viernes, enero 31, 2014

Una rápida visita a Google X

En un rápido viaje que nos llevó desde Madrid a pasar un día en las oficinas de Google X, para ver algunas de las cosas que están desarrollando. Por supuesto, de todo lo que vimos allí no os puedo contar mucho, pero sí alguna cosa que me llamó mucho la atención y está disponible de forma pública.

Como debe ser tradición, probamos las Google Glass, dimos un paseo en un driverless car, pero también conocimos más sobre el tipo de gente que forma parte de Google X e incluso se pasó unos minutos Sergey a saludarnos personalmente y respondernos alguna de las preguntas que le hicimos. 

De todas las cosas que nos enseñaron vimos cómo funcionaba la tecnología de Makani Power, una startup comprada por Google hace menos de un año y cuyo objetivo es conseguir turbinas que aprovechen al máximo el poder del viento que tienen los países. Para ello, cambian el foco a la hora de capturar el viento, utilizando un turbina voladora que gira alrededor de un cable de forma autónoma por encima de la altura habitual de las turbinas convencionales. El siguiente vídeo es para verlo en detalle.

Figura 1: Vídeo demostrativa de la idea detrás de Makani Power

El creador de la startup, un joven físico de 28 años, vino a contarnos en detalle cómo lo había pensado y lo había hecho funcionar para acabar vendiendo la empresa a Google e integrarse en Google X.

De todas las cosas que nos contaron, el "Capitán de los tiros a la luna" - así reza su tarjeta - además de explicarnos que por supuesto buscan que en su equipo estén los mejores - para lo que quieren los mejores Ph.D de las mejores Universidades - nos dijo que su misión era gastar dinero demostrando que algo no se podía hacer, y que para eso buscaban todas las posibilidades intentando demostrar que no funcionaría... hasta que se encontraran con algo que no pudieran demostrar que no funcionaría.

Lo que más me gustó es que la oficina, lejos de ser ese lugar lleno de cosas cools y toboganes, estaba lleno ingenieros en un edificio sobrio que parecía exactamente un departamento de una Universidad. Nada de mesas de caoba, nada de cuadros caros, o artículos de decoración cool de esas que pone la gente de marketing. Todo lo que había eran mesas de trabajo, computadoras por doquier, pizarras de tiza por todas partes, y gente echando números y haciendo dibujos en papeles. Vamos, como si hubiera vuelto a la Universidad. Eso sí, nos confirmaron que a los ingenieros de allí no los molestan para nada con Business Plans o cosas similares.

Saludos Malignos!

jueves, enero 30, 2014

Gracias por tu password, router

Desde luego para llegar a ser un buen pentester es necesario estudiar y practicar mucho, muchísimo. Siempre le digo a mis amigos que estudiar informática es más difícil que estudiar medicina, algunos se ríen de mí pero yo tengo muy buenos argumentos que en otra oportunidad, con más bytes de tiempo disponible, comentaré.

Una de las tareas habituales que suelo hacer por las mañanas, aparte de leer el artículo diario de El lado del mal y otras muy recomendables páginas webs de seguridad, es revisar las nuevas vulnerabilidades y exploits que salen a diario. Cuando se publica un exploit remoto que afecta a algún servicio web suelo buscar software comprometido mediante hacking con buscadores, y si encuentro alguna empresa o dominio interesante suelo hacer un escaneo con nmap de varias de las direcciones IP públicas de su rango, por si encuentro algo más. Ya sabéis, sólo por saciar un poco la curiosidad.

Una de esas direcciones IP me resultó curiosa al dar servicio por el puerto 22, 23, 80 y 443. Puse la dirección IP en el navegador y me apareció sólo un formulario de usuario y password, sin más. Se me ocurrió entonces entrar por ssh o telnet. Y la sorpresa fue que cuando entré por telnet me encontré con este más que sugerente mensaje:

Figura 1: Mensaje de bienvenida que se obtiene en la conexion por telnet

¡Bum! Eran las 06.30 a.m. en ese momento y lo que parecía ser un router muy molón me estaba dando los buenos días con su password de telnet y de enable. Para un pentester es irresistible probar a meter la comilla en la clave. Así que... ya sabéis, probé, y efectivamente era la clave. Era un router de marca ADTRAN, una fabricante con aparentemente buenos equipos de redes a precios reducidos en comparación con Cisco. Lo tuve que dejar en ese momento porque tenía que asistir a una clase de Chema Alonso en el Máster en Seguridad Informática de la UEM.

Precisamente comentando con él esta curiosa situación, me pregunta: ¿Has buscado el mensaje en Shodan? Pues no lo había hecho, y al hacerlo me arroja nada más y nada menos que unos 10.000 resultados. Increíble.

Después de verificar manualmente algunos de ellos y constatar que también tenían la clave por defecto, se me ocurrió la idea de hacer una aplicación que automatizara la tarea; así que me puse manos a la obra y desarrollé una muy simple aplicación en C# que realiza el trabajo sucio y prueba masivamente conexiones telnet. Puedes descargarte TYFYP (Thank you for your password) massive telnet password tester con el código fuente.

Figura 2: TFYPR

Sólo recibe como parámetro un fichero txt con una lista de direcciones IP previamente obtenida mediante nmap o mediante Shodan. En una pequeña prueba de concepto que he realizado con unos 100 routers sacados de Shodan, he obtenido que al menos 20% de ellos son vulnerables por tener password por defecto. Pertenecen a empresas medianas, grandes e incluso hay alguna entidad financiera.

