Blackhole DNS servers: los agujeros negros de Internet

Una tarde cualquiera, los sistemas IPS de los firewalls detectaron varias ráfagas o floods de paquetes UDP desde dos IPs: 192.175.48.6 y 192.175.48.42. Sus nombres DNS en Internet respondían a blackhole-1.iana.org y blackhole-2.iana.org respectivamente...

Comprobar que su dominio pertenece a la entidad que ordena y asigna las IPs públicas en todo el mundo (IANA = Internet Assigned Numbers Authority) resultó ser bastante tranquilizador pero... ¿queréis saber que son exactamente estos servidores y por qué el firewall estaba detectando este tráfico?

Empecemos un poco desde el principio. Todos sabemos que en IPv4 y según la santísima RFC 1918 se reservan varios rangos de direcciones IP para su uso en redes privadas, estos son: 10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16 y 192.168.0.0/16. Evidentemente intentar resolver el nombre de una IP privada en Internet no tiene ningún sentido, pero los humanos somos unos gañanes y... sí... generamos millones de consultas DNS inversas diarias hacia Internet tratando de resolver nombres de IPs privadas. Esto suele ser por errores de NAT o porque, o bien no utilizamos un DNS propio o el de algún proveedor (pa qué) y preguntamos directamente a los root servers, o bien si utilizamos nuestro DNS propio pero no hemos incluido los direccionamientos privados en las zonas DNS correspondientes.

8 servicios proxy gratuitos para evitar restricciones y mantener el anonimato y la privacidad

Hace tiempo hablábamos de algunos servicios VPN gratuitos que nos permitían evadir ciertas restricciones de navegación web y mantener la privacidad y el anonimato. Sin embargo, otra alternativa que no podemos obviar es el uso de proxies web, algo más inseguro pero mucho más rápido, primero porque el proxy es un intermediario que sólo enmascara y enruta tráfico (sin dedicar recursos al cifrado) y segundo y sobretodo porque podemos usarlos sin necesidad de instalar nada, simplemente mediante el navegador web. 

En el blog de EFYTimes podemos encontrar una lista con ocho de los mejores servicios proxy gratuitos:

1. Proxy.org
Proxy.org es la guía pragmática del usuario para mantener la privacidad en línea y la navegación web anónima.

2. Proxify
Proxify es un proxy web que modifica cada página web que visites para que todos sus recursos (como enlaces, imágenes y formularios) apunten a Proxify.

3. XRoxy.com
Ofrece acceso gratuito a una base de datos de proxies abiertos que se actualiza con frecuencia a través de una interfaz de usuario flexible que permite ordenar la lista de proxies por tipo, nivel de anonimato, número de puerto, latencia de la conexión, etc.

Google Dork para encontrar Juniper SSL VPNs vulnerables a #HeartBleed

El corazón de Internet sigue sangrando... muestra de ello es un texto en pastebin de Surivaton en el que se muestra un Google Dork para buscar VPNs SSL de Juniper y luego comprobar si son vulnerables a Heartbleed. 

Descubrirás que hasta grandes compañías siguen siendo vulnerables pero ten cuidado y no te pongas a volcar usuarios y contraseñas como un loco, no te vaya a pasar lo mismo que a cierto adolescente canadiense que fue arrestado por explotar Heartbleed...

Usage:
Search google with: inurl:"/dana-na/auth/
Check each site with heartbleed openssl exploit.
Dump the vulnerable sites for a few hours.
Search through the files for USER and PASS.
The username and password should be stored in plain text.
Go to there login page: site.com/dana-na/auth/
Login with details

Contact with vulnerable site's administrator for a responsible disclosure

Juniper aviso de seguridad: 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160)

Surivaton's Pastebin: http://pastebin.com/u/surivaton

No siempre parcheo backdoors... pero cuando lo hago, añado otro (SerComm TCP/32764)

A principios de año hablábamos de un backdoor que el fabricante SerComm introdujo en numerosos routers de Cisco, Linksys, NetGear y Diamond y mediante el cual, a través del puerto TCP/32764 y sin necesidad de autenticación, se podía obtener un shell remoto con privilegios de root.

Aunque se han publicado actualizaciones que "solucionan" el problema del backdoor, Eloi Vanderbeken de Synacktiv ha analizado estos nuevos firmwares y demuestra que:

- un binario ft_tool abre un socket raw a la espera de un paquete con ethertype = 0x8888 y payload == md5(''DGN1000'')
- si llega el paquete de tipo == 0x201 se ejecuta system(''scfgmgr -f &''), es decir, se lanza scfgmgr, el binario del backdoor con la opción -f (escucha TCP)...

