Hackerstrip, ¡un webcomic sobre historias reales de hackers reales!

Portada Vol. 1 previsto para agosto de 2015
Cuando Mikko Hypponen muestra abiertamente el apoyo a una campaña de crowdfunding sin duda merece la pena dejar un momento lo que estás haciendo y echar un vistazo... y no decepciona... se trata de Hacker Strip, ¡un webcomic sobre historias reales de hackers reales!

Un cómic que ofrece un vistazo al mundo de la seguridad en Internet como nunca lo habías visto antes. Las técnicas ilustradas implican algunos de los recientes incidentes más actuales en el sector de la seguridad y son muy similares a los escenarios del mundo real que representan. El primer volumen está casi hecho y en sus páginas encontraréis referencias a Heartbleed, el anonimato en Tor, la Web profunda y SilkR0ad, y muchas más sorpresas.


Necesitan apoyo para recaudar $10,000 y terminar de hacerlo posible. Los fondos serán utilizados para producir más episodios y para imprimir los ejemplares impresos del libro.

Campaña: https://www.indiegogo.com/projects/hackerstrip-real-stories-real-hackers

Distribuyen malware por medio de cigarrillos electrónicos

Sí, habéis oído bien, al parecer los cigarrillos electrónicos se han convertido en el último vector de propagación de software malicioso.

A pesar de que la idea podría parecer hilarante, muchos cigarrillos electrónicos se pueden cargar a través de USB, mediante un cable especial o mediante la inserción de un extremo del cigarrillo directamente a un puerto USB.

Una entrada publicada en Reddit informó de un extraño caso que ocurrió a un ejecutivo en el que se descubrió un malware en su sistema sin identificar de inmediato su origen.

"Un ejecutivo tenía una infección de malware en su ordenador desde el que no se pudo determinar el origen", dijo el usuario de Reddit "Después de que se comprobaran todos los medios tradicionales de infección, se comenzó a buscar otras posibilidades".
   
En la investigación sobre el caso se descubrió que el ejecutivo había dejado de fumar hace dos semanas y que se pasó a unos cigarrillos electrónicos hechos en China que compró en eBay a un precio unitario de tan sólo 5 dólares. Tras analizarlos pudieron determinar que venían con un malware hardcoded en el cargador y, una vez que la víctima lo conecta al ordenador, el código malicioso se comunica con el servidor C&C y descarga otro software malicioso para infectar el sistema.

"El e-cigarrillo hecho en China tiene malware hardcoded en el cargador, y cuando se conecta al puerto USB de una computadora el malware llama a casa e infecta el sistema."

De momento no hay demasiados detalles pero se considera que el caso podría ser un ataque plausible.

Fuente: Electronic cigarettes exploited in the wild to serve malware

PoC permite la ejecución remota de código en todas las versiones de IE (no parcheadas): CVE-2014-6332

Si sois de este mundillo seguro que tenéis presente que hace muy poco Micro$oft publicó un parche de seguridad para solucionar una vulnerabilidad presente en Internet Explorer 3.0, es decir hace 19 años, y que se ha ido heredando por todas las versiones posteriores de este navegador hasta que el 11 de noviembre de 2014 se publicó el boletín MS14-064 que la solucionaba.

Catalogada como CVE-2014-6332 tiene una puntuación de 9,3 sobre 10 en el CVSS (Common Vulnerability Scoring System), permite la ejecución de código remoto sin autorización del usuario y es incluso capaz de evadir el sandbox EPM (Enhanced Protected Mode) en IE11 y las protecciones de EMET.

El bug es causado por el incorrecto manejo del motor de VBScript del navegador al redimensionar arrays. VBScript.dll contiene un método de evaluación en tiempo de ejecución que mediante OleAut32.dll llama a la función SafeArrayRedim() para cambiar el tamaño del array. Sin embargo, si se produce un error, el tamaño no se resetea antes de regresar a la función de llamada, VBScript!CScriptRuntime::Run():



En VBScript, la explotación de este bug podría haberse evitado quitando el "On Error Resume Next" del código cuando la biblioteca OLEAUT32 devuelve un error. Como no es así es posible provocar un desbordamiento.

Además, ésto puede explotarse fácilmente gracias al denominado "Godmode", un flag que permite al navegador ejecutar VBScript sin restricciones como si fuera un shell local por lo que no es necesario preparar un payload y protecciones como DEP, ASLR y CFI no son aplicables.