¿Por qué no son todos vulnerables? Pues porque el mensaje que aparece al conectarse vía telnet pertenece al “banner motd” del router, es decir el mensaje de bienvenida, que es estático y viene por defecto. Algunas personas cambian los usuarios y no cambian el mensaje por defecto, aunque a veces cometen errores como el que se ve en la siguiente imagen, donde crean nuevos usuarios pero no eliminan el acceso sin usuario y con la clave por defecto o tampoco establecen que la contraseña de los usuarios se almacene se forma segura.

Ante todo esto me pregunto si es necesario que los fabricantes pongan un mensaje tan obvio en el mensaje motd, considerando que el mensaje es estático y no es una verificación real.

Figura 3: el banner en el código es estático

¿Para qué pueden ser usados estos routers mal configurados? Uno de los usos obvios es usarlos como zombies para realizar ataques DDoS, pero existen otro tipo de posibilidades, como por ejemplo buscar desviar e interceptar el tráfico que pasa por ellos. No soy experto en redes a alto nivel  así que lo estudiaré y buscaré asesoría. ¡Acepto ayuda! Después de todo la informática es tan amplia como la medicina, ¿no? Un abrazo a todos.

Autor:
Daniel Ferreira @daniel0x00

miércoles, enero 29, 2014

La estafa de la linterna molona que ilumina más en Android

Somos un par de programadores de apps para móviles a los que nos gusta venir a El lado del mal a leer los artículos y nos hemos decidido hoy a contaros esta historia en la que se puede ver que un cibercriminal, se ha montado un chiringuito con las apps de Android para hacer fraude online y comprarse un chalet un en la playa o donde quiera, por si alguno de vosotros puede avisar a amigos y compañeros de que eviten este problema o por si estáis puesto con este tipo de malware y os apetece investigar un poco más.

Parte 1: Del gancho en Facebook al SMS de pago por Vodafone

Hace poco mi colega vio un anuncio a través de Facebook en el que un amigo suyo había publicado un post sobre una app para Android que supuestamente ofrecía una linterna molona para el móvil que "...hace brillar el led mas que ninguna otra app de linternas y totalmente gratuita...".

Ni corto ni perezoso mi compañero se la descargó con intención de decompilar el código y así aprender cómo demonios hacía eso de hacer brillar más el led. ¿Sería algún parámetro trucado en alguna función de la API? ¿Sería alguna función oculta? Había que resolver el misterio y por el camino llegó la sorpresa, que mató al gato por su curiosidad.

Figura 1: Linterna Led a.k.a "Linterna Molona" en Google Play

Al descargarse la app no había supuestamente ningún servicio que pudiera acarrear coste alguno. Según la lista de información que acompañaba a la app, ésta podía leer mensajes y conectarse a Internet pero para nada decía que pudiera enviar mensajes de ningún tipo - con o sin coste - o hacer llamadas, por lo que continuó con la descarga. Sin embargo, nada más ejecutarse, esta app lee tu número de teléfono, se conecta a Internet y da de alta el número de teléfono de la víctima en una página de servicios ofrecidos vía mensajes SMS. Rápida y mortal.

En este caso en concreto, nada más instalarte la app y que te de alta en un servicio de mensajes SMS de pago, Vodafone manda de forma instantánea un mensaje con un PIN al dueño del número de teléfono para que autorice el alta en este servicio. Este mensaje que se recibe no tiene coste, es solo una medida de seguridad que en este caso Vodafone implementa para evitar la suscripción automática de personas a los servicios de pago, aunque como veremos más adelante no son tan seguros los métodos empleados para el registro.

Lo que sucede es que la aplicación en tu Android está esperando ese mensaje SMS que llega desde Vodafone para leerlo - ya que tiene permiso para hacerlo -, extraer el PIN de seguridad del mensaje y autorizarse ella solita en la misma página Web de los servicios de pago para confirmar la suscripción.

La lectura de estos mensajes SMS desde una app es algo que se puede hacer desde código y que se explica en el libro de Desarrollo de Android Seguro, ya que es muy utilizado por el malware en el mundo de Android. En el caso del troyano para espiar Android es lo que se utiliza para controlar remotamente al bot de espionaje instalado.

Por supuesto, una vez que has confirmado la suscripción - Vodafone supone que has sido tú y no una app maliciosa en tu terminal móvil por su cuenta - se ha autorizado al proveedor de servicios a enviar mensajes SMS con coste, que te serán cargados en la factura.

No contento con eso, para conseguir la viralización del negocio, si tienes instalada la app de Facebook en tu terminal Android, la linterna molona publica en tu nombre un post contando las virtudes de la famosa linterna para que tus amigos la prueben también a ver cómo diablos se consigue tener una linterna que ilumina tanto.

Parte 2: ¿Pero esto qué es?

Cabreado como una mona - pues a ningún profesional en el tema le gusta que "se la metan" y si no que se lo digan a  Eagle cuando le enchufaron desde Cydia la app que hacía click-frauden su iPhone - mi compañero averiguo esto a posteriori no sin antes restringir rápidamente el servicio en Vodafone, para a continuación decompilar la app y destripar cómo funcionaba el tinglado.

Para destripar un poco el funcionamiento procedimos a descompilar la aplicación usando dex2jar para obtener el código fuente mas o menos legible, y digo mas o menos porque estaba ofuscado utilizando Proguard. Usamos también el explorador de ficheros JAR llamado JD-GUI para Windows para abrir el JAR decompilado y APKTool para extraer los recursos de la aplicación, es decir imágenes, documentos XML y demás recursos embebidos.

El identificador único de la aplicación para Android es com.linterna.molona. La verdad es que con ese nombre no prometía mucho, pero luego hay que reconocer que se han trabajado el sistema hacer el registro automatizado y la viralización de la estafa. La aplicación fue retirada de Google Play a los pocos días pero aun existe en algunas páginas en la caché de Google en la que se puede ver - y con muy buena valoración de la misma -.

