20 mujeres de #InfoSec a las que seguir en Twitter

Por supuesto que el mundo de la ciberseguridad no es exclusivo del género masculino. Si bien todavía son mayoría los hombres, cada vez hay más y más mujeres profesionales y entusiastas de la seguridad TI, yo ya he tenido muchas y muy buenas compañeras a lo largo de todos estos, faltaría más.

En TechBeacon han recopilado una interesante lista de cuentas de Twitter de mujeres hackers, pensadoras estratégicas y expertas en seguridad informática que no debéis perderos. Como veréis la mayoría son anglosajonas (de EE.UU. o UK), así que si conoces más perfiles interesantes a los que seguir, de habla hispana o incluso de esos o de otros países, no lo dudes y comparte!

  1. Window Snyder (@window): es la CSO de Fastly y co-autora de Threat Modeling, una guía práctica para la seguridad de aplicaciones.
  2. Lesley Carhart (@hacks4pancakes): trabaja para respuesta de incidentes en Motorola Solutions y se define como una princesa ciber-guerrera de amplio espectro. Su sitio web es tisiphone.net. 
  3. Sandra Toms (@sandra001): una geek del big data y también (nada más y nada menos) la vicepresidenta y comisaria de la Conferencia RSA.
  4. Jen Ellis (@Infosecjen):  vicepresidenta de la comunidad y asuntos públicos de Rapid7. Se centra en que todos trabajen juntos y en avanzar en el diálogo en la industria.
  5. Shannon Leitz (@devsecops): ingeniera de seguridad de la información y en la nube en Intuit. En 2014, Shannon recibió el Premio Scott Cook por desarrollar un innovador Programa de Seguridad en la Nube que permite proteger los datos sensibles en AWS.
  6. Kasha Gauthier (@kashagauthier): Kasha es directora de estrategia y marketing de RSA. También está en el comité de la Iniciativa Nacional para la Ciber Educación (NICE).
  7. Wendy Nather (@RCISCwendy): es la directora de investigación de Retail Cyber Intelligence Sharing Center. Su blog es http://idoneous-security.blogspot.com/
  8. Juliette Kayyem (@juliettekayyem): es la autora y anfitriona del podcast WGBH Security Mom. Recientemente, trabajaba como secretaria asistente del presidente Obama para asuntos intergubernamentales en el Departamento de Seguridad Nacional.
  9. Ann Barron-DiCamillo (@annie_bdc): es la directora de tecnología de Strategic Cyber Ventures. Tiene 18 años de experiencia en seguridad y en 2015 SC Magazine la nombró como una de las mujeres más influyentes en Seguridad de TI.
  10. Emili Evripidou (@Emil_i): es la gerente de seguridad de la información en Deloitte. También es fundadora y directora de Women in Security group, una organización sin ánimo de lucro destinada a elevar el perfil de las mujeres en el campo de seguridad de la información.
  11. Cecily Joseph (@cecilyjosephcr): es la vicepresidenta de la responsabilidad corporativa de Symantec. En la Comisión de San Francisco recibió el Premio de Derechos Humanos sobre la Condición de la Mujer por su trabajo en la promoción de la igualdad de género.
  12. Christina Ayiotis (@christinayiotis): es una abogada especialista en ciberseguridad reconocida internacionalmente. Actualmente es consultora de Cyber Sabbatical.
  13. Runa A. Sandvik (@runasand): es director de seguridad de la información en The New York Times. Echa un vistazo a este impresionante vídeo hackeando un rifle de francotirador "inteligente".
  14. Katie Moussouris (@k8em0): es la jefa de política de HackerOne. En un esfuerzo por hacer que Internet sea más seguro, Katie aconseja a los legisladores, investigadores y clientes sobre seguridad.
  15. Eleanor Dallaway (@InfosecEditor): es editora de Infosecurity Magazine. Ha sido reconocida por su genialidad y fue ganadora del premio One to Watch en los Premios de las mujeres influyentes en Tecnología (EWT) de 2013.
  16. Bev Robb (@teksquisite): está trabajando actualmente como editora de tecnología de seguridad en Fortscale. Ella es una blogger de seguridad e investigadora de Darknet. Su blog es: https://teksecurityblog.com.
  17. Elinor Mills (@elinormills): es una entusiasta de la seguridad/hacker y vicepresidenta de contenidos y estrategia de medios en Bateman Group. 
  18. Masha Sedova (@modMasha): es directora senior de compromiso y confianza de Salesforce. Se puede extraer una de sus fantásticas presentaciones en la transformación de la conciencia de seguridad aquí.
  19. Parisa Tabriz (@laparisa): es la directora de ingeniería de seguridad de Chrome en Google. Es conocida por explotar los navegadores web antes de que los malos sean capaces de hacerlo.
  20. SecuriTay (@SwiftOnSecurity): añade un poco de humor de seguridad a tu día a día.
Actualizaciones
*(venga vamos entre todos añadiendo algunas cuentas más, no seáis timid@s y comentar para ir aumentando la lista ;) ):
  • Binni Shah (@binitamshah): evangelista de Linux. Analista de malware y desarrolladora de kernel.
  • Mercè Molist Ferrer (@mercemolist): periodista amante de la cultura hacker. Ha escrito en los principales españoles. En los últimos 20 años ha acumulado una gran cantidad de información y contactos, que la llevaron a crear el proyecto Hackstory y el libro Hackstory.es.
  • María Garcia (@mgarciacase): editora del blog A Penny of Security y empleada pública, precisamente, dentro del área de seguridad IT.
  • Maite Moreno (@mmorenog): Ingeniera de Telecomunicación. Analista de Seguridad y Malware. Respuesta ante incidentes. Colaboradora habitual del genial blog http://www.securityartwork.es.
  • Yaiza Rubio (@yrubiosec): Miembro del Instituto de Ciencias Forenses de la UAM y colaboradora del Centro de Análisis y Prospectiva de la Guardia Civil. Da cursos de postgrado en análisis de inteligencia, de seguridad y de código abierto y también se dedica a la publicación de contenido científico y técnico.
  • Eva Suarez (@EvaSuarez22): actualmente trabaja en Eleven Path como ingeniera de desarrollo de productos. Especialista en Big Data y colaboradora del proyecto Sinfonier.
  • Oona Windytan (@windyoona): Hacker de "señales" y programadora en Finlandia. Autora del blog técnico Absorptions.

Nueva versión fortificada de Tor Browser con Selfrando para mejorar ASLR

Ya sabemos que, a parte de aprovechar ciertas debilidades en los protocolos de red, la principal alternativa para desanonimizar a los usuarios de Tor es intentar explotar las vulnerabilidades del software utilizado para acceder a la red de Tor. Como la forma más habitual para acceder a la red de Tor es usar el Tor Browser que se basa en Firefox, muchos de los ataques se basan en explotar las vulnerabilidades de este navegador. Por ejemplo el FBI ya lo hizo en 2013 y actualmente es sabido que sigue monitorizando la red de Tor mediante un ataque ideado por investigadores de la Universidad de Carnegie Mellon.
 
Hace unas semanas un grupo de investigadores de la Universidad de California, Irvine (UCI), publicaron un interesante paper llamado “Selfrando: Securing the Tor Browser against De-anonymization Exploits”. En dicho paper se presentaba Selfrando,  una técnica mejorada de randomización en tiempo de carga que puede implementarse en Tor Browser para defender a los usuarios de Tor contra ataques que permitan desanonimizarlos.

Básicamente consiste en variar la superficie de ataque, es decir el diseño de código, mediante la aleatorización de cada función por separado. Esto hace que escribir en memoria sea más difícil y aumenta la resistencia a la fuga de información de técnicas tradicionales de ASLR (Address Space Layout Randomization).



reGeorg: compromete un servidor web y crea proxy SOCKS a través de la DMZ (túnel TCP sobre HTTP)

Si durante un test de intrusión conseguimos comprometer un servidor web y subir archivos o una shell, siempre es interesante (además) usarlo para pivotar e intentar llegar a otros servicios y servidores de la red interna. Para ello se suele realizar un túnel para reenviar tráfico TCP sobre HTTP.
Hace años os hablamos de una herramienta para realizar estos túneles llamada Tunna y hoy os traemos otra que debéis tener también en vuestro arsenal: reGeorg.



ReGeorg de Sensepost (llamada reDuh hasta 2014) nos permitirá pivotar a la red interna creando un túnel TCP sobre HTTP mediante un servidor web que previamente hemos comprometido y levantando un proxy SOCKS4/5. Requiere python 2.7 y el módulo urllib3. Los pasos para usarlo son bastante sencillos:

1) Sube un fichero aspx/ashx/jsp/php al servidor web

2) Configura reGeorg ejecutando: python reGeorgSocksProxy.py -p 1337 -u http://web.example.com/uploads/tunnel.php

3) Actualizar tu fichero /etc/proxychain.conf para usar ese puerto y, por ejemplo, iniciar nmap y escaner puertos.

Puedes descargar reGeorg desde este enlace: https://github.com/sensepost/reGeorg

Pivot and pwn!

BadTunnel o el bug que permite secuestrar todo el tráfico de red y que afecta a todos los PCs con Microsoft Windows de los últimos 20 años

El pasado martes entre todas las actualizaciones y parches que publicó Microsoft se corregía por fin una que ha estado oculta y latente en las últimas décadas y que afecta a todos los sistemas operativos Microsoft Windows, desde Windows 95 hasta Windows 10. Concretamente el boletín MS16-077 que incluye el parche para la vulnerabilidad bautizada como BadTunnel que, básicamente, puede permitir a un atacante redireccionar todo el tráfico de la víctima mediante un NetBIOS-spoofing a través de red.

Su descubridor, el chino Yang Yu del lab Xuanwu de Tencent en Pekín que recibió 50.000$ de Microsoft, afirma que "esta vulnerabilidad tiene un impacto masivo en la seguridad - probablemente el mayor impacto en la historia de Windows [...] No sólo se puede aprovechar a través de muchos canales diferentes, si no que también existe en todas las versiones de Windows liberadas durante los últimos 20 años. Puede ser explotada en silencio con una tasa de éxito casi perfecta".

BadTunnel no es el error típico de programación: es una combinación de aspectos que en conjunto permiten la explotación de una vulnerabilidad. "Esta vulnerabilidad se debe a una serie de implementaciones aparentemente correctas, que incluyen un protocolo de capa de transporte, un protocolo de capa de aplicación, el uso un poco específico del protocolo de aplicación por el sistema operativo y varias implementaciones de protocolo utilizadas por firewalls y dispositivos NAT" explica Yu.

Puede ser explotado a través de todas las versiones de Microsoft Office, Edge, Internet Explorer y a través de varias aplicaciones de terceros en Windows. A diferencia de la mayoría de los ataques ni siquiera requiere de malware, aunque un atacante podría instalar programas maliciosos. Eso hace que sea aún más difícil de detectar. Además, un atacante también podría ejecutar el ataque a través de servidores IIS y Apache Web, así como a través de una unidad de disco USB.

Mediante un spoofing de netbios "en remoto", el atacante puede obtener acceso al tráfico de red sin estar en la red de la víctima, y también pasar por alto los firewalls y gateways (NAT) entre medias. El típico escenario sería el siguiente:

1.  Alice y Bob pueden estar ubicados en redes distintas y separadas por firewalls y pasarelas que hagan NAT, siempre y cuando el puerto 137/UDP de Bob sea alcanzable por Alice.

2.  Bob cierra los puertos 139 y 445 pero escucha en el 137/UDP.

3. Alice intenta acceder a una URI o ruta UNC para acceder a un archivo de Bob, y a otro hostname como "http://WPAD/x.jpg" o "http://FileServer/x.jpg". Alice envía una consulta NBNS NBSTAT a Bob, y también envía una consulta NBNS NB a la dirección de difusión de LAN.

4. Si Bob bloquea el acceso a los puertos 139 y 445 utilizando un firewall, Alice envía una consulta NBNS NBSTAT después de aproximadamente 22 segundos. Si en vez de eso Bob bloquea ambos puertos mediante la desactivación del Servicio de servidor de Windows o NetBIOS sobre protocolo TCP/IP, Alice no necesita esperar al timeout de conexión antes de enviar la consulta.

5. Cuando Bob recibe la consulta NBNS NBSTAT enviada por Alice, Bob crea una respuesta NBNS NB mediante la predicción de la identificación de la transacción, y la envía a Alice. Si un paquete de heartbeat se envía cada pocos segundos, y la mayoría de cortafuegos y pasarelas mantendrán el túnel 137/UDP <-> 137/UDP abierto.

6. Alice añadirá la dirección resuelta enviada por Bob a la caché NBT. El TTL predeterminado para la entrada de la caché NBT es de 600 segundos.

De esta manera Bob puede secuestrar el tráfico de red de Alice haciéndose pasar por un servidor WPAD (Web Proxy Auto-Discovery Protocol) o ISATAP (Intra-Site Automatic Tunnel Addressing Protocol (ISATAP). Elaborado y muy impresionante, ¿Verdad?

La solución: bloquear el puerto 137/UDP de cara a Internet e inmediatamente después parchear con MS16-077 y, si se tiene un sistema no soportado como XP pues desactivar Netbios sobre TCP.