Por lo que sigue siendo posible reactivar el backdoor si estás en la LAN o eres el proveedor de Internet (estás a un salto del router).

En conclusión el backdoor era INTENCIONADO y se afanan en mantenerlo...

Presentación: http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf
PoC: http://synacktiv.com/ressources/ethercomm.c

¿TrueCrypt es entonces seguro o no? Liberado el primer informe de #IsTrueCryptAuditedYet

Si os acordáis hace unos meses os hablamos de un proyecto (#IsTrueCryptAuditedYet) que buscaba financiación colectiva para auditar el código de Truecrypt y verificar que no existe ningún backdoor o código malintencionado que pudiera comprometer la seguridad de los datos de los usuarios.

El 21 de enero de 2014 se anunció que iSec Research Lab ayudaría a revisar algunas partes de la versión 7.1a del popular software de cifrado. Esto incluía la revisión del bootloader y del driver de kernel de Windows en busca de posibles backdoors del sistema y otros fallos de seguridad.

Básicamente llevaron a cabo una revisión del código disponible públicamente (http://www.truecrypt.org/downloads2) e hicieron algo de fuzzing en diversos interfaces.

El 14 de abril se liberó el informe cuyos resultados muestran un total de 11 vulnerabilidades (4 medias, 4 bajas y 3 informativas):

1. Weak Volume Header key derivation algorithm
2. Sensitive information might be paged out from kernel stacks
3. Multiple issues in the bootloader decompressor
4. Windows kernel driver uses memset() to clear sensitive data
5. TC_IOCTL_GET_SYSTEM_DRIVE_DUMP_CONFIG kernel pointer disclosure
6. IOCTL_DISK_VERIFY integer overflow
7. TC_IOCTL_OPEN_TEST multiple issues
8. MainThreadProc() integer overflow
9. MountVolume() device check bypass
10. GetWipePassCount() / WipeBuffer() can cause BSOD
11. EncryptDataUnits() lacks error handling

Eso sí, iSEC no encontró evidencia de backdoors o código malicioso intencionado en ninguna parte. Las vulnerabilidades eran debidas a que no se siguieron buenas prácticas de programación segura (falta de comentarios, funciones obsoletas, tipos de variable inconsistentes, etc) y algunas debilidades en las comprobaciones de integridad de cabeceras de volumen (Volume Header integrity check).

Ahora a esperar a la II fase de criptoanálisis...

SANS ahora en España de la mano de One eSecurity

SANS Institute es una organización considerada líder mundial en formación y certificación en Seguridad de la Información. Ofrece una amplia gama de cursos diseñados especialmente para que los alumnos acaben dominando, a nivel teórico y práctico, la metodología y herramientas necesarias para la defensa de los sistemas y redes contra las amenazas más peligrosas.

One eSecurity, a través de su relación estratégica con SANS Institute, acerca esta formación de excelencia y se convierte en el Socio en exclusividad para la enseñanza de los cursos de SANS en España, ofreciendo a nivel nacional formación avanzada en el ámbito de la seguridad de la información. En España, con material en inglés pero impartido en español.

Calendario de cursos para 2014

 Curso   Localidad   Fecha    
 FOR408: Computer Forensic Investigations - Windows In-Depth
 Madrid   26-31 Mayo   
  
 SEC560: Network Penetration Testing and Ethical Hacking
 Madrid   2-7 Junio   
  
 SEC401: Security Essentials Bootcamp Style  Madrid   23-28 Junio    
 SEC575: Mobile Device Security and Ethical Hacking
 Madrid   22-27 Septiembre   
  
 SEC504: Hacker Techniques, Exploits & Incident Handling
 Madrid   20-25 Octubre   
  
 SEC503: Intrusion Detection In-Depth  Madrid   10-15 Noviembre    

El Modo Dios en Windows 7 (God Mode)

Desde principios de 2010 se conoce (y todavía sigue vigente) una característica oculta en Windows 7 denominada "God Mode" que permite a los usuarios acceder a todos los paneles de control del sistema operativo dentro de una sola carpeta. De hecho incluye más de 270 elementos configurables, muchísimos más de los que encontramos directamente dentro del Panel de Control estándar.
Lo más sorprendente es que basta con crear un nuevo directorio y renombrarlo con la siguiente cadena de texto al final:

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

Pruébalo y verás que serás capaz de manejar todo desde un solo lugar, desde cambiar la apariencia del puntero del ratón hasta hacer una nueva partición del disco duro. Se trata de un acceso directo para desarrolladores oculto y no documentado... y existen unos cuantos accesos directos más:

    Default Location – {00C6D95F-329C-409a-81D7-C46C66EA7F33}
    Biometrics – {0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
    Power Settings – {025A5937-A6BE-4686-A844-36FE4BEC8B6D}
    Notification Area – {05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
    Manage Credentials – {1206F5F1-0569-412C-8FEC-3204630DFB70}
    Get New Programs – {15eae92e-f17a-4431-9f28-805e482dafd4}
    Default Programs – {17cd9488-1228-4b2f-88ce-4298e93e0966}
    NET Framework Assemblies – {1D2680C9-0E2A-469d-B787-065558BC7D43}
    Wireless Networks – {1FA9085F-25A2-489B-85D4-86326EEDCD87}
    Network Neighborhood – {208D2C60-3AEA-1069-A2D7-08002B30309D}
    My Computer – {20D04FE0-3AEA-1069-A2D8-08002B30309D}
    Printers – {2227A280-3AEA-1069-A2DE-08002B30309D
    RemoteApp and Desktop – {241D7C96-F8BF-4F85-B01F-E2B043341A4B}
    Windows Firewall – {4026492F-2F69-46B8-B9BF-5654FC07E423}
    Performance – {78F3955E-3B90-4184-BD14-5397C15F1EFC}
    Sync conflicts: {289978AC-A101-4341-A817-21EBA7FD046D}
    Sync setup folder: {2E9E59C0-B437-4981-A647-9C34B9B90891}
    Windows Update: {36eef7db-88ad-4e81-ad49-0e313f0c35f8}
    Bluetooth Devices: {28803F59-3A75-4058-995F-4EE5503B023C}


Referencia: http://support.microsoft.com/kb/979240/es

Kevin Mitnick en Mundo Hacker Day 2014 (Madrid, 29 de abril)

Como ya sabéis, Mundo Hacker es una serie presentada por Antonio Ramos y Mónica Valle en el que semanalmente se debate sobre los distintos peligros en la red y cómo combatirlos. 

Ahora han organizado el evento MUNDO HACKER DAY 2014 que tendrá lugar el próximo 29 de abril en el Teatro Goya de Madrid y en el que destaca especialmente la participación de Kevin Mitnick (Cóndor). 

Así que ya sabes, si estas por Madrid por esas fechas tienes la oportunidad de ver en vivo a uno de los hackers más famosos de la historia...

http://www.mundohackerday.com

PoCs para explotar masivamente la vulnerabilidad Heartbleed (OpenSSL CVE-2014-0160)

Un fallo en la implementación de Heartbeat, una funcionalidad añadida a TLS/DTLS para refrescar una sesión segura sin necesidad de renegociar, permite leer partes de la memoria del proceso hasta 64kB. ¿Qué significa ésto? que cualquier persona en cualquier lugar del mundo y sin dejar casi huella puede obtener las sesiones de cualquier usuario autenticado en un servidor que corra OpenSSL 1.0.1 o posterior (hasta 1.0.1g), es decir, millones de servidores a los que accedemos mediante HTTPS son vulnerables.

Por eso la vulnerabilidad CVE-2014-0160 bautizada como Heartbleed (corazón sangrante) es ya considerada como uno de los mayores fallos de seguridad en Internet conocidos hasta la fecha.

Para solucionarlo las opciones son deshabilitar el soporte de Heartbeat (-DOPENSSL_NO_HEARTBEATS), actualizar OpenSSL y regenerar claves. ¿Cuándo? Pues debería ser inmediatamente porque ya están apareciendo algunos PoC que facilitan su explotación de forma masiva...

Comprueba localmente la complejidad de tus contraseñas... o si no hay más remedio ofuscala un poco antes (mi arma)

El otro día un compi de la oficina me comentó que un auditor externo le pidió que introdujera su contraseña en un sitio web para ver si la complejidad era la adecuada. Evidentemente no voy a decir el nombre de la empresa, ni la ISO de seguridad (fina ironía) para la que se realizaba la auditoría, ni el sitio que utilizó para chequear el password, pero lo que no me cansaré de decir es que introducir las credenciales en un sitio web de Internet para comprobar si una cuenta ha sido comprometida o para ver la complejidad de la contraseña es de todo... menos seguro. 
 
Sí, ya sé que algunas páginas son confiables y sólo piden la contraseña y ningún dato adicional, pero créanme si os digo que es posible deducir el usuario a través de otros métodos, envenenar la caché DNS o falsificar ARP, hacer un MiTM y... bueno ya sabéis.
Además ¿a qué no dirías tu PIN de la tarjeta del banco a un desconocido aunque sea con un pasamontañas puesto en la cabeza? Claro que no, podría haberte reconocido por la ropa o porque te ha visto antes o (peor) obligarte a identificarte...

Para estos casos siempre lo mejor es el sentido común: si vas a tener que introducir tu contraseña en un sistema de terceros modifícala (ofúscala) antes.