Figura 2: Valoraciones y descargas tal y como se ve en la caché de Google

La app ha sido retirada por Google, en los foros tenía quejas de usuarios, pero después de superar más de 10.000 descargas, ya que el ratio en Google Play está entre 10.000 y 50.000 instalaciones desde el 23 de Diciembre del año pasado, lo que es una pasada.

En otros foros como AppsZoom aparece aún disponible y en ellas hay ya más de 100.000 descargas y muchas quejas de víctimas. Con la friolera de 100.000 a 500.000 descargas, multiplicadas cada una por 1.5 € en el mejor de los casos…haced cuentas.

Figura 3: Linterna LED en AppsZoom aún disponible

Desde luego, viendo esto la credibilidad de sitios como AppsZoom que siguen distribuyendo esta app y creando más y más víctimas de esta estafa. Lo único bueno que tiene esto es que si te gusta la seguridad y quieres analizar bien la estafa, tienes fácil localizar el malware. Está a la vista de todos, ahí, en sitios que se presentan como índices de apps para terminales móviles.

En el sitio se puede ver que el supuesto desarrollador parece ser un tal Rylan Roach pero es fácil suponer que será un nombre falso. Si el tipo éste se pilla un LiveCD con una distribución de TOR, se da de alta en Google Play con una cuenta en las Islas Caimán para cargar los 20 USD y a ver quién lo encuentra ahora. A Google Play, por desgracia, puede subir una aplicación hasta el gato de tu prima y como hemos visto, con la desfachatez de decir que eres Apple o si lo prefieres que eres WhatsApp y nada más pasa.

Tras escarbar un poco en Internet es fácil encontrar que en el foro de usuarios de Vodafone había quejas de gente a la que le habían estafado hasta 30 € y la aplicación tenia más de 100.000 descargas. Vamos que se están forrando.

Por supuesto se ha puesto una denuncia y la Guardia Civil y su Grupo de Delitos Informáticos se ha puesto en contacto para obtener el código fuente e incluso se han interesado en verse en persona para que se explique en detalle todo lo que se ha descubierto: URLs, empresas implicadas - la Web de servicios de esta estafa es malagueña, etcétera. Como apunte decir que la web que ofrece esos servicios premium:
- No va con protocolo https
- Los parámetros van por GET en la URL
- No dispone de captchas para impedir el registro automátizado por parte de malware
Parte 3: ¿Pero cómo es esto posible?

Analizando la app, se puede ver que tiene los siguientes permisos, y aunque si bien es cierto no requiere enviar ningún mensaje SMS, sí que puede recibirlos y aprovecharse de la forma de darse de alta en la web de servicios de coste a los SMS.
<uses-permission android:name="android.permission.CAMERA" />
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.WRITE_SMS" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
<uses-permission android:name="android.permission.GET_ACCOUNTS" />
NO TIENE PERMISO:
<uses-permission android:name="android.permission.SEND_SMS" />
Se puede observar que según Android el llamar por teléfono o enviar mensajes SMS puede comportar costes adicionales, evidente. Pero leer mensajes SMS NO comporta gastos adicionales, algo que como vemos es un error, ya que una app capaz de leer un mensaje SMS puede comportar gastos adicionales,en tanto en cuanto puede leer un PIN de alta de confirmación de Premiun o cosas peores.

Figura 4: Los permisos de la app que pueden y "que no" pueden acarrear costes

Otra curiosidad es que el funcionamiento habitual de Alta Premium según Vodafone es el siguiente:
El alta en los servicios Premium es siempre voluntaria. 
Para Mensajes Premium tú envías un SMS de manera voluntaria a un número corto y siempre recibirás un SMS donde se te informará del precio del servicio. En el caso de las numeraciones de mayor tarificación serás informado del precio y deberás confirmar la compra a través del envío de un nuevo SMS. 
Para darte de alta en una Alerta Premium puedes hacerlo desde el teléfono mediante el envío voluntario de un SMS a un número corto de cinco o seis dígitos con la palabra ALTA, lo que supondrá el alta en un servicio de suscripción de SMS Premium. 
Recibirás un SMS donde se te pedirá que confirmes que deseas realizar la suscripción. En el caso de que confirmes, recibirás periódicamente mensajes SMS con coste. En caso de que no confirmes, no se realizará la suscripción. 
También puedes darte de alta a través de una página web en la que introduces tu número de móvil y posteriormente recibes un SMS para aceptar la suscripción con un código de acceso. Si aceptas las condiciones te darán de alta en el servicio de suscripción SMS Premium, y recibirás periódicamente las alertas con coste. 
En ocasiones los proveedores también mandan publicidad vía correo electrónico para que te des de alta en nuevas alertas. 
By Vodafone…..
Este procedimiento de “Alta Web” es totalmente inseguro, una aplicación de Android puede suplantar todas estas acciones de manera fácil con permiso de Leer SMS (que no comporta gasto). Esto se puede solucionar obligando a que se envíe el típico mensaje de “ALTA 123345 CODIGO” deba ser enviado con un SMS algo que los usuarios tienen más interiorizado y saben que conlleva riesgos si se da este permiso a una app. El sistema Alta Web es inseguro e innecesario. Esto unido a que por defecto en Vodafone los servicios Premium están activados cierra el circulo de la estafa.

Para conseguir el número de tu teléfono utiliza una serie de trucos, alguno digno de un troyano que quiera espiar WhatsApp, ya que accede al número de teléfono que tienes configurado en él para registrarte en la web. Esta es una parte del código ofuscado de la app.
Account[] arrayOfAccount = AccountManager.get(this.e).getAccounts();
.......
for (int j = 0;; j++)
{
.....
if (!localAccount.type.equals("com.whatsapp")) {
break label333;
}
this.f = 'W';
Además, para hacer uso de este último sistema de Alta Web con tu "consentimiento", al entrar en la aplicación aparece un mensaje para aceptar las condiciones de uso.

Figura 5: Consentimiento para estafarte pedido por la linterna molona

Afinando la vista se puede ver que la aplicación incluso avisa de que “Pulsando ACEPTAR enviaras el PIN para proceder al ALTA……” Todo ello en letra pequeña y con un contraste mínimo. ¿No lo has visto en la pantalla anterior? Aquí tienes un zoom para que te fijes lo asequible que está.

Figura 6: El consentimiento con el zoom. Haz clic si necesitas más zoom aún.

Y pulsando en el enlace “Términos y Condiciones” remite a la siguiente URL donde se te avisa del palo que te van a dar como des en Aceptar.

Figura 7: Las condiciones de la estafa que te van a calzar

La app además va cambiando de proveedores de Servicios Premium y repartiendo las suscripciones a diestro y siniestro en múltiples sitios, con lo que hace más difícil el luchar contra una estafa tan capilarizada.

Parte 4: Y esto es todo amigos

Para más INRI te suscriben a este tipo de servicios que seguro que para muchos de vosotros, como para mí, es absurdo hasta suponer que alguien se pueda creer - y menos un juez - que estos son contenidos por los que a día de hoy se pagaría masivamente.

Figura 8: El servicio por el que seguro que tú pagarías 36 € al mes

Visto todo esto, y por concluir, podemos decir que un cibercriminal con conocimientos de programación de apps de los que se pueden obtener en un buen curso de desarrollo de apps para terminales móviles o con la lectura del pack BYOD, un poco de mala uva y visión de "negocio", sumados a un sito Web de servicios que ofrece un sistema de registro totalmente inseguro - no sé si intencionadamente o por falta de profesionalidad de los programadores de la misma -, más el control poco exhaustivo de las aplicaciones por parte de Google Play del que tantas y tantas veces se ha quejado todo el mundo, ha propiciado esta estafa.

Seguro que visto el éxito, este negocio se estará dando en más países y que seguramente va a acabar con el cierre de la Web - veremos si además con un multazo por incumplir alguna ley -, y con el cibercriminal con un chalet en la playa, que a ver quién es el guapo que le echa el guante.

Actualización: Como se han detectado más apps maliciosas haciendo uso de este mismo esquema se ha subido esta app a Google Play que comprueba que apps por sus permisos podrían realizar esta estafa, para que tengas cuidado.

Figura 9: app para  Stop SMS Scam

Autores:
José C. Agudo & Miguel Ángel Cardenete

martes, enero 28, 2014

Santo Tomás de Aquino en 0xWord y los libros en Bolivia

Hoy martes, cuando ya han pasado un par de días desde que el pasado 26 de Enero El lado del mal cumpliera ocho años de vida en la red,  tiene lugar la festividad de Santo Tomás de Aquino, un día especial para el mundo universitario en el que se realizan multitud de actos, como el que da la bienvenida a los nuevos doctores en la Universidad -  yo iré a recibir la mía -.

Figura 1: Con el código SANTOTOMAS se consigue un 10% de descuento en 0xWord

Ese día es un momento para celebrar la educación y el estudio, por lo que desde 0xWord se ha creado un código descuento especial para conmemorar la festividad - además de para hacer que la cuesta de Enero sea menos cuesta si se puede -, así que introduciendo el código SANTOTOMAS, todos los productos comprados en 0xWord desde las 00:00 a las 24:00 tendrán un 10% de descuento.

Figura 2: CosimTI, nuevo distribuidor de libros de 0xWord en Bolivia

Además, aprovecho para informaros de que en tenemos un nuevo distribuidor en Latino América, en este caso en Bolivia gracias a la empresa Cosimti, para comprar los libros de 0xWord en aquel bonito país que siempre me trató bien.

Saludos Malignos!

lunes, enero 27, 2014

Shodan: Proyectores, WebCams y Backups de vidas online

Uno de los buscadores que es fundamental cuando se practica el hacking con buscadores es Shodan y por eso en el libro se le dedica una parte importante del mismo a explicar los conceptos que subyacen. Yo lo tengo siempre presente, como el protagonista del libro de Hacker Épico, que en un momento crítico de la historia consigue no perder la pista de los malos tras ser capaz de encontrar un 0day en un sistema ayudado por Shodan... pero para saber cómo hace eso el protagonista deberás leer la historia.

En mi caso, yo he usado Shodan para muchas cosas, como para jugar con las passwords por defecto de muchos sistemas que dejan hacer prácticamente de todo, para localizar servicios de VoIP en Internet que puedan ser vulnerables o que estén mal configurados, para encontrar portales de administración de sistemas de control industrial, para colarse en termostatos, para localizar páginas web con Applets Java, para buscar servidores SNMPv2 y llegar hasta sacar las passwords de la línea de comando con la que se ejecutaron los programas sacando la lista de procesos, para encontrar servidores con métodos inseguros para meter una shell en una web con un método PUT, servidores de almacenamiento XServe de Apple inseguros.

Figura 1: Lista de procesos de un ps con su línea de comandos sacada vía SNMP

Recuerdo que cuando empecé con Shodan me maravilló el que fuera posible hasta descubrir y conectarse a terminales iPhone con jailbreak y servidores web o meterse dentro de un dispositivo con Windows CE para ver qué hay por allí.

Sin embargo, lo que más me gusta de John Matherly es que siempre está dando una vuelta de tuerca más al proyecto. Ya tiene aplicaciones para que puedas usar Shodan desde el iPhone o el iPad, añadió hace tiempo la búsqueda de exploits, y la búsqueda por comandos html que ya tantas veces he estado usando para localizar portales de todo tipo, y sigue añadiendo nuevas cosas.

Figura 2: Area de Developer de Shodan

En el último vistazo que le he pegado al sitio he podido ver - necesitas tener una cuenta de Shodan de las gratuitas para ver estas áreas - que en la parte de Developer ahora tiene un módulo de integración por medio de transformadas para Maltego que sacó hace tiempo, así que si usas Maltego vas a poder conectarte - igual que se hace con FOCA - al sistema Shodan para lanzar las transformadas de búsqueda.

Figura 3: Transformadas de Shodan para Maltego

También tiene un módulo que permite ver los resultados que Shodan va devolviendo en tiempo real, lo que te puede tener entretenido un buen rato a ver qué se caza al vuelo. Yo reconozco que me pasé unos veinte minutos viendo qué iba circulando por allí y descubriendo cosas como que la gente pone sus discos de backup de iOmega online sin poner ninguna contraseñas.

Figura 4: Una NAS de iOmega en Internet sin protección de password alguna

O que configura Android WebCam Servers conectados a Internet para vigilar zonas de sus casas sin necesidad de ninguna contraseña, lo que deja abierta otra puerta a terminar con la intimidad de la vida de la gente solo por probar estas tecnologías sin preocuparse de la seguridad.

Figura 5: Android WebCam servers para vigilar zonas

Otra de las cosas que tiene desde hace tiempo, es la de catalogar cuáles son las búsquedas más populares dentro del sistema. Allí, por supuesto, se encuentran las que tienen que ver con Webcams, routers, switches y passwords por defecto. Esta catalogada también la de meterse en los sistemas domóticos como Cortexa con sus passwords de fábrica y un montón de ellas más, lo que ha generado una buena base de conocimiento para cualquier pentesting externo que se haga a una red.

Yo me pasé un rato por allí viendo qué cosas raras buscaba la gente, y la verdad es que hay de todo, pero me llamó la atención una que no se me había ocurrido nunca: Colarse en los proyectores de vídeo de las salas de reunión de las empresas. La consulta es bastante sencilla, y devuelve un montón de proyectores de Sony que se encuentran dentro de las empresas. La password por defecto de estos sistemas es fácil de localizar - como todas, se encuentra en los manuales de instalación de los productos, así que no es rocket science para nada -.

El panel del administración web le permite a cualquiera jugar con la configuración y enredar. No se puede ver lo que se está proyectando, aunque sí que se puede elegir el punto de entrada, ver y configurar la red, la conexión de correo electrónico y los puertos de los servicios.

Figura 6: Panel de control de un Proyector Sony

Viendo estos proyectores enchufados a la red de las empresas es imposible no recordar las filtraciones sobre que la NSA prefería tomar control de la electrónica de red antes que los servidores de la organización, ya que allí no suele estar el software actualizado, las medidas de seguridad suelen ser más laxas - contraseñas por defecto, no firewall, no antivirus, no supervisión de los mismos, etc.. -, y por supuesto están conectados a la red interna.

En mi cabeza las preguntas eran ¿estará la NSA tomando control también de estos dispositivos? ¿Aparecerá algún programa que explique cómo toman el control de la red a partir de un producto creado por ANT para explotar un bug en proyectores? ¿Tendrá una puerta trasera en ellos? Yo, como ya soy un poco paranoico apuesto a que algo veremos.

Figura 7: Configuración de puertos y protocolos de comunicación en proyectores SONY

En cualquier caso, si tienes un proyector de estos con conexión de red revisa las configuraciones, los puertos, los usuarios por defecto, las passwords, etcétera. Si te dedicas a seguridad o quieres hacerlo, ya sabes que ser un máster con el hacking de buscadores y Shodan te puede ayudar a encontrar la llave que te de acceso al éxito en el test de intrusión. Por supuesto, Shodan se utiliza como parte fundamental en FOCA para hacer pentesting con FOCA y está integrado en nuestro servicio de pentesting persistente con Faast, faltaría más.

Saludos Malignos!

domingo, enero 26, 2014

Cálico Electrónico Capítulo 5x03: "De DaddyChulos"

Cuando hablé con Niko tras ver el capítulo y acabar de reírme con las canciones - que son pegadizas - le dije: "¿Cómo se te han ocurrido estas historias y las letras de estas canciones?". "Lo de la historia es cosa mía, pero lo de los Reggaetones ha sido David Saínz "El negro" de Malviviendo (@DavidSainz), que tiene ese superpoder de hacer Reggaetones. No le vale para nada ese superopder, pero lo tiene". "Dile a David Saínz que soy fan de ese superpoder suyo, esclavo." Y es que los dos reggaetones de este capítulo son pegadizos, pero antes de seguir contando más, disfruta del capítulo hasta el final.


Figura 1: Cálico Electrónico Temporada 5 Capítulo 3: "De DaddyChulos"

En este capítulo, Dani, el que hace la magia con las pistas de audio de todos los capítulos de Cálico Electrónico, ha tenido que meterse de lleno en el mágico mundo de este tipo de música, y ahora Niko no sabe si va a poder volver a ser el mismo después de haber puesto la banda sonora a "Perra Latina".

Siempre he pensado que en lugar de ver qué capítulos me manda Niko, debería meterme más de lleno en la creación de los mismos, pero no sé yo si sería buena idea, porque capítulos tan desvergonzados como este o ¿Quién teme al Lobombre Feroz? no sé si hubieran salido de esta forma.


Figura 2: Cálico Electrónico Temporada 4 Capítulo 3: ¿Quién teme al Lobombre Feroz?

Al final, hemos conseguido sacar un nuevo capítulo de Cálico Electrónico. Ahora vamos a sentarnos y ver si es posible sacar el resto de ellos de esta temporada, porque necesitamos conseguir sponsors que nos ayuden a financiar todo el trabajo que lleva hacerlo - si quieres ser sponsor de Cálico Electrónico ponte en contacto con nosotros -.

Recuerda que todos los vídeos de todas las series están disponibles en el Canal de Cálico Electrónico en Youtube oficial y para que te puedas enterar de todo esto con facilidad, recuerda que tienes una aplicación de Cálico Electrónico para Windows Phone, otra app de Cálico para Android, una aplicación para Windows 8, y una versión para iOS (iPhone & iPad) que podrás descargar desde iTunes. Si te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico

Saludos Malignos!

sábado, enero 25, 2014

Vídeo Tutoriales de MetaShield Protector (Español e Inglés)

Uno de los productos que hemos evolucionado en Eleven Paths ha sido la familia MetaShield Protector. Inicialmente era una solución sólo para limpiar metadatos en documentos publicados en servidores web de Microsoft Internet Information Services (IIS), pero ahora es una familia con 5 productos distintos: MetaShield for IIS, MetaShield for SharePoint, MetaShield for File Servers, MetaShield Forensics - la antigua Forensic Foca evolucionada - y MetaShield for Client.

Para que podáis conocer en un espacio corto de tiempo cómo funcionan los diferentes productos, hemos creado estos vídeo-tutoriales de solo unos minutos de duración. Están narrados en Español y subtitulados en Inglés.

MetaShield for IIS

Este fue el primer producto de la familia, consiguió ya el premio de Red Seguridad al producto de seguridad más innovador en el año 2009, y sirve para, entre otras muchas cosas, aplicar el Esquema Nacional de Seguridad. Su función es evitar las fugas de datos a través de documentos ofimáticos publicados en la web, que hemos visto que afectan incluso a las empresas centradas en productos DLP (Data Loss Prevention) y las del IBEX 35.


Figura 1: MetaShield Protector for IIS


MetaShield for SharePoint

Al igual que el producto anterior, este funciona sobre servicios SharePoint (Windows SharePoint Services, Microsoft SharePoint 2010 y Microsoft SharePoint 2013. Este vídeo explica su funcionamiento.

 
Figura 2: MetaShield Protector for SharePoint

MetaShield for FileServers

Esta es una versión nueva, centrada en monitorizar carpetas en servidores de ficheros. Cada vez que un archivo es creado en una de las carpetas monitorizadas, MetaShield for File Servers eliminará todos los metadatos que tenga el archivo y establecerá unos valores personalizados por una plantilla.


Figura 3: MetaShield Protector for FileServers

MetaShield for Clients

Esta es la versión para los equipos Microsoft Windows de escritorio. Basta con hacer clic con el botón derecho sobre el archivo y se accederá a las opciones de borrar metadatos de todos los documentos. Si tienes una estrategia de seguridad en el endpoint con antimalware, además de seguir la recomendación de evitar que se usen las herramientas de esteganografía, es perfecto añadir el despliegue de esta solución en los puestos de trabajo.


Figura 4: MetaShield Protector for Client

MetaShield Forensic

Esta es la antigua Forensic Foca evolucionada. En aquellos casos en los que es fundamental hacer un estudio forense de lo que ha pasado en un equipo, el análisis de los metadatos es clave. En el artículo de Análisis Forense de Metadatos: Ejemplos ejemplares, hay una lista de casos en los que han generado mucha información.


Figura 5: MetaShield Forensics

Si quieres más información de alguno de estos productos, puedes ponerte en contacto con Eleven Paths, y ya sabes que FOCA hace un análisis completo de los metadatos de un sitio web para hacer un buen pentesting y que aún está disponible la versión online de FOCA donde puedes analizar los documentos de un solo archivo.

Saludos Malignos!

viernes, enero 24, 2014

Tiras Deili Electrónico 92 a 95 y el estreno del capítulo

El nuevo capítulo de Cálico Electrónico 05x03 "De DaddyChulos", se pre-estrena hoy viernes 24 de Enero para todos los que participaron en el último crowdfunding, y para todo el mundo el día 25 de Enero de 2014. En este capítulo participa David Sáinz "El negro" de la popular serie "Malviviendo" que ha creado el villancico que se puede escuchar en el primer minuto del capítulo que ya habíamos publicado y que es el narrador y algo más en el capítulo. Este es el primer minuto del nuevo capítulo donde podrás ver el comienzo de la trama.

 
Figura 1: Avance del Capítulo 5x03 de Cálico Electrónico con "El Negro"

Además, como solemos hacer desde hace ya casi dos años, seguimos publicando las tiras de cómic de Deili Electrónico, llegando ya hasta la número 95. Aquí tenéis el resumen de las que se han publicado durante este mes.

Figura 2: Tiras Deili Electrónico 92 a 95

Las tiras anteriores las sigo recopilando, así que podéis todas desde el día uno en los siguientes posts en el lado del mal o directamente en la web de Deili Electrónico:
- Tiras Deili Electrónico [01 - 04]- Tiras Deili Electrónico [05 - 08]
- Tiras Deili Electrónico [09 - 12]- Tiras Deili Electrónico [13 - 16]
- Tiras Deili Electrónico [17 - 20]- Tiras Deili Electrónico [21 - 24]
- Tiras Deili Electrónico [25 - 28]- Tiras Deili Electrónico [29 - 32]
- Tiras Deili Electrónico [33 - 36]- Tiras Deili Electrónico [37 - 40]
- Tiras Deili Electrónico [41 - 44]- Tiras Deili Electrónico [45 - 48]
- Tiras Deili Electrónico [49 - 52]- Tiras Deili Electrónico [53 - 56]
- Tiras Deili Electrónico [57 - 60]- Tiras Deili Electrónico [61 - 62]
- Tiras Deili Electrónico [63 - 67]- Tiras Deili Electrónico [68 - 71]
- Tiras Deili Electrónico [72 - 76]- Tiras Deili Electrónico [77 - 81]
- Tiras Deili Electrónico [81 - 87]- Tiras Deili Electrónico [88 - 91]
Además, durante este periodo hemos comenzado a recuperar en vídeos los mejores momentos de todos los personajes de la serie. Y este es el que le dedicamos al Lobombre, uno de mis favoritos donde los haya. Todos los vídeos están siempre publicados en la web oficial de Cálico Electrónico, por si quieres ver alguno en especial.

 
Figura 3: Los Mejores momentos de Lobombre

Recuerda que todos los vídeos de todas las series están disponibles en el Canal de Cálico Electrónico en Youtube oficial y para que te puedas enterar de todo esto con facilidad, recuerda que tienes una aplicación de Cálico Electrónico para Windows Phone, otra app de Cálico para Android, una aplicación para Windows 8, y una versión para iOS (iPhone & iPad) que podrás descargar desde iTunes. Si te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico

Saludos Malignos!

jueves, enero 23, 2014

China: Políticos aplican censura de contenido en Internet

La importancia de nacer en un lugar u otro va a ser crucial para el resto de tu vida. Tus expectativas de futuro están más que ligadas a tu origen de cuna y al lugar donde esa cuna estuviera. No es más que una sencilla ecuación matemática que tiene que ver con el dinero y el poder que floten al rededor de la cuna. Son los menos los que, con esfuerzo, tesón y haciendo algo de magia, consiguen burlar al destino y camuflarse en lugares en los que no se les esperaba y - me atrevo a decir - no se les tenía en estima.

Una de las herramientas más utilizadas por los de cuna de cartón es, por supuesto, la información. El conocimiento del medio que les rodea, el saber qué es qué, quién es quién y cómo funcionan las cosas, desde las más pequeñas y sencillas - como un bolígrafo - hasta las más complicadas y escondidas - como el sistema financiero - es lo que les permite actuar en pro de otro destino. Conocer da poder, pero también energía para querer cambiar las cosas cuando se descubre uno engañado.

Las castas gobernantes de los pueblos sometidos, buscan controlar la información, por todos los medios, e Internet se convirtió en un canal que atenta contra su control dejando fluir información de todo tipo a todo el mundo. Las dictaduras - y algunas no tan catalogadas como tal -, procuran controlar ese flujo de información, ya sea cortando el acceso a la misma o por medios tan variopintos como matándola en origen - por ejemplo rompiendo los equipos de informáticos de un periódico con la esperanza de destrozar las fuentes originales de información -.

En el caso de China, la censura es clara y directa - no como en otros países -. Aquí no hay trampa ni cartón. Ellos deciden qué se puede leer en Internet y qué no se puede leer de forma clara. Los vídeos publicados ahora deben ir con nombre y apellidos, para evitar que alguien diga algo que no guste al gobierno, y cuando salga una información en Internet  que no guste, como el informe del ICIJ que habla de cómo se han llevado y se llevan el dinero los que mandan en China - se bloquea y punto.

Figura 1: Bloqueo del informe del ICIJ en China

El bloqueo se puede constatar con Greatfire.org, donde basta con poner una dirección URL y ver si está siendo cortado su acceso o no. En el caso del periódico The Guardian, que también se hizo eco de la noticia en un extenso artículo, se pudo ver cómo la dirección donde se había publicado dicho informe estaba bloqueada totalmente.

Este sitio, GreatFire.org, monitoriza el número de URLs que desde China se bloquean utilizando el Great Firewall of China, y puede verse que no se escapa casi ningún lugar de Internet. En el Top de Alexa, páginas de la Wikipedia, búsquedas en Google y más de 20.000 dominios. Por supuesto, los sitios con SSL que hagan uso de Certificate Pinning y no permitan la inspección tampoco son muy bien vistos.

Figura 2: Listas de sitios bloqueados

Por suerte, mi rincón de Internet personal aún sigue siendo un lugar que puede ser visto desde China, lo que deja a las claras lo que le importa a lo que mandan allí lo que yo publique. Y como se puede comprobar, para que la gente esté tranquila, se sigue permitiendo el porno... pero no la privacidad.

Figura 3: El lado del mal se ve en China. Hola!

Creo que deberíamos trabajar para que en la ONU - o en la organización mundial que sea donde no haya derecho a veto por parte de los más poderosos - se debería empezar a tratar Internet como lo que debería ser: Algo que garantice la libertad de comunicación del ser humano a través de las tecnologías. No sería suficiente, seguro, pero ayudaría un poco a esos que que quieren escaparse de la cuna que los vio nacer.

No se debería permitir que a su antojo, un gobierno de un país pudiera tomar la decisión de coartar que información debiera ser vista o no por sus ciudadanos. O aún peor, vulnerar Internet mancillando su funcionamiento o matarlo desconectando la red del país tal y como ya se ha hecho en alguna ocasión. Y que se deberían aplicar sanciones de algún tipo a todos los países que lo dañen de alguna manera.  Por desgracia, hay tantos derechos aún que defender, que el derecho a un Internet como debiera ser parece quedar aún muy lejos de poder conseguirse.

