Yasca, un analizador de código estático multi-lenguaje

Yasca es un programa de código abierto que busca vulnerabilidades de seguridad, revisa la calidad de código, el rendimiento y la conformidad con las mejores prácticas existentes en el código fuente del programa. Básicamente se trata de un juego de herramientas multi-lenguaje de análisis estático.


Yasca puede escanear el código fuente escrito en Java, C/C++, HTML, JavaScript, ASP, ColdFusion, PHP, COBOL, .NET y otros lenguajes. Además puede integrarse fácilmente con otras herramientas como:
Yasca se puede utilizar para escanear determinados tipos de archivos y también contiene muchos escáneres personalizados desarrollados para cada uno de ellos. Es una herramienta en línea de comandos que genera informes en HTML, CSV, XML, SQLite y otros formatos. Es fácilmente extensible a través de una arquitectura basada en plugins, de tal forma que escanear cualquier archivo en particular es tan simple como poner la regla correspondiente o integrarlo con una herramienta externa. Yasca también cuenta con un plugin para expresiones regulares que permite escribir nuevas reglas en menos de un minuto.

Yasca está escrito en PHP y liberado bajo la licencia BSD.

Uso:

Usage: yasca [options] directory
Perform analysis of program source code.

        --debug additional debugging
    -h, --help show this help
    -i, --ignore-ext EXT,EXT ignore these file extensions
                            (default: exe,zip,jpg,gif,png,pdf,class)
        --ignore-file FILE ignore findings from the specified xml file
        --source-required only show findings that have source code available
    -f, --fixes FILE include fixes, written to FILE (default: not included)
                    (EXPERIMENTAL)
    -s, --silent do not show any output
    -v, --version show version information

Examples:
    yasca c:\source_code
    yasca /opt/dev/source_code
    yasca -o c:\output.csv --report CSVReport "c:\foo bar\quux"

Puedes descargar Yasca aquí:
yasca-2.1.zip

O leer más aquí.

Fuente: Yasca – Multi-Language Static Analysis Toolset

Resuelve el criptoreto y gana un curso de Especialización en Seguridad Informática y Ciberdefensa

Criptored publicó ayer un criptoreto (el tercero) y la primera persona que lo resuelva antes del 1 de mayo obtendrá como premio una plaza gratuita para la cuarta edición del curso Especialización en Seguridad Informática y Ciberdefensa.


El curso completo, valorado en más de 800€, se impartirá del 4 de mayo al 4 de junio de 2015 y de lunes a jueves de 16:00 a 18:00 vía WebEx. Tendrá una duración total de 40 horas y un elenco de profesores impresionante: David Barroso, Chema Alonso, Alejandro Ramos, José Luis Verdeguer, Javier Rascón, Sergio de los Santos, Pedro Sánchez, Antonio Guzmán, Alfonso Muñoz, Raúl Siles, David Pérez, José Picó y Pablo González. Además la matrícula incluye 4 libros de la editorial 0xWORD y documentación y material de apoyo.

Tenéis el detalle del curso en: http://www.criptored.upm.es/formacion/ciberdefensa/TemarioCursoCiberdefensa4.pdf

Así que si queréis optar a una plaza gratuita es este curso sólo tenéis que poneros manos a la obra y resolver el tercer criptoreto de @mindcrypt:


http://www.criptored.upm.es/paginas/criptoretomarzo2015.pdf
http://www.criptored.upm.es/paginas/retos.htm


¡Suerte!

Malcom: un analizador gráfico de las comunicaciones de malware

Malcom es una herramienta diseñada para analizar las comunicaciones de una red de sistemas usando una representación gráfica del tráfico y cruzando referencias con fuentes de malware conocido. Esto es muy útil cuando se analiza cómo ciertas especies de malware tratan de comunicarse con el mundo exterior.

Malcom puede ayudarte a:

- detectar servidores de comando y control (C&C)
- entender las redes peer-to-peer
- observar infraestructuras fast-flux DNS
- determinar rápidamente si un artefacto en la red es 'malo-reconocido'


Más info y how-to: https://github.com/tomchop/malcom

Reiniciar Squid en RHEL 6.7 borra todos los archivos del disco duro

Tranquilos, Red Hat Enterprise Linux (RHEL) 6.7 todavía está en fase pre-beta y no se ha publicado pero acojona asusta, ¿verdad? 

