martes, diciembre 31, 2013
lunes, diciembre 30, 2013
Cae red de "Hackers" cibercriminales dedicada al carding
Publicado por Chema Alonso a las 9:04 a. m. 15 comentarios
Etiquetas: carding, cibercrimen, fraude online, Latch
domingo, diciembre 29, 2013
Proteger WordPress frente ataques de fuerza bruta
En los ataques basados en fuerza bruta, los avisos que llegan son habitualmente intentos a usuarios por defecto de este tipo de sistemas, como admin, administrator o root... hasta que un día me encontré la desagradable sorpresa de que uno de los ataques ya había acertado con mi usuario válido. En ese momento decidí, por si alguno de ellos llegaba a tener suerte con mi contraseña, instalar el plugin de Latch para Wordpress y evitar problemas. Así, aunque alguien lograra dar con ella no podría entrar nunca en el sistema sin mi aprobación.
Figura 1: SDKs y Plugins de Latch. El plugin de WordPress es el primero. |
Figura 2: Opciones de enumeración de usuarios en WordPress con WPScan |
El problema ya fue publicado por aquí hace tiempo en el artículo que se tituló "Regístrate en WordPress y evalúa su seguridad". Se trata de llamar por URL a la variable “author” y buscar el “id” manualmente comenzando por 1 y así sucesivamente para ver a qué nombre de usuario redirige y qué nombre de usuario aparece en el campo title de la página destino.
Figura 3: ?author=1 redirige a /author/admin |
Cualquier usuario con privilegios de administrador normalmente estará entre los diez primeros, por lo que serán esos los que habrá que usar para hacer los ataques de fuerza bruta. El que puedan averiguar los nombres de los usuarios puede ser utilizado también para hacer ataques basados en contraseñas fijas y variaciones de usuarios, lo que me preocupaba bastante.
En primer lugar pensé que con cambiar el “alias” en la configuración de usuarios de WordPress - ya que el sistema asigna por defecto para el alias el mismo nombre del usuario del login dejándonos vendidos - bastaría para engañar a los malos que usen este tipo de scanners.
Figura 4: Alias cambiado a admin para ocultar el nombre de usuario administrador |
Nada más lejos de la realidad. Después de poner un alias engañoso - lejos de este común "admin" - para el usuario válido administrator, comprobé que sí que se muestra en el title de la web el nuevo alias falso, pero no en la dirección URL, que sigue saliendo el usuario con el que se efectúa el proceso de login.
Figura 5: Cambiar el alias cambia el title pero no la URL |
Después de mucho buscar y probar cosas como bloquear desde el fichero .htaccess, modificar código fuente del propio motor de WordPress, etcétera... Ninguna solución era efectiva y funcional, hasta que me di cuenta de que modificando un campo de la tabla “users” en la base de datos que utiliza el motor WordPress se solucionaba el problema. Antes de ponerme a intentar solucionar este problema ni me había fijado en que estaba ahí ypor supuesto no podría conocer para que se podía utilizar. Dicho campo es el “user_nicename”, es decir, el "nombre bonito" para un usuario.
Figura 6: Establecimiento de user_nicename a un userfalso |
Con solo este cambio en la base de datos es posible solucionar la forma con la que nuestros WordPress muestran por defecto los nombres de usuarios. Si ahora hacemos la misma prueba, obtendremos que en el title aparece el alias, mientras que en la URL se puede ver en nicename del usuario.
Figura 7: Se ha conseguido ocultar el nombre de usuario en el title y en la URL |
Tal vez existan otras soluciones, pero no me ha sido fácil encontrarla. Esta solución funciona perfectamente y me ha permitido que los últimos ataques de fuerza bruta no me afecten. Espero que os sirva a todos los que no conocíais esta solución, y os evite unas horas trasteando como tuve que estar yo.
Si te sirve de algo mi experiencia, dedica tiempo a fortificar tu Linux, revisa los detalles de seguridad tu Apache, actualiza tu WordPress a la última versión y ponle pocos plugins que luego aparecen los bugs de XSS o CSRF a la mínima que te descuidas - protege también el listado de los plugins que tienes instalados -, pon un plugin que te alerte de los ataques de fuerza bruta , activa Latch y pon un bonito nombre a tus usuarios de WordPress.