Saludos Malignos!

miércoles, enero 22, 2014

Unos trucos para pasar el filtro AntiXSS en Chrome y Safari

Uno de los proyectos estrella de Eleven Paths es el sistema de Pentesting Persistente o Pentesting Continuo que hemos bautizado como Faast. En este servicio el motor en el core se dedica a implementar un análisis extensivo, exhaustivo y continuo dirigido por una base de conocimiento en forma de plugins que van buscando todo tipo de vulnerabilidades de seguridad en un sistema.

Dentro de la elaboración de Faast toca lidiar diariamente con nuevas formas de detectar y explotar las vulnerabilidades, y en uno de esos días nuestro compañero Ioseba Palop, Software Architect de Faast, se topó con una forma de saltarse el filtro Anti-XSS que implementa Webkit, y que por tanto afectaba a los navegadores Google Chrome y Apple Safari.

Desde el Laboratorio de Eleven Paths en Málaga nos pusimos en contacto con el equipo de seguridad ed Google Chrome el 23 de Octubre de 2013 y con el equipo de seguridad Apple Safari para reportarles este issue. Google respondió derivando el fallo al equipo de Chromium que lo arregló a los pocos días, lo que ha hecho que en la última versión de Google Chrome esté ya resuelto.  En el caso de Apple Safari no hay todavía solución, pero nos han contestado que están solucionándolo.

El fallo en el atributo srcdoc

El fallo que descubrió nuestro compañero se basa en hacer un uso incorrecto del atributo srcdoc de la etiqueta IFRAME, incluido en la definición de HTML5. Para realizar un ataque XSS con éxito en el navegador Google Chrome usando este fallo, la web debía incluir un IFRAME y debería ser capaz de leer cualquier atributo de este elemento desde los parámetros de llamada HTTP - por GET o por POST - sin aplicar filtrado de caracteres. El siguiente código de ejemplo es que se envió para demostrar el fallo.

Después, en el parámetro IFRAME, el atributo srcdoc se puede incluir con código JavaScript. Como se puede ver Google Chrome no lo filtra y se ejecutará el código inyectado. Para reproducir la PoC, debería haber una página con un IFRAME similar a éste. 

Figura 1: El iframe que se va a utilizar para ejecutar el código script

Y la inyección HTML en el parámetro src sería la que se ve a continuación:

Figura 2: Forma en la que quedará la inyección

Ahora la víctima podría visitar la siguiente URL y se ejecutaría el código script

Figura 3: Inyección y ejecución del código en un Google Chrome vulnerable

En Google Chrome está resuelto ya, pero en Apple Safari se puede comprobar que sigue funcionando este truco y el código se ejecuta en la última versión disponible para las últimas actualizaciones del sistema.

Figura 4: La ejecución en la última versión disponible de Apple Safari

Una reescritura de la etiqueta "script" de apertura

Chromium publicó el bug y la solución, y un investigador con nickname mramydnei se inspiró para desarrollar otra forma de eludir el filtro que todavía no está corregido. El truco es inyectar una etiqueta "script" de apertura que se escriba directamente en la respuesta HTTP  sin filtrar ningún carácter. Bajo esta escritura debe existir contenido dentro de etiquetas scripts que pertenezcan a la propia página.

Figura 5: El código de la web y el código inyectado que se genera

El comportamiento del navegador será incluir nuestra inyección que va sin cierre de etiqueta, obviar la apertura de "script" de la propia web, y  utilizar el cierre de la etiqueta "script" para generar un HTML bien formado. Esto haría que se ejecutara el script inyectado sin ningún tipo de problema, consiguiendo así un bypass de XSSAuditor.

Figura 6: Inyección y resultado de ejecución

El segundo fallo está aún disponible en Google Chrome, y los dos fallos en Apple Safari, así que por ahora se abre la puerta para saltarse el filtro AntiXSS en estos navegadores.

Saludos Malignos!

martes, enero 21, 2014

Gr2Dest: Un grupo de estudio seguridad & hacking ético

En la web de Gr2Dest.org puedes encontrar un montón de material para aprender cosas de seguridad y hacking ético. Se formaron como un grupo de estudio abierto tras conocerse en DragonJar y todo el que quiere puede acceder a las sesiones y ofrecerse para hablar de un determinado tema durante una hora. Esta sesión queda grabada y se sube luego a Youtube para que esté disponible para todo el mundo. Aquí tenéis el ejemplo de la sesión dedicada a pentesting con FOCA.

Figura 1: Sesión de Footprinting básico con FOCA

En la parte de Sesiones se puede acceder ahora una buena cantidad de ellas que ya están disponibles para ver, como son los siguientes vídeos:
- Sesión 2: Information Gathering
- Sesión 3: Backtrack + Metasploitable 2
- Sesión 5.1: Footprinting básico con FOCA
- Sesión 5.2: Tips & Tricks Hacking Ético
- Sesión 6: Tools & Scripts básicos para BackTrack
- Sesión 7.1: Gracias Kiver, Footprinting + Email Harvesting
- Sesión 7.2: Repaso + Nmap, SMTP & Brute Forcing VRFY
- Sesión 8: SMTP, VRFY, Brute Forcing + Python/NMAP/Hydra
- Sesión 9: Construyendo un troyano - Infectando una víctima
- Sesión 10: Ataque y contramedidas + Smile de la muerte
- Sesión 11.1: Correladores
- Sesión 11.2: Vulnerabilidades en DVWA [BackTrack]
- Sesión 12.1: Vulnerabilidades Armitage [KALI] + DVL
- Sesión 12.2: Unicornscan [BackTrack]
- Sesión 13: Httprint - Nikto [BackTrack]
El grupo está abierto a cualquiera, así que te puedes apuntar y participar. Me han pedido que de una sesión, así que en cuanto saque un poco de tiempo me apunto a hacerlo, que me gustan estas iniciativas.

Saludos Malignos!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares