre el horario, la dirección, el nivel o los requisitos, puedes llamar a Informática 64 por teléfono al número 91.146.20.00 o escribir un correo electrónico a i64@informatica64.com y los compañeros te informan.

Para los demás, recordad que el día 30, es decir, el viernes de esta semana, acaba el siguiente tramo de registro para el Asegúr@IT Camp 3, así que si te vas animar a venirte no dejes pasar el viernes para reservar tu plaza.

Saludos Malignos!

Tuenti Security Issues (V de V)

************************************************************************************************
- Tuenti Security Issues (I de V)
- Tuenti Security Issues (II de V)
- Tuenti Security Issues (III de V)
- Tuenti Security Issues (IV de V)
- Tuenti Security Issues (V de V)
************************************************************************************************

Aprovechando que ayer publicaron en Security By Default TuentiDump para hacer backup de una cuenta Tuenti una vez comprometida su seguridad, voy a dejar zanjada esta serie dedicada a la red social de los más jóvenes. Como dije al principio, está dedicada a issues de seguridad que siempre pueden mejorarse,  porque la mejora continua de los servicios hace mejor las cosas. Así que, por favor, que nadie se tome esta serie cómo que Tuenti es insegura (aunque me siga pareciendo que lo del SSL tienen que arreglarlo cuanto antes porque abre infinitos vectores de ataque).

Issue 18: Descuidos en IT. Un proxy abierto al exterior

Una de las cosas que más me llamó la atención fue la de descubrir que en una de las direcciones IP de Tuenti había publicado un servidor Proxy que estaba abierto al exterior, lo que abre nuevas posibilidades de conectarse desde fuera a la red interna.

Figura 17: Un proxy al que conectarse desde Internet

El proxy ya está cerrado y tenía cierto control de acceso pero, como puede verse, además daba información de un dominio interno usado por la compañía para su red, lo que ayudaría a buscar cosas dentro en caso de un ataque dirigido. Buscando por Internet, es fácil casi hacerse con el nombre de muchos de los equipos internos de ese dominio, lo que ayuda a tener una visión clara de la red de Tuenti desde fuera.

sw33ext.tuenti.int - sw35ext.tuenti.int [95.131.168.14] -  proxy2.tuenti.int [95.131.171.193] -  sw11ext.tuenti.int [95.131.171.194] -  sw12ext.tuenti.int [95.131.171.195] -  sw3ext.tuenti.int [95.131.171.196] -  sw14int.tuenti.int - sw16ext.tuenti.int - sw10ext.tuenti.int - sw25ext.tuenti.int -sw38ext.tuenti.int - sw17ext.tuenti.int - sw4ext.tuenti.int - sw7ext.tuenti.int - estaticos.tuenti.int - hades.tuenti.int [172.30.0.210]

He puesto los que aparecen en Google en una búsqueda rápida, pero además, una vez vistos los nombres y las direcciones IP es fácil predecir muchos de los que faltan.

Issue 19: Leaks de IT, Admins y Mega-Admins en Tuenti

Una de las tareas que realicé durante esta serie es la de trabajarme un poco la fase de footprinting del dominio. Así, busque direcciones de correo electrónico de miembros de Tuenti, especialmente de miembros que trabajase en IT o personajes públicos, para buscar lo que preguntaban en foros. Así, por las preguntas que realizan y los datos datos que envían en los foros, es posible descubrir cómo está montada la CDN de la red, o qué problemas tenían con los servidores.

Sin embargo, el que más me llamó la atención fue este pedazo de conversación que me envió un lector anónimo y pelirrojo en el que se puede ver quiénes son administradores de Tuenti (espero que no se conecten por redes inseguras a su perfil) y que, además, utilizan la misma red social, pero con alguna visibilidad más privilegiada para administrar las cuentas.

Figura 18: Conversación de admins en tuenti

Quizá falta una política de concienciación mayor entre los empleados de lo que se puede publicar o no sobre la infraestructura y la seguridad de la empresa.

Issue 20: Relación inmadura con los buscadores de vulnerabilidades

He querido dejar para el final este issue, pero no por eso es menos importante, sino al contrario. Durante los dos últimos años he tenido varias conversaciones con distintos expertos en seguridad que han reportado en un momento u otro vulnerabilidades a Tuenti. Todos coinciden en que la relación es muy difícil. Supongo que las empresas tienen que madurar en seguridad para entender que alguien que reporta un fallo de seguridad lo hace con la mejor de las intenciones y que lo último que hay que hacer es responder o tratarle mal. 

Cuando un investigador reporta una vulnerabilidad, las empresas que han madurado estas relaciones, tienen un trato controlado, constante, y agradecido. Así, empresas como Nokia hacen regalos, Facebook paga a los investigadores de seguridad y Apple o Microsoft reconocen el esfuerzo de los investigadores en los parches de seguridad.

Tuenti no hace eso aún. No está maduro en esas relaciones, lo que hace que se estén dejando de reportar vulnerabilidades y pone en mayor riesgo a los usuarios de la red. Sin embargo, tras conversaciones mantenidas con Sebas Muriel de Tuenti, se que es algo que quieren trabajar desde ya, y crear un canal más amable para los investigadores.

Espero de corazón que esta red social siga creciendo, mejorando, y aumentando el número de registrados a nivel mundial, y que, de una vez... alguien me envíe una invitación para sacarme cuenta en Tuenti. 

Saludos Malignos!

************************************************************************************************
- Tuenti Security Issues (I de V)
- Tuenti Security Issues (II de V)
- Tuenti Security Issues (III de V)
- Tuenti Security Issues (IV de V)
- Tuenti Security Issues (V de V)
************************************************************************************************

Asegúr@IT Camp 3: Aprendizaje del duro

Tras el regreso a Madrid hay dos cosas que me estaban esperando con mala leche. La primera de ellas un jetlag de caballo, como el que hacía tiempo que no sufría - aún estoy medio descolocado por el desorden de sueño que me hace sentir medio colocado - y la segunda un buzón repleto de correos con tareas por hacer - si me has enviado un e-mail ten paciencia que me desatascaré para finales de semana ... creo. Esto, es el precio que hay que pagar siempre por cruzar el charco e ir a pasarlo bien al otro lado del mundo: hay que cambiar el horario de vida y tienes poco tiempo para procesar el correo electrónico.... pero merece la pena.

Ahora, el siguiente paso en mi agenda será el Asegúr@IT Camp 3 el 21, 22 y 23 de Octubre, un fin de semana en el que tampoco procesaré mucho correo y en el que seguro que dormiré poco, pero que seguro que también merece la pena. Como el viaje de Buenos Aires a Madrid se me hizo muy largo, aproveché a dibujar un poco, y estuve pensando en algún diseño para la camiseta conmemorativa del Asegúr@IT Camp 3, una en que se reflejara lo duros que son este tipo de eventos a los que asistimos tan sacrificadamente los informáticos... y entre varias ideas, dibujé ésta:

No es seguro que esta sea la camiseta conmemorativa, porque después de llevar una camiseta con una FOCA rosa, lo de salir a la calle con un tipo gordo en mallas de bailarina en una camiseta puede hacer a vuestros vecinos que se pregunten muchas cosas... ¿no? Por otro lado, no descartéis que se me crucen las dos neuronas que tengo y acabe siendo la camiseta oficial... que ya sabéis que yo soy de ideas poco sensatas.

No obstante, como aún tengo algo de tiempo, seguiré dibujando un poco más, a ver si doy con alguna idea más extraña, de momento estoy barajando esta camiseta o la que usé en la NCN y la Ekoparty de "Me siento luego existo" que tenéis en la web de registro del Asegúr@IT Camp 3. Nos vemos pronto, que ya queda menos de un mes, ¡cenando y bebiendo Tochuelo!

Saludos Malignos!

Ekoparty 2011: Una revisión interior

Cuando salga este artículo aún no habré tomado tierra en Madrid. Aún me encontraré encorvado en un asiento de clase turista con un antifaz en los ojos, unos tapones en los oídos y lo más cómodo que permita tan horrenda tortura humana que la "economía de mercado" ha permitido crear como asiento de viaje, intentando que el jet lag de regreso a la capital de las Españas no haga estragos en mí.

Es por eso que las sensaciones que tengo al escribir este resumen interior de la Ekoparty están más frescas que nunca en mí. Solo hace unas horas que acabó la Ekoparty, y alguno seguro, todavía anda finiquitando los últimos resquicios del after party que se genera cuando cierra el boliche en el que tuvo lugar hace apenas unas horas la fiesta de despedida de la Eko.

La principal sensación que me ha dejado este año la Ekoparty es que ha sido intensa. Actividades por todas partes, hackers por todas partes, amigos por todas partes, charlas a todas horas, noticias constantes, ... largos días de emociones que no te dejan un minuto libre, y que convierten las horas en apenas minutos, que solo notas cuando el cuerpo dice "hola amigo, estás hecho fosfatina".

Yo tuve la suerte de llegar el lunes descansar y tomar cervezas con Rubén Santamarta y el amigo Claudio de Provincia atendidos por la amiga Caterina. Descansado, pude disfrutar del ambiente de los trainings, jugando con la FOCA 3 y compartiendo andanzas y noticias con los amigos para terminar en Roots con todo el mundo. Roots ya es parte del  Buenos Aires que yo conozco, y de la Eko. Ese bar al que Fede tiene tanto aprecio y que se convirtió ya en un punto de encuentro en la Ekoparty.

Terminados los trainings, el miércoles toco el día de worshops, al que nos faltó el gran Dragon de DragonJar al que los elementos retaron para que no llegara a la Ekoparty, y en el que participé en un curioso debate sobre hackers vs CSO en el que tras las trifulcas necesarias acabamos dándonos besos. Pero lo mejor comenzó tras el debate de SCADA en el que participó Rubén, y tras la charla de Nico Waissman sobre seguridad ofensiva vs seguridad defensiva fue el asado en casa de Agus. Impresionante.

Debía implementarse en España el asado argentino como forma de networking. No sé ni cuantas horas nos pasamos allí reunidos debatiendo de todo. Tomando cerveza, vino o Fernet en una reunión donde era imposible no pasárselo bien. Miguel Gesteiro, Fermín J. Serna, Gonzalo de Intel, Nico, Damián, Sebas, Agus, César Cerrudo, y un largo, largo, largo número de casi 40 personas que comían y charlaban sobre todo. Fue toda una experiencia. Tanto fue, que al final, a Rubén y a mí solo nos quedó hueco para un par de cervezas atendidos por Caterina.

Ya el jueves, el segundo día de la Eko, y primero de charlas brutales, la agenda comenzó temprano, y terminó a las nueve de la noche. ¡Doce horas de charlas! Pero lo mejor, es que no había sitios libres por ninguna parte. 1.200 personas se han acercado este año a las conferencias, y todas o la mayoría de ellas, acabaron pasando por el stand de Immunity a ver Canvas este año...

Bueno, no, este año los chicos de Immunity no enseñaron Canvas, y tampoco hicieron un jueguito de artes marciales para que me pudieras patear el culo. Este año montaron dos sofás y dos barriles de cerveza, lo que convirtió a Immunity en el bar de la Eko por el que anduvimos pululando todos. Charlando de todo en un ambiente de lo más divertido. Creo que ha sido la mejor idea que he visto como stand de networking. 

Lo de las palomitas de Eset no estuvo mal, y por supuesto la zona de LockPicking de Deviant Ollant o la zona del museo de la informática, y la mesa de ping-pong también tuvieron su aquel, con lo que nadie se pudo aburrir. Bueno, ni con eso, ni con el reto forense de DragonJar para ganar un iPad (que ha quedado en Internet para quién quiera resolverlo) ni con el CTF que volvieron a ganar Tripi, Fede, y compañía.

Lo de Fede, Tripi, Mati, y sus compañeros de generación me tiene sorprendido desde que los conocí. Jovenes, brillantes, metidos de lleno con los grandes consagrados, y disfrutando. La pasión, la energía y el conocimiento que tienen ya asusta. 

Además, para que fuera todo mejor y la gente participase más cómodamente de todas las actividades, había televisiones en el bar y en otras ubicaciones para poder seguir las charlas desde fuera, lo que permitía trabajar, jugar y no perderse nada. Impresionante el despliegue.

Al final del día, las energías no dieron para mucho más, y sentí escaparme a la francesa del asado al que me invitaban mis amigos Claudio, Ezequiel, Hernán en el restaurante la Dorita, pero quería preparar mi charla para ser un buen telonero de Juliano y Thai.

El viernes, os imagináis, charlas de nivelón y un final de infarto con Juliano y Thai, chateando y haciendo la demo desde los USA. Una demostración brutal que tuvo que luchar contra la venganza de las máquinas, que no estaban dispuestas a dejar que Juliano explicara cómo se pueden robar sus secretos usando BEAST. 

En un rápido resumen, Juliano y Thai lo que hacen es descifrar conexiones SSL mediante la captura del tráfico cifrado enviado desde el cliente a un servidor controlado que descifra la conexión. Para ello, no interceptan la conexión con un Man in the Middle, ni hacen un robo mediante un Man in the Brower, lo que haría innecesario descifrar el tráfico ya que se puede leer en claro. Lo que hacen es ejecutar un código que controla el vector de inicialización (IV) que se utiliza en el cifrado de bloque CBC que utilizan 3DES y AES, controlando un prefijo en el comienzo de la petición, que les ayuda a que el primer bloque que se cifra de 16 bytes tenga solo un byte desconocido. Así, con este truco, el número de combinaciones se reduce muchísimo, y se puede descifrar la primera letra. A partir de ese momento, como el cifrado CBC reutiliza la salida del primer bloque como IV del segundo bloque de 16 bytes, se puede ir controlando el descifrado constante.

Para controlar el tráfico del cliente, es necesario usar un objeto, un código, que funcione en una pestaña del navegador (que no tenga acceso a las cookies del sitio del que se quiere descifrar el tráfico). Este código podría ser un Apple Java, HTML5 o cualquier otro de los soportados por el navegador. La gracia es que estos plugins instalados en los browsers pueden abrir sockets y gestionar comunicaciones. 

Así, en una red insegura se mete este código, por ejemplo inyectándolo en un javascript que se vaya a cargar en muchas pestañas haciendo un Browser cache poissoning, y a partir de ahí, este conmponente, sin meterse para nada en medio del tráfico http-s de la página del sitio seguro (ellos hicieron la demo con Paypal), permite que se roben las cookies y se haga un hijacking. Una pasada.

Después de eso, poco queda que decir, salvo que las pizzas que nos tomamos todos juntos en Corrientes estuvieron riquísimas. Al final, he aprendido, he visto a amigos, me he divertido, y me voy con la misma sensación del año pasado ¿Podrán Leo, Fede, Pancho, Jero y Juan Pablo no ya mejorar, sino mantener este nivel en la Ekoparty 2012?

Saludos Malignos!

Hacking Remote Apps: Jailbreaking (2 de 3)

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking (1 de 3)
- Hacking Remote Apps: Jailbreaking (2 de 3)
- Hacking Remote Apps: Jailbreaking (3 de 3)
Autores: Chema Alonso y Juan Garrido "Silverhack"

**************************************************************************************************

Dame mi perfil

En el caso de Terminal Services, cuando un usuario se conecta remotamente a una aplicación, es común que se  solicite la contraseña antes de acceder al sistema, aunque también es posible que sea un usuario genérico con pocos permisos al que luego se autentica en la aplicación. En el caso de Citrix, por el contrario, es mucho más habitual que sea Citrix quién autentique al usuario, y este, cuando está viendo la autenticación de la aplicación, ya esté dentro del sistema. Esto lo vimos en la primera parte de la serie cuando analizábamos la información del os archivos de configuración ica y rdp, donde se encuentra la contraseña del usuario que incia sesión.

Es por tanto muy común que el objetivo del atacante sea conseguir el escritorio o el explorador de archivos o el cmd.exe que se encuentran por debajo. Están accesibles, solo hay que romper el jailbreak que ha creado el administrador e intentar llegar a ellos.

La melodía del desktop

La primera idea es intentar ejecutar Ctrl+ALT+Supr para conseguir acceso al administrador de tareas y obtener la posibilidad de ejecutar explorer.exe para conseguir el escritorio completo del usuario sobre el que se ejecuta la aplicación Citrix o RDP. Las melodías del piano son fáciles:

Figura 4: Ctrl+F3 y ejecutar explorer.

Ctrl+Alt+Supr se puede sustituir por AltGR+Supr, pero también por Ctrl+F1 e incluso llamar directamente al Administrador de tareas con Ctrl+F3. Si alguna de estas combinaciones no está controlada de forma correcta. Se consigue fácilmente llegar al desktop completo del sistema... ¡Y sin haber roto la media de seguridad de usuario y contraseña!, lo que haría que no fuera un delito, ¿no?

La melodía de la consola

Si el escritorio está difícil, y nos han cerrado el camino del administrador de tareas, no desesperes. Siempre queda la posibilidad de conseguir un explorador de archivos o una consola del sistema. Para ello, el objetivo es buscar cuadros de diálogo de Abrir/Guardar para intentar utilizar la opción de Abrir del botón derecho sobre una consola (cmd.exe, explorer.exe, ps.exe, etc...). La partitura en esta ocasión consiste en buscar los menús de las aplicaciones y usar los atajos de teclados habituales para guardar o abrir con Ctl+O, Ctl+S, etc...

Figura 5: Un cuadro de diálogo de guardar

Si consigues uno de esos cuadros de diálogo, puedes probar a usar el botón derecho para crear un nuevo fichero acceso directo y la opción de abrir. Para moverte por el sistema se puede hacer uso de las variables de entorno ya comentadas, %userprofile%, %systemdrive%, etc... lo que permitiría cotillear los ficheros del sistema y descubrir siempre cosas interesantes.

Pide ayuda

Por supuesto, si faltan cuadros de diálogo, recurrir a la ayuda suele ser siempre interesante, ya que desde allí se van a poder buscar enlaces que apunten a aplicaciones internas o a URLs de Internet, que abrirán el navegador por defecto del sistema permitiendo tener una consola del sistema.

Figura 6: Enlaces a URLs en la ayuda que abren navegadores

Si se consigue abrir el navegador, siempre se puede tener una consola en local del sistema que funcione como un explorador de archivos. En este caso, una con Netscape

Figura 7: Listado local de archivos a través del navegador

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking (1 de 3)
- Hacking Remote Apps: Jailbreaking (2 de 3)
- Hacking Remote Apps: Jailbreaking (3 de 3)

**************************************************************************************************

Identity Spoofing para ligar con one-single-night girls

La historia no es mía, pero la he contado muchas veces al calor de los Tochuelo's moments porque es de las más ingeniosas y divertidas que he oído, y creo que es digna de los mejores ingenieros sociales en el arte del “exploiting girls” mediante una suplantación de identidad que permita obtener una elevación de privilegios.

Todos sabemos lo difícil que es ligar en esta nuestra profesión de informático, pero si encima aún no has empezado la dura escalada en la carrera laboral de tragar, lo tienes aún mucho peor. Para solucionar este problema siempre puedes ir al gimnasio y cultivarte unos bonitos cuadraditos en el abdomen, poner superbuenorro .... o intentar ser ingenioso.

La historia que ocupa hoy aquí es la de dos jóvenes universitarios, a los que dejaré en el anonimato de momento, que se dedicaban a la divertida tarea de recolectar las tarjetas de presentación, es decir, las business cards de amigos/conocidos/personas que, por suerte del azar del destino o más tragaderas completadas, se encuentraban en una posición laboral más vistosa a los ojos de las chicas de one-single night. 

Conviértete en el CEO de Google

Así, en su cartera llevaban las tarjetas de presentación de amigos trabajando en Microsoft y Yahoo!. En un viaje por el norte de Europa decidieron que para ligarse a dos mujeronas de mal vivir y bien vestir en un sitio VIP mega cool, decirles que eran estudiantes no iba a quedar muy apañado, así que optaron por sacar las tarjetas de presentación de amigos, hacer un Spoofing de identidad, y presentarse como ingenieros de Microsoft y Yahoo!.

La cosa no fue nada mal y el exploit salto el DEP, el ASLR y si nos ponemos hasta EMET, que la historia que vino después solo podría narrarse en un blog con control parental activado, por lo que podríamos resumir con que todo fue un éxito total. El único problema que tuvieron es de encontrarse en la triste situación de avisar a sus amigos, especialmente a uno de ellos que, con una vida más asentada, podría sufrir algún tipo de percance si a una  las “víctimas del engaño” se le ocurría llamar por teléfono o enviar un mensaje SMS que fuera interceptado por el (la) IPS del dueño de la business card usurpada.

La llamada fue algo como: “Si te llama una Noruega tú ni caso”.

Desde entonces tengo especial cuidado de a quién le doy mi tarjeta de presentación, ya que si bien un ingeniero social bueno no dudaría en hacérsela él mismo, darle las tarjetas a alguien es ponérselo demasiado sencillo. Al final, las tarjetas de información no van “firmadas digitalmente” y la gente tiende a creer que los datos allí reflejados son verdad. Si tu vida es un truño… colecciona tarjetas de presentación, y si tu vida no va mal… no se la des a nadie que pueda querer usurparte.

Por otro lado, me gustaría recordar que este método está pensado para relaciones one-single-night. Es harto peligroso hacer uso de este sistema para ligar con chicas de one-life. Así ten cuidado y saca los exploits solo cuando no puedas conseguir una elevación de privilegios mediante la inclusión voluntaria y por méritos dentro del grupo de "Administrators"

Saludos Malignos!

Un poco más sobre DUST y un logo

El código de la primera versión de DUST hace tiempo que lo pusimos disponible para que lo probara el que quisiera, y aunque aún no es final y da algunos problemas, ya os permite ver cómo está montada la idéa. Todo aquel que lo quiera bajar y estudiar, lo tiene disponible en: Dust Project.

A mí me gustaría darle una vuelta más al proyecto, y poneros un manual detallado de cómo utilizarlo, pero si lo pruebas y nos das feedback te lo agradeceremos infinitamente. Además, aprovechando que os hablo de DUST, me gustaría mostraros el logo que nos ha enviado el gran Sorian para el proyecto, que a mí personalmente me gusta mucho. ¿Os mola?

Yo, mientras vosotros vaís probando cosas, aprovecharé para seguir poniéndome gocho-pocho a dulces de leche, alfajores, asados, empanadas, bifes y vacíos acá en la Argentina, para volver, como God rules, hecho una FOCA.

Saluodos Malignos!

Hacking Remote Apps: Jailbreaking (1 de 3)

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking (1 de 3)
- Hacking Remote Apps: Jailbreaking (2 de 3)
- Hacking Remote Apps: Jailbreaking (3 de 3)
Autores: Chema Alonso y Juan Garrido "Silverhack"

**************************************************************************************************

Caminos al servidor

Una vez que se conocen todas las aplicaciones publicadas en un servidor Citrix o Terminal Services, cada una de ellas se convierte en un posible camino para llegar al sistema operativo del servidor en el que están ejecutándose lo que las convierte en un camino que permita acceder a información sensible.

Cuando el administrador del sistema decide publicar Excel, o una aplicación a medida en un servidor Citrix o Terminal Services, está dejando que un usuario remoto ejecute código dentro de su servidor. Ese código que forma una aplicación en Windows está haciendo uso de las API y los componentes del sistema operativo, y por tanto está íntimamente ligado al sistema operativo del servidor.

Cualquier conexión que la aplicación realiza con el sistema operativo que no esté controlada por el administrador puede suponer un serio dolor de cabeza para la seguridad del sistema. Un simple cuadro de diálogo de abrir archivo se puede convertir en el punto por el que un atacante consigue un explorador de archivos para ver los datos de otros usuarios, o la forma de ejecutar una consola PowerShell en el equipo que le permita vagabundear por los archivos de configuración de otras aplicaciones que se sirvan desde ese equipo, o incluso de los recursos compartidos de red accesibles desde esa máquina.

Figura 1: Creación de un shortcut a CMD.EXE desde el cuadro de diálogo de Abrir fichero en una aplicación Citrix. Con la opción del botón derecho "Abrir" sobre el shortcut se puede conseguir luego el acceso a la consola.

Es por eso que, antes de ponerse una aplicación en un Citrix o un Terminal Services debería pasar por una auditoría de seguridad, algo que, por desgracia, todavía no ha sido tomado en serio por muchas empresas. Así, mientras realizan test de intrusión periódicos a aplicaciones web, las herramientas publicadas por servicios de terminal quedan al margen de estos, lo que hace fácil que queden caminos por los que se pueda producir una fuga.

La jaula y el jailbreak

La misión del administrador, por tanto, es conseguir construir una jaula para la aplicación. Una configuración de seguridad de la aplicación que corte todas las conexiones no autorizadas, como hipervínculos que puedan ser utilizados para abrir el navegador, cuadros de dialogo con opción de llamar a los menús del botón derecho que permitan llamar a una consola WMI, etc... Cada punto se debe cortar de manera diferente. Unas veces usando ACLs, otras Software Restriction Policies, otras renombrando ficheros de ayuda o haciendo auténticos desaguisados que, una nueva actualización de un Service Pack obliga a revisar. 

El problema principal es que en un sistema operativo como Windows Server 2000/2003/2008 existen muchos posibles caminos para poder saltar de la aplicación al sistema operativo. Algunos de ellos creados por el programador de la aplicación que hace uso de un determinado componente del sistema, otros simplemente porque el sistema es así. Además, para más complicación, un nuevo Service Pack, un nuevo update de un componente por medio de la instalación de algún sofware o una versión diferente del sistema operativo, hacen que cambien las conexiones, y que aparezca una nueva combinación de teclas, o un nuevo enlace en la ayuda de un componente que abra la puerta al navegador.

Playing the Piano

El atacante, por su parte, realizará el proceso contrario, es decir, revisará en busca de todos los paneles buscando por hipervínculos para invocar al navegador, como por ejemplo llamando a la ayuda con F1, o en Windows Server 2008 llamando a una aplicación que no exista, para recibir un cuadro de diálogo que ofrece un bonito botón de "Ayuda".

Figura 2: Ayuda de Terminal Services cuando no se encuentra la aplicación invocada.

En Windows Server 2008, otra de las posibilidades es llamar a las sticky keys, mediante la pulsación continuada de las teclas de mayúsculas, lo que abre otro cuadro de diálogo con un enlace al Centro de Accesibilidad, que está dentro del panel de control.

Figura 3: Sticky Keys en Windows 7 y Windows Server 2008

Pero el número de posibilidades que hay que capar es infinito. El atacante podrá utilziar todas las variables de entorno conocidas del sistema como %systemdrive%, %systempath%,  %userprofile%, llamar a todos los accesos directos conocidos y por conocer, como CTL+Alt+Supr, Ctrl+f1, Ctrl+F3, etc... es lo que nosotros llamamos "Tocar el piano".

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking (1 de 3)
- Hacking Remote Apps: Jailbreaking (2 de 3)
- Hacking Remote Apps: Jailbreaking (3 de 3)

**************************************************************************************************

Se publican datos de algunos GEO

Mientras aún se sienten las consecuencias de la publicación de datos personales de escoltas, y algunos miembros de Anonymous se separan totalmente de esa intrusión, se han hecho públicos los datos de algunos GEO por Internet, lo que a buen seguro traerá cola.

De nuevo, la intrusión y la acción es reivindicada por alguien que dice ser de Anonymous, con el texto:

"Anonymous cumple su promesa y publica un listado con nombres del GRUPO ESPECIAL DE OPERACIONES DE LA POLICIA G.E.O. y ademas advirte a la fiscal de publicar nuevos datos de caracter reservados."

La verdad es que todo esto tiene muchas interpretaciones distintas y, como ya hemos dicho, una supuesta nota de prensa de Anonymous decía que ellos no han hecho nada, que esto es una cortina de humo, y que los datos publicados están en el BOE.

Saludos Malignos!

No Lusers 96: ¡Te encontraré cabeza de lata!

Siempre me maravillaron los encuentros entre villanos y héroes marvel. Y los requiebros que hacían los guionistas para conseguir que se localizaran los unos a los otros para tener una batalla. Releyendo hoy en días las historias que llenaron mi infancia en los años 80 hoy parecen ridículas. Con cosas como Creepy, el escándalo de la localización en iPhone, el traceo IP que se hace por javascript y la huella digital, o los servicios de Find my de los smartphone...junto con Google Latitude, esto lo tendrían chupado, y podrían hacer guiones como el mío.

Saludos Malignos!

Asegúr@IT Camp III: Reserva tu entrada antes del 21

Mañana, día 20 de Septiembre de 2011, termina el primer plazo de reserva para el Asegúr@IT Camp 3, así que si quieres ahorrar algo de dinero debes registrarte hoy sin falta. Como ya sabéis, la lista de ponentes y actividades está casi cerrada al 100%. Contaremos con Sergio de los Santos, con Mikel Gastesi, con Dani Creus, con Pedro Sánchez, con Claudiu Horatiu, con Nikotxan, con Telefónica, Spectra, Bitdefender, Chema Alon... calla, que ese soy yo, y el gorro de rayas, por supuestísimo. 

Además, la entrada incluye la cena del viernes 21 de Octubre, el desayuno, la comida y la cena del sábado 22 de Octubre y el desayuno del domingo 23. Alojamiento en bonitas cabañas de cuatro personas, con su saloncito, su baño, sus camitas, su porche con terraza, su cocina y su nevera para mantener las cosas frescas y su calefacción por si hace fresquete.

Esta es la cabaña en la que te alojarás

En el camping tendremos también la WiFi gratis de la cafetería, su zona de relax y partidas de cartas, y la discoteca con nombre medieval que tiene más peligro los sábados por la noche que Mordor en tiempo de sequía. Yo además, voy a diseñaros una camiseta No Lusers conmemorativa del evento similar a la que llevé en la NoCONname de este año. Ya sabéis que yo soy como Agatha Ruiz de la Prada: "Diseño mi propia ropa".

Tendrás una camiseta de No Lusers

Habrá también competiciones deportivas a alguna cosa, y lo más importante de todo... Estaréis vosotros. Así aprovecharemos para charlar en los desayunos, en las comidas, en las cenas, para contarnos anécdotas, trapos sucios y escabrosos detalles de hacking y seguridad informática de los que solo se cuentan a la sombra de tres copas de vino peleón en una mesa... (ya sabéis que a mí me dais dos copas de Tochuelo y os cuento todos los cotilleos que me sé) }:P

... y beberemos vino Tochuelo, "el que te lleva al cielo"

Así que nada, allí os espero a todos los que podáis venir, con el gorro puesto, y la camiseta de No Lusers lista. Debéis hacer el registro siguiendo las instrucciones de la web: Asegúr@IT Camp 3 Registro.

Saludos Malignos!

Ekoparty 2011: ¡Jiar ay gou!

Pues llegó el momento de llegar. Así que desde el lunes por la mañana andaré por las calles de Buenos Aires preparando la semana  de la Ekoparty. El lunes comienzan los trainings así que yo me pasaré por allí para saludar a todo el mundo y ver la que será mi sala para el training. Ese día, si lo permite la agenda y no hay ninguna novedad, me pasaré por Roots, a tomar unas cervezas como ya es costumbre. Roots es la cervecería que está en Bartolomé Mitre 1745, para que todo el que quiera tomar algo se pase por allí.

Yo voy a dar un training el Martes 20, así que hasta el día 19 te puedes apuntar, que aún quedan plazas disponibles. El training será de cómo hacer pentesting con FOCA 3.0 PRO, así que me llevaré una versión FOCA PRO para todos los asistentes, y una camiseta de Fear the FOCA que van incluidos en el precio del curso, junto con el desayuno, la comida, la merienda y el amor maligno. Tienes toda la información del training en Pentesting con FOCA Pro. Después, por supuesto, lo habitual será visitar Roots otra vez.

El miércoles comienzan los días agitados de la Ekoparty 2011, con un día especial con los Workshops, que yo aprovecharé también para aceptar la invitación del Asado que nos han preparado desde Immunity. Nico, me ahorro el mail de confirmación y aprovecho el post para decirte que OK, que me apunto al asado ese }:))

El jueves será día de charlas a saco, así que estaré por Ciudad Cultural Konex para ver un día con César Cerrudo, Jaime Andrés Restepo "Dragón", Mariano Nuñez, Deviant Ollam, y el gran Rubén Santarmata entre otros, para acabar en el pub donde Mariano paga una ronda de cervezas a todo el mundo. 

El viernes me toca dar la charla a mí y hacer de telonero en un día donde todos esperamos con expectación la charla de Juliano Rizzo, flamante ganador de un Pwnie Award en la BH 2011, donde mostrará el crypto attaque a Http-s en que ha estado trabajando. Y de ahí a la fiesta de la Ekoparty, donde me pasaré a mover el esqueleto un rato y tomar un algo por allá.

Esa es mi agenda de "trabajo" para esta semana, así que si me has pedido que te lleve algún libro o camiseta avísame dónde te va mejor para que te lo lleve que ya sabes donde me vas a encontrar. Por supuesto, en la Eko siempre puedes asaltarme y nos tomamos un algo en cualquier momento }:)) De todas formas, si hay algún cambio de agenda y puedo conectarme a Internet, intentaré avisar por mi cuenta twitter @chemaalonso.

Saludos Malignos!

La huella digital de tu conexión

Se ha hablado mucho ya en el pasado del Proyecto Panopticlick de la Electronic Frontier Foundation, que trata de identificar de forma única un navegador entre un mar de usuarios conectándose a Internet pero yo quería dedicarle una entrada hoy para introduciros en el proyecto Japi Tracing que han hecho mis alumnos del Master de Seguridad de la UEM para “tracear usuarios al estilo Google”. Vayamos al tema.

Huella digital de la conexión

Un navegador, en pro de la usabilidad máxima de un interfaz de usuario web, permite que por medio de JavaScript, Java, Flash y un montón de plugins, se acceda a información del navegador aparentemente inofensiva, como son la resolución de la pantalla, el valor del campo User-Agent, el idioma del sistema operativo, si acepta o no acepta cookies, las fuentes cargadas en el sistema o los plugins activados en el navegador. Todos estos valores, de por sí, no ofertan información sensible aparente para la seguridad y la privacidad del usuario... pero.... ¿es esto así?

Lo curioso de esto es que, algo tan tonto como las fuentes del sistema se ve afectado por el software que está instalado en el equipo, es decir, que conociendo determinadas fuentes se puede conocer qué programa o programas se han instalado en el equipo. Sin embargo, eso no es lo importante en este caso, sino que dos equipos gemelos, dependiendo de qué programas hayan instalado van a terminar con un conjunto de fuentes distintas, que los diferenciarán uno del otro.

Así, en el Proyecto Panopticlick se identifica, siguiendo unas métricas, cuál es la probabilidad de que otro equipo tenga las mismas fuentes activas en una conexión del navegador. En mi caso, 1 de cada 125.609 equipos tienen las mismas fuentes que yo. Teniendo en cuenta el idioma de mi sistema operativo, la versión, la resolución, el valor de User-Agent, si tengo activadas las cookies y la región geográfica desde la que me conecto, esta información me hace prácticamente único en España.

Luego, esos datos conforman la huella digital de mi conexión en un instante de tiempo. Es cierto que mi huella digital puede cambiar a medida que se instala nuevo software o se cambia la configuración del sistema, y que un usuario puede contar con varias huellas digitales de conexión si utiliza varios navegadores, pero aún así, el abanico de huellas puede ser muy reducido y lentamente cambiante.

¿Qué navegador me hace más traceable?

Yo he hecho el test con tres navegadores distintos, y el que me hace más “unico” y por tanto más traceable es Apple Safari, que me obtiene que solo 1 de cada 1.758.530 equipos tienen la misma configuración que yo. Es decir, que aquí en España, que somos unos 30 millones de navegantes, solo hay unas aproximadamente 20 personas como yo que tienen mi misma huella digital de conexión cuando me conecto con Safari. Pocas, pocas.

Figura 1: 1 entre 879.263 con Chrome

Figura 2: 1 entre 1.758.528 con Firefox

Figura 3: 1 entre 1.758.530 con Safari

Volviéndonos paranoicos

Ahora, hagámoslo más fácil para el “vigilante”. Supongamos que tenemos una cuenta de... no sé, Google, Facebook o WindowsLiveMail y que nos hayamos conectado a ella desde nuestro equipo habitual, con nuestro navegador habitual... y que estos servicios guardan en los logs de conexión nuestras huellas digitales de conexión.

En este hipotético caso, existiría un "registro de huellas digitales de conexión” asociadas a nuestro perfil. Si ahora nos desconectamos de nuestra cuenta y nos conectamos a otro sitio que ha recogido estos datos con un simple javascript (como los muchos que cargan todas las webs de hoy en día), ¿podría saberse quién fue el que se conectó? Pues, evidentemente, si se cruza esa huella de conexión digital con la base de datos de usuarios y huellas se podría llegar a saber.

Ahora imaginate una película de ciencia ficción

Si alguien tiene monitorizados los logs de “huellas de conexión” podría estar buscando la huella de un usuario en concreto, saber desde qué dirección IP se ha conectado, llamar al ISP y obtener la ubicación GPS de esa dirección en minutos y...¿apuntar los satélites a esa zona geográfica?

Desde que se conocen este tipo de sistemas, Javascript y los plugins de lo que sea, se han hecho muy poco amigos de los amantes de la privacidad de los usuarios, pero... ¿Se puede vivir sin javascript y sin plugins? Pues en un porcentaje pequeño de sitios sí que se puede vivir y la funcionalidad permanece intacta, pero en otro montón de sitios no se puede, incluidos sitios de la administración pública – yo me quejo de la Española – donde deberían estar mucho más restringidos – y fomentan que los usuarios habiliten javascript y los plugins, aumentando la facilidad de encontrar usuarios voluntariosos de dar información de su huella digital de conexión.

Prueba tu huella, y comprueba cuánto de traceable eres a partir de tus diferentes navegadores, y recuerda, si haces algo malo... puede que te incrimine tu huella digital, así que revisa tus procesos de anonimato.

Saludos Malignos!

Al pan, pan, y al mulero, mulero

Para que vamos a andar con leches y operetas. Para que marear la perdiz si lo que parece es lo que es. Para que vamos a perder el tiempo con requiebros de playboy de segunda buscando follar bajo el fino velo del amor. Las cosas tienen que ser más directas, como cuando nosotros propusimos crear la red social Meter.com, porque lo que la mayoría busca no es "hacer amigos" ni "networking"... no, no, que ya nos conocemos.

Así que, en un arranque de sinceridad los reclutadores de muleros han optado por dejarse de milongas y tapujos y poner las cosas claras y el chocolate espeso y han lanzado una campaña de spam buscando a gente con la capacidad intelectual necesaria para entender lo que tienen que hacer.

Así que, si aceptas este trabajo ya sabes que tu misión es mover dinero y punto... No preguntes. No quieras saber cuál es el negocio, ni te busques justificaciones de ningún tipo. Además, para los que siempre habéis tenido la duda de si se gana pasta, pues ahí tenéis los números, unos 2.500 € al mes, trabajando 4 tardes al mes.

Lo que os tiene que hacer reflexionar es que, si el trabajo es tan cojonudo, ¿cómo es que siempre andan buscando nuevos "movedores de dinero"? ¿Es que la gente se cansa de ganar pasta y lo deja? Curioso, ¿verdad?

Saludos Malignos!

Hackers publican la BBDD de escoltas de presidencia

Hace unas horas se ha publicado en Pastebin una referencia al hackeo de una base de datos del Ministerio del Interior Español con información sobre los escoltas de presidencia. Todos los datos han sido puestos en un fichero en Internet con Nombres, Apellidos, DNIs y datos personales, lo que pone en riego la privacidad personal de estas personas.

En estos momentos el fichero está disponible, con lo que todo el mundo puede acceder a esta información sin ninguna restricción. La autoría de la intrusión ha sido reclamada por un miembro de Anonymous, que ha puesto el siguiente mensaje en Pastebin.

HAcker anonymous rompen el sistema de seguridad del MINISTERIO DEL INTERIOR y se hacen con bases de datos confidenciales:       Personal Escolta de Presidencia del Gobierno Zapatero

Tras ver ese mensaje, es probable que esta intrusión les haya permitido obtener más datos del Ministerio del Interior Español, lo que significaría una peligrosa fuga de datos de información confidencial.

Saludos Malignos!

No Lusers 95 - La mejor defensa

Esta tira va dedicada a dos "enamigos" que me ha dado esta profesión. ¡Gracias!

Saludos Malignos!

Asegur@IT 3 ya está aquí: Invade La Comarca

Un año más, el evento más esperado entre los Orcos de la Tierra Media ya está aquí. Durante el fin de semana del 21, 22 y 23 de Octubre tendrá lugar la invasión de la Comarca de El Escorial en el próximo Asegúr@IT CAMP 3 para gozo y regozo entre los árboles, los bosques y l@s seres del inframundo que habitan las noches de las discotecas de los campings más nocturnamente alevosos. Así, una vez más nos iremos a las cabañas a disfrutar de un fin de semana de conferencias, charlas, cabañas y lo que surja - y que la experiencia nos dice que siempre acaban surgiendo muchas cosas-. 

Para ello, el viernes por la tarde se llegará al inclito Camping de El Escorial, para proceder al reparto de los lujosos camastros de las espectaculares cabañas de madera. Después de que las más lozanas e hirsutas partes de los cuerpos sean convenientemente lustradas, saneadas y perfumadas, nos juntaremos todos en la taberna para deglutir un rancho a la medida de los Orcos más robustos de los profundos departamentos de IT, para concluir con un salsipuedes de las copas antes de encamarnos a descansar.

El sábado, con el comienzo del alba, los Orcos limpiarán sus bonitas legañas para irse en pulcra manada a disfrutar del rancho más importante del día, el desayunaco. Tras reciclar las aguas internas y limpiar como es costumbre las tripas orquenses, ya meados, desayunados, aseados y fumados comenzará el ciclo de charlas en las que participaremos:

Pedro Sánchez y Horatiu Claudiu de Bitdefender, Mikel Gastesi y Dani Creus para presentarnos su libro de Fraude Online, Sergio "Pajarraco" de los Santos para hablar cuanto quiera de lo que quiera y presentarnos su libro de "Máxima Seguridad en Windows", Niko "el ilustre creador de Cálico Electrónico" que vendrá a enseñarnos sus dibujitos, animaciones y últimas aventuras de sus personajes en Nikotxan, alguien de nuestra ilustre multinacional Telefónica y el que suscribe este texto - que algo se sacará de la chistera o a algo liará a alguien -.

Por supuesto, entre medias de tan prolijo abanico de buenos discursos, los Orcos buenos se irán a papear un buen rancho pancho seguido de una corta plegada de oreja que prepare la mente y el cerebelo para la sesión de la tarde.

Después... ya sabéis, besos, risas, excesos... como van a caber tantos besos... en un camping.

Es decir, rancho de cena, copas de post-cena, copas de post-copas y todos los Orcos contentos a abrazarse y besarse que con los vapores del "tipical orujo" y las bestias pardas importadas de todos los rincones de estas nuestras Españas hace que las noches suelan acabar así.

Al ratito siguiente de acabar la noche, es decir, el domingo de "bien prontito" habrá un desayuno conjunto con resaca incluida. Todo para atesorar las fuerzas necesarias y tomar el camino de vuelta con la experiencia a la chepa.

Toda esta agenda estará acompañada de una bonita camiseta de No Lusers y un bonito libro de Aplicación del Esquema Nacional con tecnologías Microsoft, más alguna sorpresa extra.

Por último, este año, debido a que - aunque parezca mentira - nos han subido los precios de todo, hemos decidido premiar a los más tempraneros en el registro, así que hemos puesto precios de pase de día, precios económicos para los que se registren antes del día 20 de Septiembre, y luego irán increscendo poco a poco. Para los estudiantes universitarios, jóvenes, periodistas y bloggers, y (ex-)alumnos del FTSAI tendremos un detalle del 5% de descuento. Tienes toda la información en la web del Asegúr@IT CAMP 3.

Así que, si ya has venido en las ediciones anteriores sabes lo que hay, si no has venido nunca tienes dos opciones: que te lo cuenten o vivirlo. Nos vemos por allí, que yo estaré por allí, y tal vez protagonice uno de mis Momentus Ridiculous... }:))

Saludos Malignos!

PD: Como el año anterior, hemos contratado a Eventos-Creativos para que os ayuden con los viajes por si tenéis dudas de rutas, horarios, mapas, etcétera...

- Asegúr@IT Camp

- Asegúr@IT Camp I: Las charlas online

- Resumen Asegur@IT Camp I en modo twitter

- El Dr Birufilla en el Asegúr@IT Camp I

- Asegúr@IT Camp 2

- Asegúr@IT Camp 2 is over

El truco de la barra

Supongo que para muchos de vosotros este truco será conocido, pero para un servidor ha sido un nuevo descubrimiento. La verdad es que suelo jugar mucho con Google, pero no me había topado nunca con este comportamiento, y cuando me he topado con él por casualidad - bueno, sí he de confesar que andaba enredando con alguna que otra web por eso de no perder la forma - he pensado "¡Cohone! ¡Y yo sin saberlo!"

Dejadme que os explique la situación. Si sois de esos que os gusta sacarle la puntilla al hacking con buscadores [¡Comprad el libro de Hacking con Buscadores en primer lugar!] y andar afinando la última query para encontrar alguna víctima curiosa, supongo que os habrá apetecido muchas veces buscar URLS por un puerto concreto. Yo, como buen aficionado a esto sí que he tenido esos "malignos" pensamientos, y he probado diversas cosas. 

Vamos a un caso explicativo: Supongamos que un niño o niña quiere encontrar a su mamá o papá que vive en los/las Alpes, y sabe que la URL está escondida tras el puerto 444 de un dominio .es. ¿Cómo encontrar esas URLs con Google?

Si has seguido el enunciado hasta aquí, estarás ya pensando en las soluciones. Estas son las pruebas que yo hice, como buen Luser.

1) Busquemos en dominios es cuyo site tenga el puerto

Figura 1: Agua... 0 resultados

2) Busquemos en dominios .es cuyo site tenga el puerto

Figura 2: Agua.... 0 resultados

3) Busquemos en dominios .es pero y con URL restringimos por el puerto

Figura 3: Agua... muchos resultados pero sin puertos.

Hasta ahí iban mis pruebas hasta ahora, pero jugueteando un poco, resulta que, si pones una barrita al principio del site... todo sale como la seda.

Figura 4: Perfecto... ahí están las URLS con puertos 444

Así que, encontrar paneles de administración por el puerto 8080 o impresoras indexadas por sus puertos es mucho más sencillo.

Figura 5: 0 resultados sin barrita

Figura 6: Chorromiles con la barrita

¿Soy el único Luser que no conocía este truco? Si alguno de vosotros no lo conocía, por favor, que me lo diga para que me sienta un poco mejor... };)

Saludos Malignos!

Más sobre FOCA 3

Sí, sabemos que muchos estáis ansiosos para probar la FOCA 3, pero aún estamos a la espera de que StartSSL solucione sus problemas con el hacker iraní para que podamos distribuirla. Mientras tanto, aprovecho para describir alguna de las funciones que trae la nueva FOCA 3, además de todo lo que ya os anticipé en la FOCA 2.7 (Parte I y Parte II) y el cambio de interfaz que os enseñé de la FOCA 3.

Respecto a la versión que está publicada actualmente, la 2.6, tiene añadido lo siguiente:

- Re-styling del interfaz.

- Panel de tareas multi-hilo.

- Búsqueda de puertos de squid proxy.

- Búsqueda de registros de servicio en DNS.

- Búsqueda de políticas anti-spam del dominio.

- Búsqueda de ficheros ICA y RDP: Usuarios, software en ellos y adición rol de RemoteApp.

Y algunas cosas más:

Escaneo de .DS_Store

Con el auge de los usuarios de Mac OS X, y que hay que hacer algunas cosas divertidas para desactivar la creación de los ficheros .DS_Store, nos hemos dado cuenta que es muy común encontrar estos ficheros .DS_Store en servidores web, para poder listar el contenido de los mismos. Tanto es así, que hemos puesto una opción para hacer una búsqueda directa en todos los directorios encontrados.

Figura 1: Ficheros .DS_Store descubiertos

El ratio de resultado es bastante bueno, mucho mejor incluso que la búsqueda de ficheros .listing, y sí, los hemos encontrado en dominios que "os podéis imaginar".

Fingerprinting de tecnologías y tipos de errores y robots.txt

Hemos ampliado el número de tecnologías a analizar, y se generan errores 403, 404 de JSP, 404 de TCL, 404 normales, además de los 404 de .aspx que ya analizaba. Además, hemos ampliado el número de extensiones a probar, así si aparece un .do, un .server, un .jsf o un .servlet aplicamos el mismo truco que con JSP que salen muchos errores 404 de servidores Java. Además, para generar más URLs, FOCA busca los ficheros robots.txt en cada dominio, genera las URLs y se pasan al motor.

Figura 2: Robots.txt, búsqueda .DS_Store, .listing, métodos inseguros
y múltiples patrones para listado de directorios abiertos

Además, como se puede ver en el panel, con el caracter | se pueden añadir múltiples patrones para reconocer el listado de directorios abiertos.

Análisis de Leaks 

Una de las funciones más chulas que le hemos metido a la FOCA es la de analizar el código fuente de las páginas solicitadas buscando las expresiones regulares de modsecurity_crs_50_outbound.conf, de tal manera que si aparece algún leak de MySQL, Oracle, Java, etc... marcará la página e irá al árbol de vulnerabilidades. Actualmente FOCA FREE solicita muy pocas páginas, luego la búsqueda de leaks se hará en la página principal de cada dominio, el fichero robots.txt, el .DS_Store, el .listing y las páginas de respuesta a las pruebas de errores 403, 400, etc...

Figura 3: Leaks descubiertos en un análisis

Escaneo de errores [Sólo en Pro version]

En la versión PRO, el número de páginas que se solicitan se puede disparar, con lo que el número de leaks que aparecen son mucho mayores. Para ello hemos metido, además de la búsqueda de backups que ya estaba en la versión PRO de la FOCA 2.6, dos escaneos en busca de la generación de errores.

Figura 4: Análisis de errores

El primero de ellos es un escaneo de errores de conversión en las URL parametrizadas, muy común en aplicaciones PHP, como ya os publicamos en el artículo de Data Type Conversion Attack en PHP. El segundo de ellos genera una serie de peticiones cambiando los valores en todos y cada uno de los parámetros descubiertos en las URL parametrizadas, así realizará:

- Una petición con el parámetro vacío.

- Una petición con una comilla simple.

- Una petición con comilla doble.

- Una petición con un número muy grande para generar un fallo de integer overflow 

    (como utilizamos en los ataques de Aritmethic Blind SQL Injection)

- Una petición con una cadena con saltos de línea y caracteres nulos %0d%0a%00.

- Una petición con un string en los valores numéricos del tipo F0C4F0C4.

- Por último una petición con ; y otra con ALT+126.

Vamos, que lo que se busca es comprobar si están bien controlados los errores de datos.

Añadir Shodan y Robtex al algoritmo

Para hacer un descubrimiento de más servidores de forma automática, se ha añadido la opción de lanzar el escaneo de segmentos con Shodan y Robtex como última parte del algoritmo principal, lo que permite descubrir más servidores y lanzar más tareas con solo un clic.

Y algún detalle más como el captcha de Exalead, y solución de los bugs que nos habéis ido pasando, así que espero que todos la podáis disfrutar pronto.

La versión PRO se entregará a todos los asistentes al training de la Ekoparty que voy a impartir el próximo día 20 de Septiembre en Buenos Aires, y en los seminarios online que impartiré los días 5 de Octubre en español y 6 de Octubre en inglés.

Saludos Malignos!