Lecciones de “malwareterapia”: disparen contra ese fantasma - parte 2

Viene de Lecciones de “malwareterapia”: disparen contra ese fantasma - parte 1 .

¿Cuáles son los requisitos básicos para ser un hacker? A lo mejor estoy aquí... hable y hable y resulta que ni los cumplo, ¿no?. Si yo estuviera en tu lugar me aseguraría primero de que el pendejo que tienes enfrente se atreviera a comprobar todo lo que está escupiéndote desde hace 2 horas. ¿O qué opinas? Sea como fuere, voy a quedarme sin saber tu opinión, si no ¿con qué confianza te puedo seguir contando mis medias verdades? La gente se pasa la vida contándose mentiras para que pasen por verdades cuando es mucho más divertido hacer lo contrario. La verdad ataviada de mentiras para que te la atragantes con ganas.  Aunque déjame decirte que una buena mentira puede hacer realidad los sueños más estrafalarios. Una buena mentira te podría meter en la cama de la mujer más buenota del mundo. Tú mismo nunca vas a imaginarte qué clase de mentiras de mierda te trajeron al mundo.

No está bien que lo diga, pero creo que el problema entre el mundo y yo no está en que él es muy normal y yo muy… muy hacker. Digo, cuál hacker no mames. La bronca que te quiero hacer notar es que el sacerdote y la puta no se llevan. Yo no soy una puta… aclaro, pero si soy un mustio ogt. Y también piruja wannabe. Y chilango wannabe. Y un blackhat wannabe. Con todas esas medallitas ya colgando de mí, ¿no sabrías diferenciar inmediatamente a un tipo medianamente decente y normal, aunque fuera un decente wannabe, de tu servidor?
¿Sabes lo que le pasa a un sacerdote que cae en la tentación de las putas? Que termina en el averno. Y cada persona que se junta conmigo la aterrizo derechito ahí. Yo la verdad no estoy interesado en joder al mundo, aunque parezca totalmente lo contrario. Porque en primera yo no quiero ser una puta, y menos otras cosas digamos… malsanas, pero después del blackhat para mí no hay tantas profesiones disponibles. Al mismo tiempo, mi constante enfrentamiento con mi entorno es la prueba viva de que yo tengo no sé, ciertos talentos. Sé muy bien cómo deshacer a los hombres, cómo corromperlos y sobornarlos desde atrás de mi monitor. Pero todavía tengo que probar que puedo hacer todo eso, sin lana de por medio.
Te lo pongo sencillo: El demonio dentro de mí necesita probar su kryptonita. “No quiero” ser una puta ya lo había dicho, sino el villano, el super villano. Ser villano es mil veces preferible a ser puta, y con este corazón roto por los años ya no puedo ser otra cosa. Además con las habilidades que he desarrollado sólo puedo convertirme en dos cosas: villano o pendejo. Como soy mustio ogt, mala persona y diablito, no me puedo inscribir más que en el primer club.
No dudo que en tu mundo de florecitas, la noviecita, la casita y ponys rositas tengas muchísimas opciones, pero en la calle sólo hay una: survival. La tomas o la dejas…

(Charlando con un Gray Hat en la Campus Party 2014, Cómo hackear a una mujer, Zapopan Jalisco, México; Junio 2014, Seguridad/Redes). 

Halt and Catch Fire, una serie de TV sobre los pioneros de la informática

Lo reconozco, soy un friki, por las noches me dan las tantas viendo series mientras hago y deshago mil cosas con mi portátil. Hoy, mientras escribo ésto, tengo delante ya el segundo capítulo de la serie 'Halt and Catch Fire' (HCF), una serie ambientada en el Silicon Prairie de Texas de principios de los 80, inmersa en plena revolución del ordenador personal donde se libra una guerra por hacerse un hueco en esta industria prometedora pero copada desde el principio por IBM. Para que os hagáis una idea, al comienzo de la serie hacen una ingeniería inversa de la BIOS de uno de sus equipos y, evidentemente, no le hace nada de gracia al gigante azul...
 
Cameron, rebelde ciberpunk, representa a la hacker creativa
Sin duda se trata de un "Must-See" para todos los amantes de la informática, con ciertos tintes de la cultura hacker, muchas ganas de "cambiar el mundo" y muchas analogías con empresas que luchaban por emerger en aquella época como Xerox, Compaq... Apple ¿os suenan?, con referencias incluso a frases de Steve y creo que también con un inherente paralelismo a su reciente película... Jobs, sobretodo a la hora de resaltar la importancia de la innovación pero también la usabilidad del producto y la búsqueda de la atracción del usuario en una frenética carrera por imponerse en un feroz mercado. 

¿Podrán imponerse las ganas y el talento de unos pocos al inmenso poder del que ya lo controla (casi) todo? ¿Lograrán su hegemonía? La respuesta es historia pero, de momento, la primera temporada de serie de 10 episodios ha tenido bastante aceptación y AMC ya ha aprobado la grabación de la segunda.

http://es.wikipedia.org/wiki/Halt_and_Catch_Fire_%28serie_de_televisi%C3%B3n%29

Y para los verdaderos curiosos: HCF se refiere a una instrucción en código máquina no documentada e incluida en el procesador con propósitos de prueba, con efectos secundarios poco habituales, normalmente la inutilización del sistema por una condición de carrera. 


http://es.wikipedia.org/wiki/Halt_and_Catch_Fire

Let’s Encrypt: Nace la CA libre para generar certificados HTTPS gratis y automáticamente

Información vital personal y de negocios fluye a través de Internet con más frecuencia que nunca, y no siempre sabemos cuando está sucediendo. Está claro que en este punto el cifrado es algo que todos nosotros deberíamos estar haciendo. Entonces, ¿por qué no usamos TLS (el sucesor de SSL) en todas partes? Cada navegador en cada dispositivo lo soporta. Cada servidor en cada centro de datos lo soporta. ¿Por qué no acabamos de empezar a utilizarlo?

El reto está en los certificados de servidor. La base para cualquier comunicación protegida con TLS es un certificado de clave pública que demuestra que el servidor al que estás hablando es en realidad el servidor con el que tratabas de hablar. Para muchos operadores de servidores, conseguir un certificado de servidor básico es simplemente demasiada molestia. El proceso de solicitud puede ser confuso, por lo general cuesta dinero, es difícil de instalar correctamente y, en general, es un dolor de cabeza actualizar.

Let’s Encrypt es una nueva autoridad de certificación libre, construida sobre una base de cooperación y apertura, que permite a todos estar en funcionamiento con certificados de servidor básicos para sus dominios a través de un sencillo proceso de un solo clic.

Mozilla Corporation, Cisco Systems, Inc., Akamai Technologies, Electronic Frontier Foundation, IdenTrust, Inc., y los investigadores de la Universidad de Michigan están trabajando a través del Grupo de Investigación de Seguridad de Internet ("ISRG"), una corporación de beneficio público de California, para entregar esta infraestructura tan necesaria en el Q2 de 2015. El ISRG dará también la bienvenida a otras organizaciones que compartan el mismo ideal, la seguridad en Internet abierta.

Los principios clave detrás de Let’s Encrypt son:

- Libre: Cualquier persona que posea un dominio puede obtener un certificado validado para ese dominio a coste cero.
- Automático: El proceso de inscripción para todos los certificados se produce fácilmente durante el proceso de instalación o configuración nativa del servidor, mientras que la renovación se produce de forma automática en segundo plano.
- Seguro: Let’s Encrypt servirá como una plataforma para la implementación de técnicas modernas de seguridad y buenas prácticas.
- Transparente: Todos los registros de emisión y revocación de certificados estarán a disposición de cualquier persona que desee revisarlo.
- Abierto: El protocolo de emisión y renovación automática será un estándar abierto y el software será de código abierto en la medida de lo posible.
- Cooperativa: Al igual que los propios protocolos de Internet subyacentes, Let’s Encrypt es un esfuerzo conjunto para beneficiar a toda la comunidad, más allá del control de cualquier organización.

Si quieres ayudar a estas organizaciones en hacer realidad la implementación de TLS en todas partes, así es como puedes participar:

     Patrocinador ISRG
     Ayuda a construir Let’s Encrypt

Más información en: https://letsencrypt.org/about/

Grave RCE en SChannel de Windows aka #WinShock

Hace unos días en Pastebin avisaban de que, si el viernes 14 de noviembre Micro$oft no categorizaba la vulnerabilidad MS14-066 / CVE-2014-6321 como un 0-day, se iba a publicar el exploit del llamado #WinShock o "SChannel Shenanigans", una vulnerabilidad grave que:

- puede explotarse antes de cualquier autenticación, en métodos que se llaman al principio por muchas, muchas aplicaciones, bibliotecas y servicios.
- siempre acaba con los privilegios de SYSTEM, de forma local o remota. Un exploit para "Modo Dios" con 100% de éxito.
- puede utilizarse de varias maneras y el código defectuoso está muy expuesto. Todo, incluyendo Windows 2000 en adelante es vulnerable.
- el código heredado se ejecuta siempre. Esto significa que las protecciones modernas como EMET no funcionan.

Concretamente el problema vuelve estar en la implementación de SSL y TLS, esta vez por Microsoft que lo hace mediante Secure Channel, también conocido como Schannel, que permite la ejecución remota de código al procesar paquetes especialmente modificados.
Finalmente la vulnerabilidad fue clasificada con una criticidad de 10.0 en la escala CVSS (CVE-2014-6321) y Microsoft tuvo que publicar un workaround y una actualización crítica para solucionarlo pero, ¿parchearán todos los sistemas Windows antes de ser atacados?... es una pregunta retórica... *muac* *muac* ^_^

Go, go, empieza la carrera... podéis encontrar un gran detalle técnico en la entrada del blog BeyondTrust y, como dice el autor, "se deja como ejercicio para el lector un análisis más detallado y la explotación" ;)

pd. Impacientes, ya tenéis una PoC de Immunity Inc para Canvas

MeterSSH: Meterpreter sobre SSH

MeterSSH de TrustedSec es una manera fácil de inyectar código shell nativo en memoria y llevarlo al atacante a través de un túnel SSH. Todo con un único fichero Python que se puede convertir fácilmente en ejecutable usando PyInstaller o py2exe.

Sólo hay que editar el archivo meterssh.py y añadir la IP del servidor SSH, el puerto, el nombre de usuario y la contraseña:

user = “sshuser”
# password for SSH
password = “sshpw”
# this is where your SSH server is running
rhost = “192.168.1.1”
# remote SSH port – this is the attackers SSH server
port = “22”


Al ejecutarlo en la máquina de la víctima se lanzará un meterpreter mediante inyección en memoria (en este caso windows/meterpreter/bind_tcp) y lo asociará al puerto 8021 tunelizándolo con el módulo ssh Paramiko:



Después en el servidor del atacante ejecutaremos monitor.py para
supervisar la conexión SSH y el shell hasta iniciar automáticamente Metasploit:



Puedes descargar meterssh de la página de Github:

https://github.com/trustedsec/meterssh

Razones por las que WhatsApp puede prohibirte su uso

Hoy me ha llamado la atención un post de Panda en el que hablaban de las razones por las que WhatsApp puede prohibir el uso de su servicio y, sobretodo, cómo puede saber si uno de sus usuarios ha violado ciertos términos y condiciones de uso para hacerlo. Véase:

- Haber sido bloqueado por un cierto número de usuarios
- Enviar mensajes de cadena
- Utilizar la plataforma para fines publicitarios
- Compartir material obsceno o ilícito
- Difundir archivos con virus
- Hacerse pasar por otra persona

Yo ya he infringido más de una... Xd pero, ¿cómo puede comprobar WhatsApp que estás infringiendo algunas de estas condiciones si no accede a tus conversaciones? ¿no se supone que son privadas?


pd. Si alguno ha sido o conoce a alguien que ha sido banneado por WhatsApp qué comparta su experiencia ;)

Fuentes:
- Reasons you can be kicked out of WhatsApp
- FAQ Why am I seeing the message "Your number is no longer allowed to use our service"?
- FAQ Why am I seeing the message “You’re temporarily banned from WhatsApp"?
- WhatsApp Legal Info - Terms of Service

Cataluña en ciberguerra...

El president de la Generalitat, Artur Mas, ha denunciado en rueda de prensa los ataques cibernéticos a la red de información del Govern durante la jornada del 9-N, "que pusieron en riesgo las redes del sistema sanitario y otros servicios básicos".

La 'guerra' de Cataluña tiene también lugar en el frente cibernético. En la mañana de el pasado sábado, poco después de que los colegios electorales hubiesen abierto sus puertas para la consulta catalana, las centralitas de varias comisarías de los Mossos d’Esquadra quedaron inundadas de llamadas y colapsadas. Nadie contestaba al otro lado de la línea. Pero todas las llamadas pertenecían a un número de teléfono concreto: era de Òmnium Cultural.

Evidentemente, esta entidad cívica, que es una de las impulsoras de el referéndum catalán , no tenía nada que ver con el asunto, pero la anécdota implica que alguien con amplios conocimientos, le había intervenido una línea de teléfono y la había hecho servir. “Para realizar un acto así se necesita una cierta logística. El tema no deja de ser una cierta gamberrada, pero también un aviso”.

La "ciberguerra" contra el cáncer recibe un nuevo impulso

Hace dos años, el Profesor Eshel Ben-Jacob, de la Escuela de Física y Astronomía y el Centro de la Universidad Rice de Física Biológica Teórica de la Universidad de Tel Aviv, hizo el sorprendente descubrimiento de que el cáncer, al igual que un hacker enemigo en el ciberespacio, se dirige a la red de comunicaciones del cuerpo para infligir daños generalizados en todo el sistema. Encontró que el cáncer poseía rasgos especiales para el comportamiento cooperativo y utiliza la comunicación intrínseca para distribuir las tareas, compartir recursos y tomar decisiones.

En una investigación publicada en la edición temprana de las Actas de la Academia Nacional de Ciencias, el Profesor Ben-Jacob e investigadores de la Universidad de Rice y el Centro de Cáncer MD Anderson de la Universidad de Texas, el principal centro de tratamiento del cáncer en los EE.UU., ofrecen una nueva visión de la interacción letal entre las células cancerosas y la red de comunicaciones del sistema inmunológico. Ben-Jacob y los co-autores del estudio desarrollaron un programa informático que modela un canal específico de comunicación de célula a célula que implica exosomas (nanotransportadores con "inteligencia" fundamental celular) que tanto el cáncer y las células inmunes aprovechan para comunicarse con otras células.

"Investigaciones recientes han encontrado que el cáncer ya es experto en el uso de una especie de "guerra cibernética" contra el sistema inmune. Se estudió la interacción entre el cáncer y el sistema inmunológico para ver cómo podríamos ser capaces de inclinar la balanza contra el cáncer", dijo el profesor, señalando la diferencia entre lo innato y las cualidades de adaptación del sistema inmunológico. "En el principio, el cáncer es inhibido por la inmunidad innata del cuerpo. Pero una vez que el cáncer se escapa de la inmunidad, hay una carrera entre la progresión del cáncer y la capacidad del sistema inmune adaptativo para reconocer y actuar en contra de el."

Microsoft publica la versión 5.1 de EMET

Microsoft ha lanzado la versión 5.1 de EMET (Enhanced Mitigation Experience Toolkit). Ya sabéis que EMET permite usar técnicas no implementadas por los desarrolladores de software elevando la seguridad hasta el máximo permitido Windows. Estas técnicas EMET, o mitigaciones, bloquean muchos de los métodos utilizados por el software malicioso y exploits de vulnerabilidades.

Esta nueva versión corrige varios errores y problemas de compatibilidad con diversas aplicaciones. Las aplicaciones incluyen Internet Explorer, Adobe Reader, Adobe Flash y Mozilla Firefox (estos problemas son de esperar con una herramienta tan "agresiva" como EMET que inicialmente no es parte de Windows). La nueva versión incluye también configuraciones especiales para Oracle Java 8 y Google Chrome y añade una función de "Telemetría Local", que permite al usuario guardar volcados de memoria cuando se desencadena una mitigación. Tenéis todos los detalles en Microsoft KB Article 3015976.

Eso sí, si utilizas EMET 5.0 con Internet Explorer 11 en cualquier Windows 7 o Windows 8.1, tendrás que actualizar a esta versión pronto para solucionar los conflictos que se generaron con las actualizaciones de noviembre de IE. Concretamente con la mitigación del EAF+, que es la Tabla de Exportación de Direcciones de Filtrado de Accesos Plus, que detecta las técnicas utilizadas por códigos maliciosos que llaman al API de Windows y acceden a ciertas características del entorno de ejecución.

Puedes descargar EMET 5.1 desde microsoft.com/emet o directamente desde aquí.

Fuente:
http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx

Comienza la primera fase de retos online para el CyberCamp de Incibe

Desde hoy hasta el próximo 16 de noviembre Incibe (aka Inteco) publicará una serie de retos que tratarán de las siguientes temáticas:
  •     Configuraciones inseguras
  •     Ingeniería inversa / Exploiting
  •     Análisis Forense
  •     Análisis de Código
  •     Vulnerabilidades web
  •     Criptografía
  •     Entornos reales
Cada vez que se resuelva una de las pruebas se darán puntos en función de su dificultad. Los 40 primeros (no se permiten grupos) podrán medirse en una segunda fase presencial en el 'CyberCamp', el encuentro internacional sobre ciberseguridad que tendrá lugar los próximos días 5 y 7 de diciembre en Madrid. Allí los participantes tendrán un entorno “real”, preparado para tal propósito y se repartirán interesantes incentivos, como pueden ser becas para trabajar en una empresa del sector de la seguridad informática e incluso tablets o portátiles. 
Pero de momento... ¡a participar!: https://cybercamp.es/retos