Pues bien, recientemente el investigador chino Yuange1975 (adivinar cuantos añitos tiene Xd) ha publicado una PoC que permite escribir fácilmente código VBScript para comprometer equipos no parcheados. A continuación véase el código para probarlo, si bien un buen antivirus/malware debería detectarlo:

Lecciones de “malwareterapia”: disparen contra ese fantasma - parte 2

Viene de Lecciones de “malwareterapia”: disparen contra ese fantasma - parte 1 .

¿Cuáles son los requisitos básicos para ser un hacker? A lo mejor estoy aquí... hable y hable y resulta que ni los cumplo, ¿no?. Si yo estuviera en tu lugar me aseguraría primero de que el pendejo que tienes enfrente se atreviera a comprobar todo lo que está escupiéndote desde hace 2 horas. ¿O qué opinas? Sea como fuere, voy a quedarme sin saber tu opinión, si no ¿con qué confianza te puedo seguir contando mis medias verdades? La gente se pasa la vida contándose mentiras para que pasen por verdades cuando es mucho más divertido hacer lo contrario. La verdad ataviada de mentiras para que te la atragantes con ganas.  Aunque déjame decirte que una buena mentira puede hacer realidad los sueños más estrafalarios. Una buena mentira te podría meter en la cama de la mujer más buenota del mundo. Tú mismo nunca vas a imaginarte qué clase de mentiras de mierda te trajeron al mundo.

No está bien que lo diga, pero creo que el problema entre el mundo y yo no está en que él es muy normal y yo muy… muy hacker. Digo, cuál hacker no mames. La bronca que te quiero hacer notar es que el sacerdote y la puta no se llevan. Yo no soy una puta… aclaro, pero si soy un mustio ogt. Y también piruja wannabe. Y chilango wannabe. Y un blackhat wannabe. Con todas esas medallitas ya colgando de mí, ¿no sabrías diferenciar inmediatamente a un tipo medianamente decente y normal, aunque fuera un decente wannabe, de tu servidor?
¿Sabes lo que le pasa a un sacerdote que cae en la tentación de las putas? Que termina en el averno. Y cada persona que se junta conmigo la aterrizo derechito ahí. Yo la verdad no estoy interesado en joder al mundo, aunque parezca totalmente lo contrario. Porque en primera yo no quiero ser una puta, y menos otras cosas digamos… malsanas, pero después del blackhat para mí no hay tantas profesiones disponibles. Al mismo tiempo, mi constante enfrentamiento con mi entorno es la prueba viva de que yo tengo no sé, ciertos talentos. Sé muy bien cómo deshacer a los hombres, cómo corromperlos y sobornarlos desde atrás de mi monitor. Pero todavía tengo que probar que puedo hacer todo eso, sin lana de por medio.
Te lo pongo sencillo: El demonio dentro de mí necesita probar su kryptonita. “No quiero” ser una puta ya lo había dicho, sino el villano, el super villano. Ser villano es mil veces preferible a ser puta, y con este corazón roto por los años ya no puedo ser otra cosa. Además con las habilidades que he desarrollado sólo puedo convertirme en dos cosas: villano o pendejo. Como soy mustio ogt, mala persona y diablito, no me puedo inscribir más que en el primer club.
No dudo que en tu mundo de florecitas, la noviecita, la casita y ponys rositas tengas muchísimas opciones, pero en la calle sólo hay una: survival. La tomas o la dejas…

(Charlando con un Gray Hat en la Campus Party 2014, Cómo hackear a una mujer, Zapopan Jalisco, México; Junio 2014, Seguridad/Redes). 

Halt and Catch Fire, una serie de TV sobre los pioneros de la informática

Lo reconozco, soy un friki, por las noches me dan las tantas viendo series mientras hago y deshago mil cosas con mi portátil. Hoy, mientras escribo ésto, tengo delante ya el segundo capítulo de la serie 'Halt and Catch Fire' (HCF), una serie ambientada en el Silicon Prairie de Texas de principios de los 80, inmersa en plena revolución del ordenador personal donde se libra una guerra por hacerse un hueco en esta industria prometedora pero copada desde el principio por IBM. Para que os hagáis una idea, al comienzo de la serie hacen una ingeniería inversa de la BIOS de uno de sus equipos y, evidentemente, no le hace nada de gracia al gigante azul...
 
Cameron, rebelde ciberpunk, representa a la hacker creativa
Sin duda se trata de un "Must-See" para todos los amantes de la informática, con ciertos tintes de la cultura hacker, muchas ganas de "cambiar el mundo" y muchas analogías con empresas que luchaban por emerger en aquella época como Xerox, Compaq... Apple ¿os suenan?, con referencias incluso a frases de Steve y creo que también con un inherente paralelismo a su reciente película... Jobs, sobretodo a la hora de resaltar la importancia de la innovación pero también la usabilidad del producto y la búsqueda de la atracción del usuario en una frenética carrera por imponerse en un feroz mercado. 

¿Podrán imponerse las ganas y el talento de unos pocos al inmenso poder del que ya lo controla (casi) todo? ¿Lograrán su hegemonía? La respuesta es historia pero, de momento, la primera temporada de serie de 10 episodios ha tenido bastante aceptación y AMC ya ha aprobado la grabación de la segunda.

http://es.wikipedia.org/wiki/Halt_and_Catch_Fire_%28serie_de_televisi%C3%B3n%29

Y para los verdaderos curiosos: HCF se refiere a una instrucción en código máquina no documentada e incluida en el procesador con propósitos de prueba, con efectos secundarios poco habituales, normalmente la inutilización del sistema por una condición de carrera. 


http://es.wikipedia.org/wiki/Halt_and_Catch_Fire

Let’s Encrypt: Nace la CA libre para generar certificados HTTPS gratis y automáticamente

Información vital personal y de negocios fluye a través de Internet con más frecuencia que nunca, y no siempre sabemos cuando está sucediendo. Está claro que en este punto el cifrado es algo que todos nosotros deberíamos estar haciendo. Entonces, ¿por qué no usamos TLS (el sucesor de SSL) en todas partes? Cada navegador en cada dispositivo lo soporta. Cada servidor en cada centro de datos lo soporta. ¿Por qué no acabamos de empezar a utilizarlo?

El reto está en los certificados de servidor. La base para cualquier comunicación protegida con TLS es un certificado de clave pública que demuestra que el servidor al que estás hablando es en realidad el servidor con el que tratabas de hablar. Para muchos operadores de servidores, conseguir un certificado de servidor básico es simplemente demasiada molestia. El proceso de solicitud puede ser confuso, por lo general cuesta dinero, es difícil de instalar correctamente y, en general, es un dolor de cabeza actualizar.

Let’s Encrypt es una nueva autoridad de certificación libre, construida sobre una base de cooperación y apertura, que permite a todos estar en funcionamiento con certificados de servidor básicos para sus dominios a través de un sencillo proceso de un solo clic.

Mozilla Corporation, Cisco Systems, Inc., Akamai Technologies, Electronic Frontier Foundation, IdenTrust, Inc., y los investigadores de la Universidad de Michigan están trabajando a través del Grupo de Investigación de Seguridad de Internet ("ISRG"), una corporación de beneficio público de California, para entregar esta infraestructura tan necesaria en el Q2 de 2015. El ISRG dará también la bienvenida a otras organizaciones que compartan el mismo ideal, la seguridad en Internet abierta.

Los principios clave detrás de Let’s Encrypt son:

- Libre: Cualquier persona que posea un dominio puede obtener un certificado validado para ese dominio a coste cero.
- Automático: El proceso de inscripción para todos los certificados se produce fácilmente durante el proceso de instalación o configuración nativa del servidor, mientras que la renovación se produce de forma automática en segundo plano.
- Seguro: Let’s Encrypt servirá como una plataforma para la implementación de técnicas modernas de seguridad y buenas prácticas.
- Transparente: Todos los registros de emisión y revocación de certificados estarán a disposición de cualquier persona que desee revisarlo.
- Abierto: El protocolo de emisión y renovación automática será un estándar abierto y el software será de código abierto en la medida de lo posible.
- Cooperativa: Al igual que los propios protocolos de Internet subyacentes, Let’s Encrypt es un esfuerzo conjunto para beneficiar a toda la comunidad, más allá del control de cualquier organización.

Si quieres ayudar a estas organizaciones en hacer realidad la implementación de TLS en todas partes, así es como puedes participar:

     Patrocinador ISRG
     Ayuda a construir Let’s Encrypt

Más información en: https://letsencrypt.org/about/

Grave RCE en SChannel de Windows aka #WinShock

Hace unos días en Pastebin avisaban de que, si el viernes 14 de noviembre Micro$oft no categorizaba la vulnerabilidad MS14-066 / CVE-2014-6321 como un 0-day, se iba a publicar el exploit del llamado #WinShock o "SChannel Shenanigans", una vulnerabilidad grave que:

- puede explotarse antes de cualquier autenticación, en métodos que se llaman al principio por muchas, muchas aplicaciones, bibliotecas y servicios.
- siempre acaba con los privilegios de SYSTEM, de forma local o remota. Un exploit para "Modo Dios" con 100% de éxito.
- puede utilizarse de varias maneras y el código defectuoso está muy expuesto. Todo, incluyendo Windows 2000 en adelante es vulnerable.
- el código heredado se ejecuta siempre. Esto significa que las protecciones modernas como EMET no funcionan.

Concretamente el problema vuelve estar en la implementación de SSL y TLS, esta vez por Microsoft que lo hace mediante Secure Channel, también conocido como Schannel, que permite la ejecución remota de código al procesar paquetes especialmente modificados.
Finalmente la vulnerabilidad fue clasificada con una criticidad de 10.0 en la escala CVSS (CVE-2014-6321) y Microsoft tuvo que publicar un workaround y una actualización crítica para solucionarlo pero, ¿parchearán todos los sistemas Windows antes de ser atacados?... es una pregunta retórica... *muac* *muac* ^_^

Go, go, empieza la carrera... podéis encontrar un gran detalle técnico en la entrada del blog BeyondTrust y, como dice el autor, "se deja como ejercicio para el lector un análisis más detallado y la explotación" ;)

pd. Impacientes, ya tenéis una PoC de Immunity Inc para Canvas

MeterSSH: Meterpreter sobre SSH

MeterSSH de TrustedSec es una manera fácil de inyectar código shell nativo en memoria y llevarlo al atacante a través de un túnel SSH. Todo con un único fichero Python que se puede convertir fácilmente en ejecutable usando PyInstaller o py2exe.

Sólo hay que editar el archivo meterssh.py y añadir la IP del servidor SSH, el puerto, el nombre de usuario y la contraseña:

user = “sshuser”
# password for SSH
password = “sshpw”
# this is where your SSH server is running
rhost = “192.168.1.1”
# remote SSH port – this is the attackers SSH server
port = “22”


Al ejecutarlo en la máquina de la víctima se lanzará un meterpreter mediante inyección en memoria (en este caso windows/meterpreter/bind_tcp) y lo asociará al puerto 8021 tunelizándolo con el módulo ssh Paramiko:



Después en el servidor del atacante ejecutaremos monitor.py para
supervisar la conexión SSH y el shell hasta iniciar automáticamente Metasploit:



Puedes descargar meterssh de la página de Github:

https://github.com/trustedsec/meterssh

Razones por las que WhatsApp puede prohibirte su uso

Hoy me ha llamado la atención un post de Panda en el que hablaban de las razones por las que WhatsApp puede prohibir el uso de su servicio y, sobretodo, cómo puede saber si uno de sus usuarios ha violado ciertos términos y condiciones de uso para hacerlo. Véase:

- Haber sido bloqueado por un cierto número de usuarios
- Enviar mensajes de cadena
- Utilizar la plataforma para fines publicitarios
- Compartir material obsceno o ilícito
- Difundir archivos con virus
- Hacerse pasar por otra persona

Yo ya he infringido más de una... Xd pero, ¿cómo puede comprobar WhatsApp que estás infringiendo algunas de estas condiciones si no accede a tus conversaciones? ¿no se supone que son privadas?


pd. Si alguno ha sido o conoce a alguien que ha sido banneado por WhatsApp qué comparta su experiencia ;)

Fuentes:
- Reasons you can be kicked out of WhatsApp
- FAQ Why am I seeing the message "Your number is no longer allowed to use our service"?
- FAQ Why am I seeing the message “You’re temporarily banned from WhatsApp"?
- WhatsApp Legal Info - Terms of Service

Cataluña en ciberguerra...

El president de la Generalitat, Artur Mas, ha denunciado en rueda de prensa los ataques cibernéticos a la red de información del Govern durante la jornada del 9-N, "que pusieron en riesgo las redes del sistema sanitario y otros servicios básicos".

La 'guerra' de Cataluña tiene también lugar en el frente cibernético. En la mañana de el pasado sábado, poco después de que los colegios electorales hubiesen abierto sus puertas para la consulta catalana, las centralitas de varias comisarías de los Mossos d’Esquadra quedaron inundadas de llamadas y colapsadas. Nadie contestaba al otro lado de la línea. Pero todas las llamadas pertenecían a un número de teléfono concreto: era de Òmnium Cultural.

Evidentemente, esta entidad cívica, que es una de las impulsoras de el referéndum catalán , no tenía nada que ver con el asunto, pero la anécdota implica que alguien con amplios conocimientos, le había intervenido una línea de teléfono y la había hecho servir. “Para realizar un acto así se necesita una cierta logística. El tema no deja de ser una cierta gamberrada, pero también un aviso”.