Fuentes:
- BadTunnel: a vulnerability all Windows users need to patch
- Windows 'BadTunnel' Attack Hijacks Network Traffic
- 'BadTunnel' Bugs Left Every Microsoft Windows PC Vulnerable For 20 Years 
- Windows ‘BadTunnel’ Attack Hijacks Network Traffic 

- BadTunnel: a vulnerability all Windows users need to patch

PowerOps: haciendo más fácil el pentesting con PowerShell

"PowerShell Runspace Portable Post Exploitation Tool" aka PowerOps es una aplicación escrita en C# que no se basa en powershell.exe sino que ejecuta los comandos y funciones de PowerShell en un entorno de espacio de ejecución de PowerShell (.NET). Intenta incluir varios módulos PowerShell ofensivos para hacer el proceso de post explotación más fácil.

Se trata de seguir el principio KISS, siendo lo más simple posible. El objetivo principal es hacer que sea fácil usar PowerShell ofensivamente y ayudar a evitar las soluciones antivirus y otras de mitigación. Esto se hace principalmente de dos formas:

- No basándose en powershell.exe, llamando a PowerShell directamente a través del marco .NET, lo que podría ayudar a pasar por controles de seguridad como GPO, SRP y App Locker.
- Los payloads se ejecutan desde la memoria (cadenas codificadas en base64) y nunca tocan el disco, evadiendo la mayoría de los antivirus.

PowerOps se inspira en Cn33liz/p0wnedShell. PowerOps ofrece básicamente un símbolo del sistema PowerShell interactivo con las herramientas PowerShell que incluye y, además, permite ejecutar cualquier comando válido PowerShell.

Herramientas/funciones que incluye:

Lalin, un hackpack y herramientas de Kali para vagos

Lalin es un remake de Lazykali de bradfreda que corrige algunos bugs, añade nuevas características y actualiza las herramientas. Se trata de un simple script en bash muy útil para tener un recopilatorio a mano e instalar y tener actualizadas un buen número de herramientas para nuestro arsenal en Kali Linux. Es compatible con la última release de Kali (Rolling) y su funcionamiento es trivial:

- Extrae lalin-master a tu home o a otro directorio
- $ sudo chmod +x Lalin.sh
- $ sudo ./Lalin.sh

- Y selecciona lo que quieres hacer simplemente indicando el número



[...]

Proyecto: https://github.com/Screetsec/LaLin

¿Dónde está la bolita? Jugando con las pestañas del navegador para engañar al usuario (phishing avanzado)

El phishing tradicional funciona principalmente enviando a los usuarios un correo con un enlace que, si pinchan, les redireccionará a un sitio malicioso, normalmente una web falsa que se hace pasar por otra legítima. Pero, ¿y si la redirección al sitio falso se produce de forma inadvertida en una de las múltiples pestañas abiertas en el navegador?


Hoy vamos a ver dos formas ingeniosas para conseguirlo. La primera denominada 'Windows hijacking' que establecerá un contador al abrir una pestaña que una vez llegue a 0 cambiará la localización a la página fraudulenta. La segunda llamada 'tap nabbing' hará se cambie el contenido igualmente pero en otra pestaña que el usuario no está viendo en ese momento. De esa forma cuando el usuario vuelva a la pestaña creerá que la dejó abierta (por ej. Gmail) y se volverá a loggear.

Window hijacking

Es sabido que configurar un tag con un atributo como _blank tiene ciertos riesgos de seguridad:

https://mathiasbynens.github.io/rel-noopener/

Esto es debido a que una nueva página abierta tiene la capacidad de cambiar la ubicación de la ventana (windows location) con lo siguiente:

window.opener.location = "https://google.com"

Además es posible también crear una página web con la capacidad de crear una nueva página en una nueva pestaña, y luego cambiar la ubicación de la página recién creada después de un periodo arbitrario de tiempo. Esto se puede lograr de la siguiente manera:
<script>
    var windowHijack = function(){
        window.open('https://legitloginpage.xyz', 'test');
        setTimeout(function(){window.open('https://notlegitloginpage.xyz', 'test');}, 300000);
    }
</script>
<button onclick="windowHijack()">Open Window!</button>

En el ejemplo anterior, una nueva ventana se abre cuando se pulsa el botón y, 5 minutos más tarde, la nueva ventana cambiará de sitio. Incluso si en la nueva pestaña se navega a otro sitio web o se actualiza, el sitio original todavía podría cambiar la ubicación.

Ruby in the middle (RITM)

Ruby in the middle (RITM) es un proxy HTTP y HTTPS para interceptar tráfico con el que es posible firmar y generar certificados y firmas al vuelo, lo que deja al usuario con toda la potencia del lenguaje Ruby para interceptar e incluso modificar peticiones y respuestas como quiera.

El cliente intenta conectarse a cada nombre de servidor diferente. RITM genera un certificado sobre la marcha y lo firma con una autoridad de certificación preconfigurada (CA). Por lo tanto, con el fin de ser capaz de establecer una conexión segura se tendrá que configurar el cliente (por ejemplo, el navegador) para confiar en la CA de RITM. Por razones de seguridad, cada vez que se inicia el proxy de RITM con la configuración predeterminada se crea una nueva autoridad de certificación interna. Aunque si lo prefieres, también se puede utilizar una entidad emisora propia.

Instalación

gem install ritm

Uso básico

1.- Escribe tus "interception handlers":

require 'ritm'  
 # A single answer for all your google searches  
 Ritm.on_request do |req|  
  if req.request_uri.host.start_with? 'www.google.'  
   new_query_string = req.request_uri.query.gsub(/(?&lt;=^q=|&amp;q=)(((?!&amp;|$).)*)(?=&amp;|$)/, 'RubyInTheMiddle')  
   req.request_uri.query = new_query_string  
  end  
 end  
 my_picture = File.read('i_am_famous.jpg')  
 # Replaces every picture on the web with my pretty face  
 Ritm.on_response do |_req, res|  
  if res.header['content-type'] &amp;&amp; res.header['content-type'].start_with?('image/')  
   res.header['content-type'] = 'image/jpeg'  
   res.body = my_picture  
  end  
 end  

2.- Inicia el servidor proxy
 proxy = Ritm::Proxy::Launcher.new  
 proxy.start  
 puts 'Hit enter to finish'  
 gets  
 proxy.shutdown  

3.- Configura el navegador o el cliente HTTP del que quieras interceptar tráfico con el proxy

4.- Navega por Internet: por ejemplo busca cualquier cosa en Google o visita tu periódico favorito

Fuente: https://github.com/argos83/ritm

Firefox Security Toolkit, una herramienta que transformará tu Firefox en una suite completa de pentesting

Firefox Security Toolkit es un shell script que descargará e instalará las extensiones más importantes (las más votadas por la comunidad) para hacer pentesting. Además opcionalmente permite descargar el certificado de Burp Suite y una lista bastante extensa de agentes de usuario para User-Agent Switcher.   

A diferencia de OWASP Mantra y Hcon STF, Firefox Security Toolkit no necesita tanto desarrollo y mantenimiento. Las extensiones utilizadas se descargan directamente desde Mozilla Addons Store disponiendo por tanto de la última versión estable de cada una de ellas.

Uso:

bash ./firefox_security_toolkit.sh

Demo:

Addons:
  •     Cookie Export/Import
  •     Cookie Manager
  •     Copy as Plain Text
  •     Crypto Fox
  •     CSRF-Finder
  •     Disable WebRTC
  •     FireBug
  •     Fireforce
  •     FlagFox
  •     Foxy Proxy
  •     HackBar
  •     Live HTTP Headers
  •     Multi Fox
  •     PassiveRecon
  •     Right-Click XSS
  •     Tamper Data
  •     User Agent Switcher
  •     Wappalyzer
  •     Web Developer
Fuente: https://github.com/mazen160/Firefox-Security-Toolkit

Hackean el Mitsubishi Outlander PHEV mediante un fallo en la app Wi-Fi

El Mitsubishi Outlander PHEV es en la actualidad unos de los vehículos híbridos enchufables más vendidos en toda Europa, si no el que más. Imaginaros un SUV capaz de recorrer en eléctrico hasta 52 kilómetros con un consumo homologado de 1,8 l/100 km y todo con una buena relación calidad-precio. Una joya tecnológica que sin embargo puede hackearse fácilmente vía Wi-Fi.


Esta vez el aviso es cortesía de Pen Test Partners que señalan su particular forma de control remoto. Cuando lo normal es que para gestionar un vehículo remotamente (localizarlo, bloquearlo remotamente, encender las luces, etc.) se haga a través de un módulo GSM que se conecta a un webservice alojado en la infraestructura del fabricante u otro proveedor, en el caso de Outlander PHEV decidieron ahorrarse todo esto y que el propio coche montara un punto de acceso Wi-Fi. El usuario sólo puede conectarse dentro del rango Wi-Fi del AP del coche pero a cambio se evitan pagar la suscripción GSM y el hosting de turno.

El problema es que este sistema no lo implementaron de forma segura...