Peor cara se le quedó a Swapna Krishnan, un empleado de Red Hat que notificaba el bug con el que se ejecutaba «rm -rf / *» (y, en consecuencia, eliminaba todos los archivos del sistema) con sólo reiniciar el demonio de la versión squid-3.1.23-4.el6 del popular proxy:

Descripción del problema:
"Después de instalar los paquetes de prueba para RHEL 6.7, cuando trato de parar o reiniciar Squid cuando está en ejecución, se mantiene a la espera y de repente empieza a borrar todos los archivos del disco duro. En ese punto es difícil diagnosticar nada más porque se elimina una gran cantidad de archivos en la máquina

[root@tyan-gt24-04 ~]# service squid status
squid is stopped
[root@tyan-gt24-04 ~]# service squid start
Starting squid: .[  OK  ]
[root@tyan-gt24-04 ~]#
[root@tyan-gt24-04 ~]# service squid status
squid (pid  9122) is running...
[root@tyan-gt24-04 ~]# service squid restart
Stopping squid: ...........
Stopping squid: ................[  OK  ]
rm: cannot remove `/boot': Device or resource busy
rm: cannot remove `/cgroup/cpuset/libvirt/lxc/cpuset.memory_spread_slab': Operation not permitted
rm: cannot remove `/cgroup/cpuset/libvirt/lxc/cpuset.memory_spread_page': Operation not permitted
rm: cannot remove `/cgroup/cpuset/libvirt/lxc/cpuset.memory_pressure': Operation not permitted
rm: cannot remove `/cgroup/cpuset/libvirt/lxc/cpuset.memory_migrate': Operation not permitted
.....
rm: cannot remove `/dev/shm': Device or resource busy
rm: cannot remove `/home': Device or resource busy


y simplemente se colgó aquí."


Evidentemente es sólo una nota de humor, porque como comentamos la versión con el bug nunca fue publicada y fue descubierta durante un proceso interno de QA del software. 

¿El fallo? Pues no chequear si la variable SQUID_PIDFILE_DIR está vacía en el script de arranque. Un ejemplo:

TEMP = "/tmp";

if [ -z "$TEMP"]; then echo "Vaya, la variable temp esta vacia"; else rm -rf $FEMP/*; fi


Oops, ¿ves el error? La segunda vez TEMP se escribió mal como FEMP, por lo que cuando se llama a la variable FEMP es inicializada y concatena
meramente  como "/"...

Fuente: https://bugzilla.redhat.com/show_bug.cgi?id=1202858

Facebook publica una herramienta de código abierto para simular distintas condiciones de red

Augmented Traffic Control (ATC) es una herramienta de código abierto (GitHub) desarrollada por Facebook para simular distintas condiciones de red para probar como se comportan sus aplicaciones. Se creó sobretodo para simular entornos de peor conectividad que los de sus laboratorios. De forma genérica permite controlar la conexión que tiene un dispositivo hacia Internet, concretamente:

- Ancho de banda
- Latencia
- Pérdida de paquetes
- Paquetes corruptos
- Orden de paquetes

Para que ATC sea capaz de controlar y modificar el tráfico debe ejecutarse en un dispositivo que enrute el tráfico y tengan un IP real, como la del gateway de la LAN del entorno.

ATC está hecho de múltiples componentes que interaccionan entre sí:

- atcd: el demonio de ATC responsable de configurar/desconfigurar el traffic shaping. atcd tiene un interfaz de Apache Thrift para interactuar.
- django-atc-api: Un aplicación Django basada en Django Rest Framework que facilita a atcd un interfaz RESTful.
- django-atc-demo-ui: Un aplicación Django que provee un sencillo Web UI para usar ATC desde un teléfono móvil.
- django-atc-profile-storage: Un aplicación Django que puede ser usada para salvar los perfiles de control de tráfico, haciendo más fácil reusarlo después sin tener que volver a introducir manualmente las configuraciones.

Al dividir ATC en sub-componentes, es más fácil trastear con él. Aunque django-atc-demo-ui se distribuye en el repositorio principal para facilitar su uso, también se facilita una REST API para interactuar con atcd vía comandos y permitir a la comunidad crear nuevas herramientas.


Las 10 mejores técnicas de hacking web en el 2014

Heartbleed elegida mejor técnica de hacking web de 2014
Como todos los años, WhiteHat Security (la empresa fundada en 2001 por Jeremiah Grossman) lleva a cabo un concurso con las mejores técnicas de hacking web

En enero ya os listamos las técnicas nominadas en la fase I y después de semanas de coordinación, investigación, votaciones de la comunidad y las valoraciones de un panel de especialistas por fin tenemos el top 10 final del 2014:
  1. Heartbleed
  2. ShellShock
  3. Poodle
  4. Rosetta Flash
  5. Residential Gateway “Misfortune Cookie”
  6. Hacking PayPal Accounts with 1 Click
  7. Google Two-Factor Authentication Bypass
  8. Apache Struts ClassLoader Manipulation Remote Code Execution and Blog Post
  9. Facebook hosted DDOS with notes app
  10. Covert Timing Channels based on HTTP Cache Headers
Fuente: Top 10 Web Hacking Techniques of 2014

Vulnerabilidad XSS persistente en un plugin de Wordpress para usar Google Analytics

Google Analytics por Yoast es un plug-in para monitorizar el tráfico en  WordPress con Google Analytics. Con aproximadamente siete millones de descargas es uno de las más populares.

Una vulnerabilidad XSS persistente en el plug-in permite a un atacante no autenticado almacenar HTML arbitrario, incluyendo JavaScript en el Dashboard del administrador de WordPress. El JavaScript se ejecutará cuando un administrador visite el panel de configuración del plug-in. No se requiere ninguna intervención del usuario.

Según la configuración predeterminada de WordPress, un usuario malintencionado puede aprovecharse de este problema para ejecutar código arbitrario PHP en el servidor a través de los plugins o editores de temas. Alternativamente, el atacante podría cambiar la contraseña del administrador, crear nuevas cuentas de administrador, o hacer cualquier otra cosa que el administrador actualmente registrado pueda hacer.

El error fue encontrado por el finlandés Klikki Oy a finales de febrero, aunque no se vio el impacto real hasta una investigación más detallada en marzo.

Cisc0wn: el 0wner/script para Cisco SNMP

Cisc0wn es un sencillo script que permite la enumeración SNMP, fuerza bruta, descarga de configuración y cracking de contraseñas de dispositivos con Cisco IOS. 

Fue publicado hace un par de años por NCC Group Plc bajo licencia AGPL y sigue siendo bastante efectivo. Requiere Metasploit, John the Ripper y snmpwalk (se recomienda usarlo en BT5 o Kali) y tiene las siguientes características:

- Comprueba si SNMP está habilitado en el router
- Realiza ataques de fuerza bruta para obtener comunidades de sólo lectura y de escritura (se puede editar el diccionario a utilizar en la cabecera del script)
- Enumera la información como la versión de IOS, nombre de host, tabla Arp, tabla de enrutamiento, lista de interfaces y las direcciones IP utilizando la cadena de comunidad RO o RW.
- Si se encuentra la comunidad RW entonces descarga la configuración del router de forma automática.
- A continuación, busca y muestra cualquier enable o contraseñas de telnet en texto claro.
- Si encuentra cualquier contraseña en tipo 7 la decodifica automáticamente.
- Muestra las contraseñas de tipo 5 y trata de crackearlas.

Uso:
git clone https://github.com/nccgroup/cisco-SNMP-enumeration.git
./cisc0wn.sh

IP-Box: un dispositivo para crackear la clave de 4 dígitos de iPhone

IP-BOX permite por menos de 200€ obtener la contraseña de 4 dígitos de cualquier iPhone con iOS 8 o inferior. 

Realiza un ataque de fuerza bruta (efectivo en menos de 17 horas) y probablemente se aprovecha de la vulnerabilidad CVE-2014-4451 que afecta a todos los iOS anteriores a 8.1.1 que no controlan adecuadamente el límite de intentos de acceso.

IP-BOX realiza de manera agresiva un corte de alimentación después de cada intento fallido, evitando así "Borrar datos después de 10 intentos", aunque no garantiza que el dispositivo no sea "formateado" si tiene activado esta configuración.

Sea como fuere, si no has actualizado a iOS 8.2 - por dejadez o porque tu dispositivo no soporta el nuevo iOS - se recomienda usar una contraseña fuerte: en Configuración > Código de acceso, desactivar 'Simple Passcode' y usar una contraseña de más de 10 caracteres alfanuméricos.

Fuentes:
- http://www.teeltech.com/mobile-device-forensic-tools/ip-box-iphone-password-unlock-tool/
- http://www.fonefunshop.co.uk/cable_picker/98483_IP-BOX_iPhone_Password_Unlock_Tool.html
- http://www.itgovernance.co.uk/blog/ip-box-brute-force-tool-cracks-any-iphone-password/

Yahoo prepara cifrado punto a punto en su correo y acceso sin contraseñas permanentes

Yahoo ha publicado en GitHub el código fuente de un plugin que permitirá el cifrado de extremo a extremo en su servicio de correo electrónico, y están solicitando retroalimentación de la comunidad de seguridad para asegurarse de que está construido correctamente. Se trata de un fork del de Google y se basa en el estándar de criptografía de clave pública de OpenPGP. Yahoo planea extenderlo a sus usuarios antes de fin de año.



Por otro lado, Yahoo también ha enseñado un nuevo sistema de autenticación que no utiliza contraseñas permanentes. En su lugar, asocian la cuenta de Yahoo con un teléfono y se envía bajo demanda un mensaje de texto con un código cada vez que se necesita iniciar sesión. Básicamente es sólo el segundo paso de la autenticación de dos pasos tradicional pero, según ellos, es "el primer paso para eliminar las contraseñas".