El coleccionista de fotos robadas (знаменитости утечка)

23 de agosto de 2014. Ni el verano angosto, ni la botella medio vacía de Zhuravlí, nada calma el frío aliento de esta jodida ciudad. Tan sólo el tenue reflejo de la vieja pantalla de un ordenador hecho de mil piezas requisadas y navego a bordo de cualquier proxy:
socks.setdefaultproxy(socks.PROXY_TYPE_SOCKS5, "127.0.0.1", 9050)
socket.socket = socks.socksocket

La alfombra roja arrastra hacia a mí a otra incauta, tan bella como ingenua, afirma desde su mundo perfecto e irreal: "My iCloud keeps telling me to back it up, and I'm like, I don't know how to back you up. Do it yourself.


Qué ironía... ya te tengo.


El 30 de agosto será la DefCon y queda ya muy poco para que se rebele un fallo en 'Find My iPhone', el servicio de Apple para localizar dispositivos perdidos de la manzana mordida en un mapa... y el servicio cuya API NO implementa protección ante a ataques de fuerza bruta. 


Basta con enviar una y otra vez la clásica cadena "Authorization Basic [<user en Base64>:<password en Base64>]". Sólo tengo que darme prisa y exprimir las pocas líneas de mi script de Python, cargar la munición y disparar otra ráfaga de "prueba y error". 

Ofrecen 10.000 euros y trabajo por crackear su smartcard

Una empresa de Girona ofrece empleo y 10.000 euros a quien rompa su producto estrella: una tarjeta-chip para guardar certificados y contraseñas

Las empresas españolas que fabrican tarjetas inteligentes pueden contarse con los dedos de una mano. Entre ellas destaca de forma importante Arkocard, con sede en Girona. Arkocard tiene la respuesta a la gran pregunta que se hacen cada vez más usuarios: ¿Si no podemos guardar las contraseñas en una libreta o un post-it, y tenemos demasiadas para memorizarlas, dónde las guardamos? Desde 2010 Arkocard dedica buena parte de su I+D a una smartcard pensada específicamente para almacenar contraseñas y certificados digitales. La empezó a comercializar en 2012 y ahora reta a la comunidad de hackers especializados en "cracking" (crackers) a romperla.

Arkocard nació en 1996 como fabricante de tarjetas de plástico y hoy en día la mitad de su producción son tarjetas con tecnologías de última generación, de las cuales fabrica 3 millones al mes. Una de sus grandes apuestas han sido las tarjetas RFID, que se leen por medio de radiofrecuencia, además del desarrollo de tarjetas criptográficas a las que se puede incorporar firma digital. Entre ellas brilla con luz propia la Safe Keeper Card, que permite guardar contraseñas cifradas y hasta diez certificados digitales dentro de su chip. De esta forma, sólo es preciso recordar una contraseña: la de la tarjeta.

Múltiples vulnerabilidades en servicios looking-glass de Internet

Para quien no lo conozca HackerOne es una plataforma para hospedar programas de recompensas por bugs de seguridad (bug bounty programs). Dentro de la misma dos gigantes como Microsoft y Facebook patrocinan el Internet Bug Bounty que paga por vulnerabilidades descubiertas en las tecnologías principales de Internet como DNS, BGP, SSL, etc. y en general cualquier fallo que afecte globalmente a muchos sitios o proveedores.

Recientemente han premiado con 5.000$ a Luca Bruno (kaeso) por un estudio llevado a cabo en mayo de 2014 para analizar la seguridad de los servicios denominados looking-glasses que ofrecen muchos AS (Autonomous Systems) para diversas pruebas de conectividad en Internet. Las razones que han llevado a identificarlos como fuente potencial de problemas son las siguientes:

- son scripts web directamente conectados a routers (telnet/ssh) del backbone (BGP)
- muchos de ellos han sido programados en los 90s o 00s sin tener en cuenta la seguridad
- muchos de ellos no han sido actualizados en años
- en muchos AS se ha desplegado software de código abierto

I Congreso Internacional de Nanotecnología de Seguridad y Defensa

La nanotecnología aporta numerosas innovaciones en el mundo de la seguridad y la defensa, tales como nuevos materiales, fuentes de energía, sensores, textiles, óptica y fotónica, investigación forense y criminalística. En Nano SD 2014 se presentarán los desarrollos, resultados de investigaciones y aplicaciones reales para empresas, cuerpos de seguridad y fuerzas armadas, así como los avances de la nanotecnología que impactarán en los próximos años. En NanoSD 2014 tiene diferentes posibilidades de participar:

  1. Presentando investigaciones: otros pueden complementarla o aplicarla.
  2. Asistiendo como delegado para conocer de primera mano el estado del arte en estos campos.
  3. Stand, para presentación de empresa y equipos
Asistencias confirmadas de directores de Nanociencia de la NASA, Lockheed Martin, Thales, Agencia Sueca de Defensa… así como destacados científicos de Reino Unido, Israel, Canadá, Rusia y Pakistán, entre otros países.

Fecha: 23 al 26 de septiembre de 2014

Lugar: Escuela Nacional de Policía (Ávila)


Inaugura: D. Ignacio Cosidó, Director General de la Policía
Participa: D. José Manuel García Montaño, Director General de Armamento y Material

Evasión de SOP en navegadores de Android < 4.4 (CVE-2014-6041)

La Política del mismo origen o Same Origin Policy (SOP) es una medida de seguridad básica que deben implementar todos los navegadores actuales. La idea es muy sencilla: el código de una página que se ejecuta en cliente (casi siempre javascript) no debe ser capaz de acceder al código de otra.

Eso es porque, aunque hay algunas excepciones con unas pocas propiedades y atributos, si se permitiera acceder globalmente desde un origen a otro (Esquema, dominio y puerto) un sitio A podría acceder a las propiedades de otro sitio B, es decir, un sitio malicioso podría obtener las cookies, location, response, etc. de otro sitio por el que está navegando el usuario. Un ejemplo claro sería cuando un usuario accede a un sitio malicioso y es posible robar una sesión de Facebook abierta en otra pestaña del navegador.

Pues bien, resulta que el navegador por defecto de todas las versiones de Android anteriores a la 4.4, el conocido como AOSP browser (Android Open Source Project), permite evadir La Política del mismo origen (SOP) cargando Javascript en un iframe o ventana cualquiera simplemente poniendo antes de "javascript:..." un byte nulo. Es lo que sería UXSS (Universal Cross-site Scripting).


Veamos un ejemplo claro:
<iframe name="test" src="http://www.prueba.com"></iframe>
 
<input type=button value="test"
 
onclick="window.open('\u0000javascript:alert(document.domain)','test')" >

Como veis el código intentará acceder a la propiedad document.domain del sitio www.prueba.com, y si lo hacéis desde un navegador vulnerable funciona. Se trata pues de un fallo crítico, el identificado con CVE-2014-6041, que afecta a la mayoría de los sistemas Android (que son los desafortunadamente no actualizados).

WikiLeaks publica malware alemán usado por agencias en todo el mundo para espiar periodistas, disidentes políticos y otros

Hoy, 15 de septiembre de 2014, WikiLeaks ha publicado copias inéditas del malware de vigilancia alemán utilizado por las agencias de inteligencia de todo el mundo para espiar a periodistas, disidentes políticos y otros.

FinFisher (hasta finales de 2013 parte de Gamma Group International en el Reino Unido) es una empresa alemana que produce y vende sistemas de intrusión informática, vulnerabilidades de software y sistemas de monitorización remota que son capaces de interceptar las comunicaciones y los datos de OS X, Windows y Linux así como de Android, iOS, BlackBerry, Symbian y los dispositivos de Windows Mobile. FinFisher llamó la atención pública en diciembre de 2011, cuando WikiLeaks publicó documentos que detallan sus productos y negocios (primer lanzamiento de SpyFiles).

Desde el lanzamiento de los primeros SpyFiles, varios investigadores han publicado distintos informes que identifican la presencia de productos FinFisher en países de todo el mundo y han documentado su uso en contra de periodistas, activistas y disidentes políticos.

Julian Assange, editor en jefe de WikiLeaks dijo: "FinFisher continúa operando descaradamente desde Alemania vendiendo software malicioso de vigilancia a algunos de los regímenes más abusivos en el mundo. El Gobierno de Merkel pretende aparentar estar preocupado por la privacidad, pero sus acciones hablan de otra manera. ¿Por qué el gobierno de Merkel continua protegiendo a FinFisher?. Esta versión completa del software ayudará a la comunidad técnica a construir herramientas para proteger a la gente de FinFisher y localizar sus centros de mando y control".

Cosmos Browser: conecta a Internet vía SMS, sin necesidad de datos o wifi

En 1992 se envió una felicitación navideña desde un ordenador en Reino Unido a un teléfono móvil: se trataba del primer SMS (Short Message Service).
Unos seis años después los famosos mensajes de 160 caracteres (o 70 si incluyes alguno especial) se popularizaron tanto que se establecieron como la gran alternativa a la llamada de voz ya que, a aparte del envío de palabras, también se utilizaban para realizar descargas de tonos o imágenes, participar en sorteos o votar en concursos.

Hoy en día sin embargo el uso del SMS ha disminuido drásticamente a favor de los servicios de mensajería instantánea como WhatsApp o Line y los grandes operadores de telefonía ofrecen bonos y tarifas planas que permiten el envío ilimitado de SMSs. ¿Y si aprovecháramos ésto y utilizáramos los viejos SMS para navegar también por Internet?

Eso es lo que permite Cosmos Browser, navegar por Internet mediante el uso de SMS, sin conexiones de datos móviles ni WiFi.

Cuando se introduce una URL en el navegador, se envía el texto a un número Twilio que reenvía la URL como una petición POST a un backend Node.JS. El backend recoge la respuesta, reduce el código HTML del sitio web, comprime con GZIP los css, imágenes y javascript, lo codifica en Base64, y envía los datos de vuelta en una serie de SMSs. El teléfono recibe el stream con un ratio de 3 SMS por segundo, los ordena y los descomprime para visualizarlo.

Sus autores todavía no han publicado la primera release, pero no queríamos perder de vista este proyecto:

https://github.com/ColdSauce/CosmosBrowserAndroid

Primeras Conferencias B-Sides en Colombia

Cada B-Sides es un marco impulsado por la comunidad para la construcción de eventos por y para los miembros de la comunidad de seguridad de información. Desde el año 2010 se vienen desarrollando eventos en ciudades de todo el mundo y próximamente tendrá lugar en Bogotá.

BSides Colombia es un espacio que busca desarrollar y compartir conocimiento en seguridad de la información, de la mano de los mejores expertos a nivel nacional e internacional en temáticas altamente técnicas, dentro de un ambiente innovador.

El evento ha sido creado para introducir un concepto diferencial a los eventos tradicionales de seguridad de la información por medio de charlas y espacios interactivos para los asistentes y patrocinadores.

Los espacios de BSides Colombia incluyen:

- Entrenamientos especializados los días previos al evento
- Área Comercial
- Espacios de Networking para los asistentes
- Muestras de grupos de investigación
- Reto de Seguridad: Capture The Flag, especialmente diseñado para el evento.
- Concurso de preguntas dentro del evento
- 3 Tracks con temáticas diferenciales:
    . HANDSON: BSides Colombia ha pensado un espacio donde practicar en vivo y de la mano de expertos, técnicas y herramientas, que son necesarias dentro del desarrollo del conocimiento en Seguridad de la Información, este es un espacio para mientras se aprende.
    . BLUE TRACK: Enfocado en defensa, las charlas de este espacio, serán desarrolladas para compartir estrategias y técnicas que permitan generar nuevas ideas frente a cómo protegerse contra las amenazas
    . RED TRACK: Charlas enfocadas a ataques, dentro de este track, se busca que los asistentes puedan entender cómo funcionan y que impacto pueden generar las vulnerabilidades existentes y emergentes dentro de su ecosistema de seguridad.

LUGAR – FECHAS:

 Bogotá, Octubre 8, 9 y 10 del 2014 – Cámara de Comercio de Bogotá – Calle 67 # 8 -32

PRECIOS
 - El valor de las charlas se encuentra entre 100.000 a 150.000 COP
 - Los entrenamientos se encuentran entre 600.000 y 1’200.000 COP

Más información en:

WEB: http://b-sides.co/
TWITTER: https://twitter.com/BSides_CO
FACEBOOK: https://www.facebook.com/bsidescolombia
BACKTRACK ACADEMY: http://backtrackacademy.com/b-sides-colombia/


Codetective: averigua el algoritmo de cifrado/codificación utilizado

A veces nos encontramos con hashes y otros artefactos y no podemos averiguar de dónde vienen y cómo se generaron. Codetective es una herramienta de Francisco Gama capaz de reconocer el formato de salida de muchos algoritmos diferentes con muchas codificaciones posibles para facilitar el análisis. También infiere los niveles de certeza para cada conclusión basada en las huellas del hash correspondiente.

Esto puede ser útil, por ejemplo, cuando estamos poniendo a prueba los sistemas desde una perspectiva de seguridad y somos capaces de obtener un archivo de contraseñas con hashes (tal vez de una copia de seguridad expuesta), o por un volcado de memoria. O también como parte de un proceso de fingerprinting o simplemente para verificar implementaciones válidas de diferentes algoritmos. También se puede ejecutar esta herramienta contra un archivo de captura de tráfico de red o contra grandes repositorios de código fuente.

Es posible usar Codetective de forma independiente (standalone) o como un plugin para el framework de Volatility. El uso es similar.

Descarga Codetective-0.8

Solucion al reto 19 "un mensaje de spam para el programador ese chusquero"

Recibí una notificación a través de la lista de correo de CTF-Colombia en la cual anunciaban el reto 19 de Hackplayers. Decidí entrar al sitio, para ver de qué se trataba.

Comencé a leer el reto, en realidad nunca me hubiese imaginado que dentro del texto de un correo spam se podía ocultar información; sin embargo después de ver la siguiente frase, lo creí razonable y muy viable:


"Vamos tío, para que mierda quieres eso. Está claro que es spam!" 


Esto me llevo a realizar la siguiente búsqueda en Google y rápidamente encontré un servicio online que permite ocultar y revelar mensajes dentro de spam. 

 

El uso del servicio es realmente intuitivo, ingresamos al sitio, luego escogemos la opción “decode” copiamos y pegamos todo el contenido del mensaje “spam”.