Cancelan una charla de Black Hat sobre cómo identificar usuarios en Tor

En los últimos meses y después de las revelaciones de Snowden se empezó a investigar la posibilidad de que la NSA, y no sólo la NSA, hayan encontrado la forma de comprometer la popular red Tor. De hecho ya se ha confirmado que se usó la herramienta XKeyscore para comprometer dos servidores de Autoridad de Directorio alemanes y la posibilidad de ubicar usuarios específicos mediante una técnica de ataque de correlación de tráfico.

Además, siguiendo el hilo de estas investigaciones había previsto una presentación muy interesante para la próxima Black Hat 2014 llamada “YOU DON’T HAVE TO BE THE NSA TO BREAK TOR: DEANONYMIZING USERS ON A BUDGET“ (traducido “TU NO TIENES QUE SER DE LA NSA PARA ROMPER TOR: DESANONIMIZANDO USUARIOS SIN SALIRSE DEL PRESUPUESTO“) en la que Alexander Volynkin y Michael McCord, dos investigadores de la Universidad Carnegie Mellon, iban a demostrar cómo identificar usuarios de Tor con un presupuesto de unos 3.000 dólares.



Los lenguajes de programación más populares del 2014

CodeEval es una exclusiva comunidad de más de 24.000 desarrolladores. Sus miembros pueden competir entre sí, retar a sus amigos y mostrar sus habilidades de programación en su perfil.

Cada año CodeEval publica la lista de los "lenguajes de programación más populares", basándose en miles de datos recogidos al procesar más de 100.000 pruebas de programación y distintos retos realizados a más de 2.000 empleados.

Esto nos da una idea bastante clara de cuáles son las tendencias para el próximo año en términos de lo que las empresas están buscando: 


Como véis, por tercer año consecutivo, Python conserva el primer puesto seguido de Java, C++ y Ruby.

Los cambios más notables de este año fueron un incremento del 300% en la popularidad de Objective-C, un aumento del 100% en C#, así como un aumento del 33% de Javascript; mientras PHP perdió un 55%, Perl cayó un 16% y Java se redujo un 14%.

Fuente: http://blog.codeeval.com/2014

En marcha el IV Congreso de Seguridad Navaja Negra

Un año más se celebran en Albacete las jornadas de seguridad Navaja Negra, en esta edición, la organización ha apostado por un modelo más participativo y complementará las charlas con una serie de talleres que serán elegidos, al igual que las primeras, por los propios participantes de las jornadas en un sistema de votaciones al que se tiene acceso una vez realizado y verificado el pago de la inscripción. Un aspecto interesante de este método de selección es que al realizar la elección, sólo se conoce el contenido de la charla o taller y no su autor, fomentando así la participación de nuevos ponentes.
 
El congreso tendrá lugar durante los días 2, 3 y 4 de octubre y se trata de una gran oportunidad académica y profesional puesto que se habilitará un área de reclutamiento en la que las empresas colaboradoras aceptarán currículums de los participantes.
 
Gracias a patrocinadores y colaboradores, el precio de las jornadas sigue siendo más que asequible, 30€ (20 si acreditas que eres estudiante y/o estás desempleado) los 3 días incluyendo charlas, catering, la participación de hasta en 4 talleres, y ese trato familiar y ambiente distendido que caracteriza a las Navaja Negra.
 
Para ampliar información, consultar las propuestas presentadas al CFP y adquirir tu acreditación, no dudes en acceder a http://navajanegra.com ¡Te esperamos!

Explotar Heartbleed en redes WiFi con Cupido (2ª parte)

Como ya vimos en entradas anteriores, Cupido es el nombre del nuevo método de ataque recientemente propuesto por el investigador de seguridad portugués Luis Grangeia, que puede afectar a Android, redes inalámbricas 
empresariales y algun que otro dispositivo ;D.
 

