GHOST (CVE-2015-0235), el fantasma que se cierne sobre Linux

Qualys ha publicado una vulnerabilidad grave de desbordamiento de buffer en la función __nss_hostname_digits_dots() usada por otras funciones tan comunes como gethostbyname() y gethostbyname2() de glibc, que un atacante podría provocar al intentar resolver un nombre de host inválido (/etc/hosts o DNS).

Concretamente la función __nss_hostname_digits_dots() no calcula correctamente el tamaño del buffer que tiene que reservar y, bajo ciertas circunstancias, se pueden sobrescribir datos arbitrariamente mediante este desbordamiento. Aunque en principio sólo se pueden sobrescribir 4 bytes de memoria, se ha demostrado que son suficientes para evadir mitigaciones como ASLR y PIE y conseguir la ejecución remota de código.
En la práctica, esto se podría explotar solicitando resolver un nombre de host lo suficientemente largo (al menos 1KB) que cumpla los requisitos normales de nomenclatura (a.b.c.d).

 
Esta vulnerabilidad bautizada como GHOST (por su paralelismo con el nombre de la función afectada) y con código CVE-2015-0235, puede hacer que el atacante tome el control de un servidor Linux con el usuario de la aplicación que está ejecutando la resolución de nombre: Apache, Exim, Sendmail, Nginx, MySQL, TAZAS, Samba, ... ¡la lista es enorme!

Maldrone, el primer malware (conocido) para drones

El experto de seguridad Rahul Sasi (@fb1h2s) ha descubierto y explotado un backdoor en Parrot AR, un popular cuadricóptero que puede ser controlado fácilmente mediante un smartphone.

AR Drone posee un 9-DOF*, un sensor de ultrasonidos (baja altitud), un sensor de presión (altitud alta) y un sensor GPS.

*"Degrees Of Freedom" o "DOF" es una serie de ejes y sensores combinados para el equilibrio de un avión, un helicóptero o un robot.
Un 9-DOF es un 6-DOF (acelerómetros de 3 ejes combinados con un giroscopio de 3 ejes) combinado con un magnetotérmico (brújula).


El AR Drone tiene un binario llamado program.elf que controla el dron entero usado los datos de estos sensores. Este pequeño programa es suficiente para llevar acabo aterrizajes automáticos, estabilidad en vuelo y otras operaciones. El acceso a estos sensores se realiza mediante puertos serie:

/dev/ttyO0 —> rotors and leds
/dev/ttyO1 —> Nav board
/dev/ttyPA1 — > Motor driver
/dev/ttyPA2 —> accelerometer, gyrometer, and sonar sensors
/dev/video0 -->
/dev/video1 — > video4linux2 devices
/dev/i2c-0
/dev/i2c-1
/dev/i2c-2
/dev/usb-i2c

Ghiro: una herramienta forense para el análisis masivo de imágenes

En muchos casos los investigadores forenses necesitan procesar imágenes digitales como evidencia. En un análisis forense en el que se manejan muchas imágenes es difícil manejar tanta información al menos que se utilice una herramienta que facilite el trabajo.

Ghiro es una herramienta capaz de soportar gigas de imágenes, extraer y organizar la información y mostrarla en un informe en un formato agradable.
Todas las tareas están totalmente automatizadas, sólo tienes que cargar las imágenes y dejar que Ghiro haga el trabajo.

Además Ghiro es un entorno multiusuario, que permite diferentes permisos que se pueden asignar a cada usuario. Cada caso permite agrupar imágenes por tema, y elegir lo que cada usuario pueda ver según el esquema de permisos.

Casos de uso

No sólo los investigadores forenses pueden usarlo diariamente en su laboratorio de análisis,
Ghiro puede ser utilizado en muchos escenarios. Algunos ejemplos de casos de uso son los siguientes:

- Si necesitas extraer todos los datos y metadatos ocultos en una imagen de una manera totalmente automatizada

DAws, un webshell avanzado


DAws es un webshell php, escrito por dotcppfile y Aces, que tiene varias cosas que lo hacen bastante interesante:

- evasión de disablers: no sólo usa una función para conseguirlo si no que utiliza hasta seis distintas si es necesario. Por ejemplo, si shell_exec está desactivado en su lugar intentará utilizar exec, passthru, system, popen o proc_open. Igual que para descargar un archivo de un enlace, si no se puede usar curl  lo sustituirá por file_get_content que además se utilizará en cada sección y función del shell.


- codificación automática en base64: DAws codifica automáticamente la mayoría de sus GET y POST usando Java Script o PHP lo que permitirá al shell evadir casi todos los WAF existentes.


- administrador avanzado de archivos: DAws tiene todo lo que necesita un gestor de archivos y aún más, pero sus características principales son que todo se muestra de forma dinámica; los permisos de todos los archivos y carpetas se comprueban, por lo que las funciones que se pueden utilizar estarán disponibles basándose en esos permisos, lo que ahorrará tiempo y hára todo mucho más fácil.


- herramientas: DAws tiene bastantes herramientas útiles, tales como "bpscan", que puede identificar los puertos utilizables y no bloqueados en el servidor en pocos minutos y para más adelante usar por ejemplo un shell bind.


- todo lo que no se puede utilizar será eliminado simplemente para que los usuarios no tengan que perder el tiempo. Por ejemplo la ejecución de scripts c++ cuando no hay compiladores de C++ en el servidor (DAws habría comprobado múltiples compiladores en el primer lugar), en ese caso, la función será eliminada automáticamente.


- soporta Windows y Linux.


- código fuente abierto.


Proyecto: https://github.com/dotcppfile/DAws

El once titular del Barça de parodias en Twitter... suma más de 200.000 seguidores!

Las cuentas falsas parodiando personajes famosos existen prácticamente desde el inicio de Twitter. Unas son más ácidas que otras, muchas de ellas son graciosas, unas pocas transgresoras y otras simplemente buscan conseguir el mayor número de seguidores y el envío de spam.

Algunas cuentas se han intentado cerrar a petición de otros usuarios o los propios parodiados simplemente alegando usurpación de identidad. Si bien hay que tener en cuenta que no se podrá esgrimir dicha razón si el creador de la cuenta especifica claramente en su nombre y biografía que no es la misma persona o entidad que que parodia o imita. Además, evidentemente la cuenta no debe tratar de engañar o llevar a malas interpretaciones sobre su identidad.

¿Y a qué viene todo ésto? Pues estaba viendo el partido del F.C. Barcelona - Club Atlético de Madrid de Copa y en el móvil vi un retweet
muy cachondo desde una de estas cuentas "falsas". A partir de ahí empecé a buscar otros fakes de otros jugadores del Barça... En un rato tenía el 11 titular del partido, el entrenador, el cambio desde el banquillo, el club y hasta La Masía... y fijaros en el número de seguidores de algunas... Lol!

Las 25 peores contraseñas del 2014 (y que nunca deberías utilizar)

Desde 2011 SplashData, desarrollador de aplicaciones de gestión de contraseñas, analiza las contraseñas de las cuentas filtradas a lo largo del año y publica las 25 contraseñas más utilizadas. Es decir, las peores contraseñas que jamás deberías utilizar...

Este año han analizado más de 3,3 millones de credenciales y “123456” y “password” siguen siendo la primera y segunda respectivamente por tercer año consecutivo:
 
Ranking Contraseña Cambio respecto al 2013
1 123456 =
2 password =
3 12345 17
4 12345678 1
5 qwerty 1
6 123456789 =
7 1234 9
8 baseball New
9 dragon New
10 football New
11 1234567 4
12 monkey 5
13 letmein 1
14 abc123 9
15 111111 8
16 mustang New
17 access New
18 shadow =
19 master New
20 michael New
21 superman New
22 696969 New
23 123123 12
24 batman New
25 trustno1 1

Recordar que al menos tenéis que tener en cuenta las siguientes buenas prácticas a la hora de elegir una contraseña:

- La contraseña deber tener al menos 8 caracteres y debe combinar mayúsculas, minúsculas, números y símbolos.
- Evitar usar el mismo login (usuario y contraseña) en diferentes sitios web.
- Usar una administrador de contraseñas seguro para almacenar, organizar, generar aleatoriamente y usar automáticamente las contraseñas.

Fuente: http://splashdata.com/press/worst-passwords-of-2014.htm