Saludos!
Autor: Oscar Mogarra Hita
Publicado por Chema Alonso a las 7:01 a. m. 15 comentarios
Etiquetas: Eleven Paths, Hacking, hardening, Latch, MySQL, Wordpress
sábado, diciembre 28, 2013
Un nuevo look para Chema Alonso
Figura 2: Nuevo perfil de LinkedIN de Chema Alonso |
Figura 3: Nuevo perfil de Twitter de Chema Alonso |
Figura 4: Nuevo perfil de Facebook de Chema Alonso |
Publicado por Chema Alonso a las 12:01 a. m. 45 comentarios
Etiquetas: Curiosidades, foolish
viernes, diciembre 27, 2013
Domingo 29: Documentos TV "¡Ojo con tus datos!"
Figura 1: Documentos TV "Ojo con tus datos" |
Figura 2: Nuevo Latch-Server Amstrad CPC 6128 con TV, Radio y Joystick |
Publicado por Chema Alonso a las 10:35 a. m. 5 comentarios
Etiquetas: AMSTRAD, Curiosidades, Eleven Paths, Latch, LOPD, Privacidad
jueves, diciembre 26, 2013
Carding básico: ¡Ojo con dónde metes tu tarjeta de crédito!
Figura 1: Tarjeta VISA publicada en Twitter |
Figura 2: Topics en un foro de Carding |
Figura 3: A Tina, de Colorado, le han filtrado su VISA como regalo de Navidad |
Publicado por Chema Alonso a las 8:45 a. m. 11 comentarios
Etiquetas: carding, ciberseguridad, Deep Web, fraude, fraude online
miércoles, diciembre 25, 2013
Haz que 2014 sea tu año
Figura 1: Josemaricariño os desea un 2014 lleno de proyectos ilusionantes |
Publicado por Chema Alonso a las 10:45 a. m. 10 comentarios
Etiquetas: Cómics, Humor, No Lusers, Universidad
martes, diciembre 24, 2013
Latch está integrado en Recover Messages
Figura 1: Latch en el perfil de usuario de Recover Messages |
Figura 2: Cuenta de Recover Messages en la app de Latch para iPhone |
Figura 3: Configuración de Latch en un servidor FTP con comandos Site |
Figura 4: Area developer de Latch que da acceso a SDKs y Plugins |
Publicado por Chema Alonso a las 8:50 a. m. 1 comentarios
Etiquetas: .NET, Eleven Paths, Identidad, Latch, OTP, Recover Messages
lunes, diciembre 23, 2013
Creepware: Fiarse del LED de la webcam es una mala idea
En los manuales de fortificación para Mac OS X que publica la agencia de espías norte-americana NSA también se habla de este tema, y en ellos se deja claro que lo que hay que hacer es deshabilitar la webcam de iSight y el micrófono también.
Figura 13: Víctima de Creepware que contactó conmigo el 6 de Diciembre de este año |
Publicado por Chema Alonso a las 7:34 a. m. 6 comentarios
Etiquetas: ciberespionaje, Creepware, Mac, MacBook, Malware, troyano, webcam, Windows
domingo, diciembre 22, 2013
Cálico Electrónico: Tiras Deili Electrónico 82 a 87
Figura 1: Consigue el Paper Toy oficial de Cálico Electrónico en el crowdfunding |
Y para que te eches unas risas este domingo, aquí os dejo más aventuras de Cálico Electrónico, Santa Claus, Donramon y Perchita en el periódico de Electronic City que ya todos conocéis: Deili Electrónico. Aquí van las tiras de cómic desde el número 82 al número 87.
Figura 3: Los DaddyChulos para el capítulo 3 de la temporda 5 de Cálico Electrónico |
Si esta Noche Buena no llega algún regalo a tiempo... ya sabéis que la culpa puede ser de estos dos, que en estas fechas siempre están trabajando para Santa Claus.
Publicado por Chema Alonso a las 9:55 a. m. 0 comentarios
Etiquetas: Cálico Electrónico, Cómics, Humor
sábado, diciembre 21, 2013
Epílogo
He intentado hacer resumen de este año en mi cabeza durante un par de días y no he sido capaz de encajar todas las piezas del puzzle para dotar de coherencia al discurrir de este periplo de trescientos sesenta y cinco días de mi vida. He intentado hacerlo por temática, por orden alfabético o por cualidad sensitiva. Pero es complejo separar los hilos de ese nudo gordiano cuando todo se conecta. Todo se entremezcla en una madeja de horas, minutos y segundos.
Como no sabía cómo hacerlo opté por resumir vida a partir del mejor diario de ella. Y por tanto he recordado lo que ha sido este año a base de releer las entradas que he ido escribiendo día a día en esta mi bitácora. Es fácil saber donde has estado, qué has hecho y cómo te has sentido, cuando lo has dejado escrito en algún sitio.
Este año 2013 lo comencé acelerado acabando cosas. Sabía que probablemente sería la última Gira Up To Secure así que me esforcé por hacer hueco en el calendario y cumplir con la tradición de visitar diez ciudades dando conferencias. En mi mente ya estaba el preparar el salgo a Telefónica, pero no quería acabar mal las cosas. Este año... no haré Gira Up To Secure 2014, y la echaré de menos.
También en enero comencé una nueva andadura con Recover Messages, el servicio que sirve para recuperar los mensajes borrados de WhatsApp con técnicas forenses. No pensábamos que fuera a tener tanto impacto, pero a día de hoy han sido más de 500.000 ficheros de WhatsApps los que ha procesado. Este servicio se completó más adelante con WhatsApp Anti-Delete Protection Tool y Facebook Recover, y seguramente siga creciendo en 2014.
Figura 1: Con Wardog en la RootedCON |
En Febrero sacamos los últimos libros que aparecerían bajo el sello de Informática 64, ya que estábamos pensando en crear la nueva editorial que a la postre se llamaría 0xWord. Estos libros estuvieron listos para la RootedCON, donde por primera vez anuncié que sería la última vez que diera una charla desde Informática 64.
La RootedCON fue ya en Marzo, y aprovechamos para sacar la primera versión de Evil FOCA, la herramienta para hacer ataques man in the middle en redes IPv6, aunque en aquella primera versión solo tendría disponible un par de ataques.
Figura 2: Mi personaje en el capítulo "TMBA 2" de la Temporada 4 de Cálico Electrónico |
En el mes de Abril apareció el cómic con el Fin de Cálico Electrónico. Este año con el gordito hemos terminado la Temporada 4 y comenzado la temporada 5, además de recuperar todo el material antiguo, lanzar apps para casi todas las plataformas, generar tiras de cómics y hacer que la gente sepa que el héroe está de vuelta en la ciudad.
En Mayo ya estábamos enfrascados con el comienzo de Eleven Paths, pero mientras hacíamos la presentación en sociedad, yo tuve la oportunidad de leer mi doctorado y convertirme en el Doctor Maligno, además de lanzar públicamente la editorial 0xWord y los nuevos libros de la colección, entre los que había participado yo en alguno.
Figura 3: El lago del Distrito C de Telefónica que acompaña los paseos de edificio a edificio |
Durante los meses anteriores había estado trabajando en convencer a la gente que quería que estuviera conmigo en Eleven Paths. Traerme a David Barroso, Palako, Antonio Guzmán, Sergio de los Santos, Olvido Nicolas, etc, etc, para hacer la presentación en sociedad en Junio de este año. En ese mes, ya teníamos claros los productos que a la postre lanzaríamos en Diciembre, e incluso el 24 de Junio ya teníamos la primera patente tecnológica de Latch.
Figura 4: En la radio, un día que vinieron los Goma Espuma |
En el mes de Julio comenzó con la renovación como Microsoft MVP en Enterprise Security alcanzando la cifra de 10 años con el galardón. Además, el trabajo en Eleven Paths fue intenso y comenzamos a ultimar los detalles de Faast y MetaShield Protector, con las primeras implantaciones y puestas en producción.
En Agosto me dio para ir a la DefCON y aprovechar para celebrar el 50 aniversario de cumpleaños de Kevin Mitnick en unos días en Las Vegas en los que no fui capaz de dormir ningún día. Además, liberamos la Evil FOCA DefCON Edition.
Figura 5: Con Kevin Mitnick en la BlackHat 2012. Le tengo cariño a aquella conferencia. |
El mes de Septiembre dio comienzo la quinta temporada de Cálico Electrónico y mi segunda temporada en el programa de radio con Javi Nieves y tuve además la posibilidad de visitar la Ekoparty y ver a muchos y buenos amigos latino-americanos para traerme a Claudio Caracciolo y convencer para que se viniera Dani Kachakil al equipo de Eleven Paths y comentar todos los escándalos de la filtraciones de Edward Snowden.
Figura 6: A punto de cantar en la Ekoparty 2013 |
En el mes de Octubre me centré en avanzar con Eleven Paths y con las integraciones de Latch que ahora os estoy contando, pero no me escapé de ir a eventos como GSICK Minds, CodeMotion y eventos varios, presentando ya los productos que estábamos desarrollando.
Figura 7: En la Codemotion hablando de SQL Injection. |
Durante el mes de Noviembre me enfrasqué en terminar el libro de Pentesting con FOCA, además de grabar el programa de Salvados con Jordi Évole, y visitar países como Inglaterra, Holanda, Colombia y Perú para hablar de las tecnologías de seguridad que estábamos desarrollando. También tuve tiempo de seleccionar a mi nueva hornada de jóvenes Talentum para Eleven Paths.
Figura 8: Entrevistas en Colombia |
En Diciembre teníamos el gran día del lanzamiento de Latch, Faast y MetaShield Protector, además de liberar la FOCA Final Version y destapar las integraciones de Latch con algunos sitos. Los días previos parecieron semanas en el Distrito C de Telefónica. Lo cierto es que al final se hizo, y que ya estamos acelerados a tope.
Figura 9: La foto tras el evento de lanzamiento en la fiesta de Telefónica |
Ahora se acaba el año, pero antes me queda la clase de hoy en el Master de Seguridad de la UEM, corregir la PEC 3 de mis chic@s del Master de la UOC, hacer un par de intervenciones en la radio, acabar de cerrar un par de temas que os quiero contar en breve, tener unas reuniones este lunes que viene en Telefónica y escribir todos los días en el blog.
Se acaba el año. Y si no se acaba... acaba él conmigo. Como siempre, también me han pasado muchas cosas malas, he estado enfermo, he estado triste y a veces agobiado, pero al final, en esto consiste vivir, en que te pasen cosas buenas y malas hasta que ya no te pasa nada. Y os juro que cosas buenas me han pasado muchas.
Figura 10: Ready para el 2014 |
Me queda poco tiempo para descansar, pero cuando llegue el 2014 os prometo que voy a estar listo para pelearlo como lo hice en 2006, 2007, 2008, 2009, 2010, 2011 o 2012 - e incluso algún año antes -.
Saludos Malignos!
Publicado por Chema Alonso a las 7:01 a. m. 11 comentarios
Etiquetas: Curiosidades
Entrada destacada
Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €
El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...
Entradas populares
-
Ayer publiqué un post que tiene ver con las opciones de privacidad de Facebook asociadas a los correos electrónicos , y mañana sacaré la se...
-
Gestionar la seguridad de cualquier servicio online que sea ofrecido por Internet sin poner un ojo en los rincones de la red donde se encu...
-
La app de mensajería instantánea Telegram tiene muchos fans por el atributo de seguridad que ha querido potenciar desde el principio, per...
-
Las técnicas de OSINT son aquellas que te permiten buscar información en fuentes abiertas. O lo que es lo mismo, sacar datos de plataformas...
-
Conseguir la contraseña de Facebook de una cuenta es una de las peticiones más usuales que se suele recibir de la gente que busca solucion...
-
Ya hace tiempo que dediqué un artículo a los problemas que Facebook estaba teniendo con la indexación en Google . Uno de los lectores (grac...
-
En el mes de Julio os conté cómo " Los investigadores de Apple también intentan acabar con el sesgo de género en los traductores que u...
-
Este mes de verano os he hablado de varios temas de WhatsApp que tienen que ver con la privacidad y la seguridad. Os hablé del leak de las m...
-
En MyPublicInbox seguimos añadiendo servicios para todos los usuarios de la plataforma. Integramos los servicios de creación de tus propias...
-
Quizás recuerdes, ya hace algunos años, una PoC que hicimos sobre cómo proteger WordPress en modo paranoico donde, además de proteger el l...