 A diferencia de la versión original del ataque Heartbleed, que tiene lugar en las conexiones TLS a través de TCP, el ataque de Cupido sucede en las conexiones TLS a través del protocolo de autenticación extensible (EAP), popular marco de autenticación que se utiliza normalmente en las redes inalámbricas y conexiones peer-to-peer.

Vulnerabilidades en Android que pueden arruinarte (CVE-2013-6272 & com.android.phone)

Se han anunciado dos nuevas vulnerabilidades en sistemas Android (anteriores a la versión 4.4.4) que podrían permitir a una aplicación maliciosa realizar llamadas a números de tarificación especial sin que
el usuario se percate de ello y aún sin permisos para ello.
Las dos vulnerabilidades, muy similares entre sí, han sido anunciadas por Curesec.  El primero de los problemas, con CVE-2013-6272, aparece en Android 4.1.1 Jelly Bean y se presenta en todas las versiones hasta Android 4.4.2 KitKat.

Reside en com.android.phone y todo parece indicar que se ha corregido en la última versión 4.4.4.
  
Por otra parte, una segunda vulnerabilidad (sin CVE asignado todavía) en com.android.contacts solo está presente en las versiones Android 2.3.3 y 2.3.6. Ambas vulnerabilidades son explotables de la misma forma con idénticos resultados.

Versiones afectadas







Explotar Heartbleed en redes WiFi con Cupido (1ª parte)

Buenas de nuevo, ante todo pediros un perdón muy grande por este tiempo AFK (sobre todo a Vicente) pero me ha sido totalmente imposible mantener relación con el mundillo.

Para ir poniéndome al día y engrasando máquinas vamos a dar un repasillo práctico a uno de los fallos más escandalosos que ha habido en mi ausencia: Heartbleed.

Como ya mencionamos en el blog es posible dirigir un ataque hacia redes wifi (EAP TLS)...utilizando CUPIDO.

¿Qué es cupido?

Cupido es el nombre que Luis Grangeia, de SysValue, le dio a sus dos parches que se pueden aplicar a los programas "hostapd" y "wpa_supplicant" en Linux. Estos parches modifican el comportamiento de los programas para explotar el fallo de heartbleed en conexiones TLS que suceden en ciertos tipos de contraseñas protegidas en redes inalámbricas.

Como ya mencionamos, el ataque puede utilizarse de dos formas: atacar directamente a un Punto de Acceso (wpa_supplicant-cupid) o crear una red inalámbrica falsa a la espera de que se conecte un terminal vulnerable (hostapd-cupid).

En esta entrada veremos como aprovechar cupido sumado a nuestro cliente hostapd (attack vector 2).


Las mejores fotos aéreas de drones del 2014

Dronestagram es una comunidad que nació en Francia y en cuyo portal se publican y comparten miles de fotos de drones. Si no la conocíais os recomiendo que echéis un vistazo a su web porque allí podréis encontrar un montón de fotos espectaculares (si no la mayoría)

Del 15 de marzo al 30 de junio llevaron a cabo junto con National Geographic el primer consurso internacional de fotografías aéreas de drones.
Las reglas eran bastante simples: básicamente los participantes tenían que enviar las fotos aéreas tomadas por una cámara instalada en un drone; y ellos tenían que ser los titulares de derechos de autor para las fotos.

Los premios incluían drones, cámaras y dinero para impresiones en lienzo, aluminio o plexiglás. La foto ganadora además se publicará en el sitio web de National Geographic y en la edición francesa de la revista. Estos son los ganadores:

Premios de Dronestagram y National Geographic:


Primer premio: Capungaero


Recuperan miles de fotos y datos personales de smartphones de segunda mano que habían sido reseteados de fábrica

La firma de seguridad Avast compró 20 smatphones Android diferentes en eBay, todos ellos de segunda mano. Antes de venderlos, los anteriores propietarios realizaron una restauración de fábrica (WIPE DATA/FACTORY RESET), "borrando" todo el contenido de los teléfonos.

Sin embargo, mediante software de recuperación disponible en el mercado, pudieron recuperar unas 40.000 fotos (casi 1.000 de desnudos), 1.000 búsquedas de Google, 750 emails y mensajes de texto y 250 contactos y direcciones.

"La cantidad de datos personales que recuperamos de los teléfonos fue asombrosa. Encontramos de todo, desde un formulario de préstamo cumplimentado hasta selfies de lo que parecen ser los propietario anteriores", comenta Jude McColgan de Avast.

McColgan señala también que no hay que olvidarse de la privacidad a la hora de vender un teléfono: "Junto con sus teléfonos, los consumidores no se dan cuenta de que están vendiendo sus recuerdos y sus identidades. Las imágenes, correos electrónicos y otros documentos borrados de los teléfonos pueden ser explotados para el robo de identidad, el chantaje, o incluso con fines de acoso".

La motivación de Avast para realizar este estudio fue fundamentalmente promocionar el uso de su aplicación anti-robo (avast! Anti-Theft) que permite la limpieza y borrado permanente de los datos, pero también es un claro ejemplo de la gran cantidad de información personal expuesta que podemos encontrar en el mercado de segunda mano de smartphones y, en definitiva, de cualquier dispositivo que albergue información y cuyos datos no hayan sido adecuadamente sobrescritos...


Fuentes:
- Software vendor purchased used phones on eBay, recovering 750 female nude photos and 250 male nude selfies
- AVAST Demonstrates Risk of Selling Used Smartphones – Recovers 40,000 Personal Photos and Emails from Phones Bought Online
- Android Data Wipe Leaves Personal Data
- Avast Report Claims Wiping Your Android Phone Doesn’t Completely Erase Personal Data
- Avast: Android Phone Wiping Leaves Personal Data
- Hard Proof That Wiping Your Phone Doesn't Actually Delete Everything

ODAT (Oracle Database Attacking Tool): comprueba la seguridad de tu base de datos Oracle

ODAT (Oracle Database Attacking Tool) es una herramienta de código abierto para comprobar la seguridad de una base de datos Oracle de forma remota.

Ejemplos de uso de ODAT:


- tienes una base de datos Oracle escuchando remotamente y quieres encontrar SIDs válidos y credenciales para conectarte.
- tienes una cuenta válida en una base de datos Oracle y quieres escalar privilegios (por ejemplo SYSDBA)
- tienes una cuenta válida en una base de datos Oracle y quieres ejecutar comandos en el sistema operativo que la hospeda (por ej. para un shell inverso)



Características:

- buscar un SID válido en un listener remoto a través de: un ataque de diccionario / un ataque de fuerza bruta / ALIAS del listener
- buscar cuentas de Oracle usando: un ataque de diccionario / cada usuario de Oracle como la contraseña
- ejecutar comandos de sistema en el servidor de base de datos mediante: DBMS_SCHEDULER / JAVA / tablas externas / oradbg
- descargar los archivos almacenados en el servidor de base de datos mediante: UTL_FILE / tablas externas / CTXSYS
- subir archivos en el servidor de base de datos mediante: UTL_FILE / DBMS_XSLPROCESSOR / DBMS_ADVISOR
- borrar archivos usando: UTL_FILE
- enviar/recibir peticiones HTTP desde el servidor de base de datos usando: UTL_HTTP / HttpUriType
- escanear puertos del servidor local o un servidor remoto usando: UTL_HTTP / HttpUriType / UTL_TCP
- explotar el CVE-2012-313 (http://cvedetails.com/cve/2012-3137)

Cómo usar Whatsapp desde tu PC con el simulador Firefox OS

Si hace unos meses veíamos cómo usar Whatsapp desde el PC con Pidgin y el plugin 'whatsapp-purple', hoy veremos otra manera también muy fácil: con el emulador de Firefox OS.

Empezaremos abriendo el Administrador de aplicaciones de Firefox escribiendo en la barra de direcciones: 

about:app-manager

En la parte inferior del administrador pulsaremos el botón 'Iniciar simulador':


Como la primera vez no tendremos instalado el simulador procederemos a instalarlo: