Rompiendo la WEP

Rompiendo la seguridad WEP

Juan llevaba tiempo utilizando la conexión a Internet de sus vecinos. Bastó con encender por primera vez su nuevo portátil y descubrir que no era necesario
introducir ninguna contraseña para entrar en aquella red inalámbrica.

Aquel día, necesitaba comprar las entradas para el estreno de aquella película que tanto tiempo había esperado. Sabía que si no las obtenía ‘on-line’ tendría que esperar su turno dentro de aquella inmensa cola de gente, y la sala era pequeña...

Llegó a casa desde el trabajo, encendió su portátil y de repente sintió un escalofrío: “Sin conexión”.

Por un momento, pensó en bajar a reclamar a sus vecinos. Rectificó, y entonces recordó que su vecino le comentó que se iba esa semana de vacaciones, si, justamente después de decirle que quería cambiarse de proveedor porque la conexión iba muy lenta, entonces Juan pensó en silencio que días antes estuvo descargando varios DVDs…

Realmente Juan estaba desesperado. Los vecinos habían cortado la corriente eléctrica durante su ausencia y consecuentemente el router estaba apagado.

Pero el necesitaba comprar aquellas entradas como fuera …

Empeñado, Juan actualizó la lista de redes accesibles y se exaltó al descubrir una nueva red dentro de su alcance, eso sí, con seguridad habilitada.

Nervioso, se percató que la red usaba cifrado WEP y recordó que recientemente leyó un artículo en una revista de informática donde explicaba el proceso para conseguir la contraseña en ¡tan sólo unos minutos!.

Rápido, cogió la revista e identificó fácilmente dicho artículo:
“Rompiendo la seguridad WEP”.

Cogió el CD que regalaban con esa revista, lo introdujo en su portátil, instaló todos los programas que necesitaba y siguió concienzudamente cada paso del artículo.

Lo primero que hizo, tal y como indicaba aquel salvador texto, fue poner su tarjeta de red inalámbrica con chipset Atheros en modo monitor.

Posteriormente, mediante Airoscript, procedió a capturar datos del canal de la red a través de Airodump, de los que pudo extraer unos 250.000 Iv’s.

Finalmente, con esa información y a través de Aircrack, le bastaron tan sólo 15 minutos para obtener la contraseña.

Juan agarró fuerte su portátil e impaciente introdujo la contraseña que había conseguido.

Emocionado, observó cómo a través de su navegador volaba raudo hacia la reserva de sus entradas.

Introdujo sus datos y validó la compra.

Al día siguiente en la oficina, Juan llamó al informático y alardeó de su victoria. Aún más, crecido por su descubrimiento, propuso invitarle a ver la película en el difícil caso de que todavía quedaran entradas.

Cuando Juan accedió a su cuenta para intentar realizar la nueva reserva se desmoronó asombrado al ver el mensaje en la pantalla:

“Lo siento. Actualmente el crédito de su cuenta es de 0 €"

Conclusiones


La situación que describe esta historia es un reflejo de la situación actual de la seguridad de las redes inalámbricas:

La red inalámbrica de los vecinos de Juan era una red abierta. Aunque parezca difícil en nuestros tiempos, existe un alto porcentaje de redes inalámbricas que no implementan seguridad y, en aquellas que se aplica, en general, es insuficiente.

Aunque Juan utilice la conexión gratis solamente para navegar, otras personas pueden tener intenciones maliciosas y lucrativas: los delincuentes han encontrado en las redes abiertas una forma segura de realizar sus maniobras, sin dejar rastro o culpando al dueño de la red de sus actos delictivos en Internet.

La nueva red descubierta por Juan utilizaba el protocolo WEP que, aunque es considerado ineficaz debido a sus múltiples vulnerabilidades, todavía es el protocolo más utilizado para la seguridad en las redes inalámbricas.

WEP (Wired Equivalent Privacy), forma parte del estándar 802.11 y es el sistema más simple de cifrado.

El cifrado WEP se lleva a cabo partiendo de la clave compartida (40 o 104 bits) entre dispositivos, que el usuario ha tenido que configurar en cada una de las estaciones. A esta clave se le agrega un vector de inicialización (IV) aleatorio de 24 bits concatenándolo con la clave compartida para generar la llave de cifrado. Posteriormente, WEP utiliza esta llave para cifrar la salida de datos a través del algoritmo RC4.

Las debilidades de WEP se basan en que, por un lado, las claves permanecen estáticas y por otro lado los 24 bits de IV son insuficientes y se transmiten sin cifrar.

Un atacante puede recopilar suficientes paquetes similares cifrados con el mismo IV y utilizarlos para determinar el valor del flujo de bits y de la clave compartida.

Por último y lamentablemente, Juan se sorprendió al descubrir que el crédito de su cuenta había desaparecido: la red inalámbrica a la que consiguió acceder era una elaborada trampa para robar sus datos.

Empresas de seguridad alertan del aumento de este nuevo tipo de ciberdelitos: se trata de un tipo de “phishing” o engaño adaptado a las tecnologías inalámbricas en la que se crean puntos de acceso "fraudulentos" para robar los datos.

No se necesita ser un experto para establecer un punto de acceso wireless y asignarle el nombre de un proveedor local, dirigiendo al Proxy de forma transparente, todos los datos a través de la red. Haciendo esto, el hacker obtiene acceso a las credenciales de autenticación originales de todos los usuarios, además de poder observar todas sus comunicación encriptadas.

Recomendaciones


En la actualidad las redes inalámbricas son una fácil vía de entrada a ataques dirigidos y códigos maliciosos de todo tipo, que afectan tanto a empresas como a particulares. Se recomienda tener en cuenta las siguientes recomendaciones:

Los algoritmos de cifrado más débiles, tales como WPA (WiFi Protected Access) con una frase corta, o WEP (Wired Equivalency Privacy) pueden ser vulnerados en cuestión de minutos. Por ello se recomienda encarecidamente el uso de cifrado WPA2.

Cambiar los nombres y contraseñas de las configuraciones por defecto.

Monitorizar la aparición de nuevos puntos de acceso en las proximidades y recordar a los clientes móviles los peligros de conectarse a un punto de acceso equivocado o malicioso

Utilizar medidas adicionales como filtrado de IP y MAC y autenticación 802.1X.

Limitar el rango de distribución de la señal del punto de acceso, de modo que los clientes puedan conectarse solo hasta cierta distancia.

Considerar la ocultación del SSID

Extraído de http://unlugarsinfin.blogspot.es

OWASP NYC AppSec 2008 Conference

En el siguiente enlace podemos encontrar publicado los videos y presentaciones correspondientes a la conferencia OWASP NYC AppSec 2008.

http://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference

Extraído de http://unlugarsinfin.blogspot.es

Tipos de escaneo

A continuación listo los distintos tipos de escaneo. En próximos artículos explicaré un poco por encima la metodología para cada uno de ellos.





























Extraído de http://unlugarsinfin.blogspot.es

Clickjacking

Se trata de una nueva vulnerabilidad a la que parecen expuestos los navegadores modernos y de la que se conocen pocos detalles. El Clickjacking se resume en lo siguiente: un usuario hace clic sobre un enlace o botón que está viendo y en realidad lo hace sobre otro enlace controlado por terceros. Se trata de una vulnerabilidad presentada en la conferencia de seguridad OWASP de la que los detalles se mantienen en secreto.

Sobre el Clickjacking se cierne un halo de cierto misterio. El pasado 24 de septiembre, en el marco de las conferencias de seguridad OWASP, dos reputados expertos en seguridad de navegadores web, Jeremiah Grossman y Robert Hansen, iban a ofrecer una conferencia sobre Clickjacking en la que iban a desvelar serias vulnerabilidades que afectaban a los navegadores web más importantes. Sin embargo la conferencia fue cancelada a petición de Adobe, de cuyo software y concretamente Flash se especula que provienen gran parte de los problemas. La anulación de la conferencia les valió incluso un agradecimiento oficial por parte de la compañía.


La verdad es que esta política ha conseguido casi el efecto contrario y ha provocado toda una serie de especulaciones sobre el contenido de las revelaciones que iban a realizar los dos expertos. Algunos recomiendanmedidas drásticas, incluso sugiriendo la vuelta al uso de navegadores sólo texto como el Lynx mientras no se sepan más detalles. Así que ¿qué es eso del Clickjacking? ¿Es de verdad tan peligroso? En un artículo de PC Advisor se pueden leer algunas declaraciones de Grossman en las que sin dar demasiados detalles plantea el fenómeno como algo muy serio "Piensa en cualquier botón en cualquier web que puedes hacer aparecer dentro de las paredes de un navegador: transferencias de bancos, botones DIgg,banners de publicidad, la lista es virtualmente infinita.. Luego considera que un ataque puede superponerse de forma invisible sobre estos botones bajo el puntero del ratón, así quec uando éste hace clic sobre algo que está viendo, realmente está haciendo clic sobre algo que el atacante quiere que el usuario active". Una descripción escalofriante y que ha puesto a muchos expertos a pensar. Una de las conclusiones es que no se trata de un problema que pueda solucionarse simplemente con un parche.

El problema es que el usuario estaría activando "voluntariamente" un enlace malicioso, pero desde el punto de vista del navegador la páginano tiene ningún enlace sospechoso. Cualquier navegador compatible con páginas dinámicas, ya sea por DHTML o Javascript, es decir, todos los navegadores modernos, estaría expuesto a esta vulnerabilidad. La solución para impedir el Clickjacking sin tener que volver a utilizar navegadores en desuso para el gran público hace décadas, la podemos encontrar en paginas especialistas en seguridad como Kriptópolis. En particular, para los usuarios de Firefox, existe un programa llamado Noscript queprotege de ese tipo de ataques, pero elimina la funcionalidad de cualquier script en Java, Javascript o Flash a menos que lo activemos individualmente para cada sitio web. Tal y como explican en Webmokey, la propia página de descarga de Noscript es un caso de Clickjacking. El usuario hace clic en un enlace de descarga local, pero el código dela página muestra al navegador el enlace de la página de scripts oficiales de Firefox, de forma que la instalación se puede realizar de un solo paso.


El verdadero problema de seguridad, según los expertos, es que las páginas web y en consecuencia los navegadores son cada día más complejos, contienen más código y más contenido dinámico para encandilar y facilitar la navegación al usuario.Eso hace que se multipliquen las posibilidades de enmascarar malware.Lo cierto es que el Clickjacking se ha hecho famoso por el halo de misterio creado por la repentina discreción de Grossman y Hansen.En realidad ellos mismos reconocieron que es un fenómeno que se vieneproduciendo en la web desde hace tiempo. Otros ataques similares, comoel "Cross Site Request Forgery" o el "Cross Site Scripting" ya son muy conocidos y también aprovechan la potencia del lenguaje de script para engañar tanto a servidores como a usuarios.

¿Y la solución? Según el mencionado artículo de PC Advisor, Hansenopina que la única forma razonable de solucionar el problema es dellado de los navegadores. Al parecer él y Grossman ya se han puesto encontacto con Microsoft, Mozilla y Apple para ofrecer la información que obra en su poder y según ellos "están trabajando en una solución". Según el experto Michal Zalewski, además de soluciones circunstanciales, una solución "sabia" desde el punto de vista de la seguridad sería la de redefinir el lenguaje HTML para construir modelos de seguridad para navegadores que permitieran el control específico de todas las formas de enlaces yr eferencias dentro de una página. Una propuesta interesante,sensata aunque casi irrealizable (como él mismo confiesa) que retratacómo un modesto lenguaje de descripción de páginas se ha ido complicando tanto que ha abierto demasiadas lagunas de seguridad.

Extraído de http://unlugarsinfin.blogspot.es

DISI 2008

Lunes 1 de diciembre de 2008
3ª Edición del Día Internacional de la Seguridad de la Información

DISI 2008

Fecha del evento: Lunes 1 de diciembre de 2008
Lugar: Salón de Actos del Campus Sur - Universidad Politécnica de Madrid

08:00 - 09:00
Registro
09:00 - 09:15
Inauguración
D. Javier Uceda, Rector Universidad Politécnica de Madrid
D. Ramón Capellades, Subdirector General Técnico de Applus+
Dra. Radia Perlman, Sun Microsystems
D. César Sanz, Director de la EUITT - Universidad Politécnica de Madrid
D. Jorge Ramió, Director de la Cátedra UPM Applus+
09:15 - 10:30
PRIMERA PARTE
Chairman: D. Jorge Ramió
Conferencia inaugural: Adventures in Network Security
Dra. Radia Perlman, Sun Microsystems Fellow, Network Protocols and Security Project Principal Investigator (Estados Unidos)
Abstract:
Often researchers focus on the abstruse math of cryptographic algorithms, and ignore the most important problems in network security. This talk discusses some of the areas that have been surprising by being either easier than expected or more difficult. I will also discuss some of the areas of research I am working on.

10:30 - 11:45
Conferencia invitada: La Investigación en Seguridad
Dr. Arturo Ribagorda, Director del Grupo Seguridad de la Información y de las Comunicaciones, Universidad Carlos III de Madrid (España)
Resumen:
Aunque desde tiempos remotos se ha investigado en el campo de la seguridad (criptografía), para atender a los objetivos del DISI, nos centraremos en los trabajos que se llevan a cabo en España, principalmente de desarrollo de algoritmos criptográficos (fundamentalmente en Centros de Matemáticas) y de seguridad en redes (fundamentalmente en Centros Tecnológicos).
11:45 - 12:15

Ponencia: Tecnologías Antiforense
D. Manuel Vázquez, Jefe de la Brigada de Investigación Tecnológica de la Policía Nacional (España)
Resumen:
En los últimos tiempos se ha venido notando un incremento y sobre todo una popularización en el uso de las llamadas medidas antiforenses. Se trata de utilizar determinadas técnicas que, sin estar generalmente pensadas para ello, dificultan la labor de investigación al impedir un correcto análisis forense de los dispositivos. No se trata tan sólo de las tradicionales fórmulas como la encriptación sino otras tan simples como la destrucción de datos o tan sofisticadas como las modificaciones en los sistemas de ficheros.

12:15 - 13:00
DESCANSO Y CÓCTEL
13:00 - 13:30
SEGUNDA PARTE
Chairman: D. Justo Carracedo, Catedrático EUITT
Ponencia: Investigación del Cibercrimen
D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil (España)
Resumen:
Descripción del proceso de la investigación del delito informático, desde la denuncia o conocimiento público del delito hasta la presentación de las pruebas incriminatorias ante la autoridad judicial, detallando especialmente el procedimiento de construcción de la prueba electrónica, todo ello enmarcado en el escenario legislativo español.
13:30 - 14:00
Ponencia: Ciberdefensa: Iniciativas en la OTAN
D. Daniel Acuña, Director de Sistemas de Defensa y Seguridad, Isdefe, S.A. (España)
Resumen:
En el marco de la Defensa Nacional y aún más en el de las Organizaciones Internacionales de Defensa como es la OTAN se está asumiendo que el Ciberespacio es un entorno de confrontación de la misma manera que los tradicionales espacios de Tierra, Mar y Aire. En la ponencia se describirán las motivaciones y los esfuerzos que se están realizando en el ámbito de la Defensa para hacer frente a estas amenazas emergentes del Ciberespacio.
14:00 - 15:00

Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen

D. Manuel Vázquez, D. Juan Salom, D. Daniel Acuña
Moderador: D. Justo Carracedo

15:00 - 15:15
Clausura

D. Jorge Ramió, D. Justo Carracedo

Con la colaboración de:

ASIMELEC - Red Seguridad - Hispasec Sistemas

ATI - ISSA España - ISMS Forum Spain - Linux+

ASISTENCIA GRATUITA


Las inscripciones online ya no están habilitadas.
Por favor inscríbase por teléfono: +34 913367842 (atención Dña. Beatriz Miguel)
Aforo del Salón de Actos: 550 personas
Pinche aquí para ver CÓMO LLEGAR al Campus Sur de la UPM
(si viene en coche particular, no tendrá problemas para aparcar en el campus)
Se entregará Certificado de Asistencia con una formación equivalente a 5 créditos CPE, Continuing Professional Education
Para ello es condición imprescindible confirmar inscripción y asistir al evento. El certificado se entregará en el momento del registro.
Nota para alumnos de universidad: estos créditos no son equiparables a créditos universitarios ni de tipo ECTS, salvo que las Escuelas y/o Facultades hayan dispuesto créditos de libre elección para asistencia y participación en congresos, en cuyo caso deberá consultarse directamente con dicho centro.


Extraído de http://unlugarsinfin.blogspot.es

Sinowal!

La firma de seguridad informática RSA ha desvelado el que podría ser el mayor virus troyano descubierto hasta la época, no tanto por su expansión, sino porque el programa ha robado, según datos de la propia compañía, información confidencial de unas 500.000 cuentas bancarias desde que fuera lanzado, en febrero de 2006.

Sinowal, que es como se llama el virus, ha infectado ordenadores a lo largo y ancho de todo el mundo y ha sido calificado por RSA como una de las herramientas más avanzadas que el cibercrimen haya creado nunca, según informa la BBC en su página web.

El sistema que utiliza Sinowal para infectar los ordenadores no es novedoso. El troyano se instala en el ordenador del internauta que navega por páginas en cuyos servidores se encuentra alojado sin que éste se dé cuenta. Luego,cuando el confiado usuario trata de operar en alguno de los más de 2.000 bancos on line que el virus tiene en su base de datos, éste inserta campos adicionales en la página de autentificación del cliente para que las rellene;esa información confidencial y comprometida (número PIN, número de laseguridad social) se envía a unos servidores donde se almacenan para su posterior uso.

Según los investigadores, el troyano infecta aaquellos que navegan por páginas poco recomendables (con contenidos pornográficos o dedicadas al juego), pero se ha detectado también en otras web que, en principio, no están clasificadas como peligrosas.

Sinowal ha afectado, entre otras, a instituciones financieras de Estados Unidos, Reino Unido o Polonia, pero a ninguna rusa. ¿Cuál es laimportancia de este dato? Detrás del troyano podría estar un viejo conocido en estas lides (Russian Business Network), pero nadie se atreve a asegurar que sean, realmente, los culpables de su desarrollo y mantenimiento.

Uno de los datos que destacan los investigadores que han descubierto el virus es que éste lleva más de dos años en funcionamiento, recopilando datos de cientos de miles de cuentas, lo que implica un tremendo gasto de mantenimiento para la organización ques e encuentre detrás de él. Además, según aseguran desde RSA, los cibercriminales lanzan periódicamente versiones nuevas de Sinowal.

RSA lamenta que sabe mucho acerca de cómo funciona el troyano, pero casi nada sobre quienes están detrás de él.

La seguridad empieza por uno mismo

¿Cómo podemos protegernos de este tipo de ataques? En primer lugar, y obviando que el ordenador cuenta con algún tipo de programa antivirus, es fundamental tener cuidado por dónde se navega: pensar antes de pinchar un enlace.

Por ejemplo, no seguir cualquier enlace que nos manden por correo electrónico o a nuestra cuenta en Facebook o Tuenti. Precisamente los portales con mayor tráfico son los más propensos para esparcir un virus.

RSA, además, llama a prestar mucha atención a las páginas de identificación de los bancos. Si un usuario observa cambios, nuevos campos a rellenaro cualquier elemento que llame la atención, debe abstenerse decontinuar con el proceso de logueo.

Fuente: http://www.elpais.com/articulo/internet/madre/todos/troyanos/elpeputec/20081031elpepunet_8/Tes

Extraído de http://unlugarsinfin.blogspot.es

Asegúr@IT IV Madrid

Lunes, 27 de octubre de 2008 9:00 - lunes, 27 de octubre de 2008 14:00 Madrid, París

Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur

Avenida Arcas del Agua s/n – Sector 3
Getafe Madrid 28905
España

Idiomas: Español.
Productos: Microsoft System Center y Security.
Audiencia(s): Gerente de tecnología y Profesional de IT.


Información general del Evento
La seguridad informática exige cada vez mayor conocimiento en múltiplesdisciplinas. Este evento pretende dar conocimiento de algunas técnicasutilizadas para atacar sistemas y cómo podemos protegernos ante ellas.Este evento está dirigido a técnicos de sistemas, administradores deredes, responsables de seguridad y desarrolladores de sitios web.

Agenda y Ponentes

09:00-09:15 Registro

09:15-10:00 Alfonso Muñoz (UPM): Esteganografía 2.0: Pasado, presente y futuro de la ocultación de las comunicaciones

¿AlQaeda utiliza procedimientos para ocultar comunicaciones en Internet?,¿la celestina contiene mensajes ocultos?, ¿puede un acróstico cambiarel rumbo de una investigación?... Esta charla pretende mediante unrepaso de las técnicas esteganográficas más interesantes analizar comoha evolucionado está ciencia desde las técnicas puramente artesanales aprocedimientos de gran complejidad que facilitan la ocultación decomunicaciones en múltiples formatos, analógicos y digitales, condiversos propósitos. La ocultación de información puede tenerimplicaciones en la seguridad coorporativa de una organización, porejemplo, en la ocultación de malware, canales encubiertos que extraeninformación de forma subrepticia a través de cortafuegos, gestión dela autenticación de contenidos, etc. En la charla se analizandiferentes técnicas esteganográficas de ocultación y detección condiferentes demos y se razona un posible futuro de esta cienciarelacionado con el avance de la web 2.0 y las redes sociales.

10:00-10:45 David Barroso (S21Sec): Botnets 2.0: adquiriendo el control de Internet (la amenaza silenciosa)

Quien tenga el control de Internet y de la información que fluye dominará elmundo; es el objetivo principal de las botnets hoy en día, controlarel mayor número de máquinas posibles para utilizarlos en la consecuciónde sus objetivos: infection kits, C&C, ISP a prueba de balas,criptografía, redes P2P, data mining, DDoS, ... todas estas técnicas (ymuchas más) se entremezclan para formar el escenario actual con el quenos enfrentamos. ¿Somos conscientes de ello?

10:45 - 11:15: Café

11:15 - 12:00: Chema Alonso (Informática64): RFD. Descarga de ficheros con Blind SQL Injection

El lenguaje SQL es un potente elemento dentro de los avanzados motores debases de datos, con los privilegios adecuados y utilizando lasherramientas precisas es posible descargar ficheros de los servidoressólo usando los sistemas de booleanización de ficheros con técnicas deBlind SQL Injection. En esta sesión se verán demos con SQL Server 2000,SQL Server 2005, Oracle 10g y MySQL 5.

12:00 - 12:45 Luciano Bello (Debian). Debian OpenSSL Bug, el cómo, el porqué y las consecuencias

A principios de este año el mundo se conmocionó con el fallo descubiertopor este argentino que permitía, gracias a un fallo en el código delpaquete OpenSSL, descifrar todas las claves criptográficas generadas enlos últimos dos años por este software. El propio Luciano Bello, enEspaña, nos contará cómo funciona, porqué pasó esto y cuales son lasconsecuencias.

12:45 - 13:30 Héctor Sánchez Montenegro (Microsoft) ¿Qué está haciendo Microsoft en Seguridad?


Microsoft estuvo años en el punto de mira de los expertos de seguridad y hoy endía en el punto de mira de las mafias. Desde el año 2002 Microsoft tomóconciencia de esta responsabilidad que tenía y decidió atacarlo con lainiciativa a 10 años de Trustworthy Computing. Hoy 6 años después, lasmejoras son sustanciales, pero.. ¿cuáles han sido los esfuerzos deMicrosoft en materia de seguriad? ¿Cuáles son los planes para elfuturo? ¿Y respecto al gobierno nacional?

13:30 - 13:45 Preguntas a los ponentes

Opciones de registro

Id. de evento:
1032391821

Extraído de http://unlugarsinfin.blogspot.es

Web Application Vulnerability Scanners

Web Application Vulnerability Scanners are tools designed toautomatically scan web applications for potential vulnerabilities.These tools differ from general vulnerability assessment tools in thatthey do not perform a broad range of checks on a myriad of software andhardware. Instead, they perform other checks, such as potential fieldmanipulation and cookie poisoning, which allows a more focusedassessment of web applications by exposing vulnerabilities of whichstandard VA tools are unaware.

Web Application Security


Web Applications Issues

-Scripting issues
-Sources of input: forms, text boxes, dialog windows, etc.
-Multiple Charset Encodings (UTF-8, ISO-8859-15, UTF-7, etc.)
-Regular expression checks
-Header integrity (e.g. Multiple HTTP Content Length, HTTP Response Splitting)
-Session handling/fixation
-Cookies
-Framework vulnerabities(Java Server Pages, .NET, Ruby On Rails, Django, etc.)
-Success control: front door, back door vulnerability assessment
-Penetration attempts versus failures


Technical vulnerabilities

-Unvalidated input:
.Tainted parameters - Parameters users in URLs, HTTP headers,and forms are often used to control and validate access to sentitiveinformation.
.Tainted data

-Cross-Site Scripting flaws:
.XSS takes advantage of a vulnerable web site to attack clientswho visit that web site. The most frequent goal is to steal thecredentials of users who visit the site.

-Content Injection flaws:
.Data injection
.SQL injection - SQL injection allows commands to be executeddirectly against the database, allowing disclosure and modification ofdata in the database
.XPath injection - XPath injection allows attacker to manipulate the data in the XML database
.Command injection - OS and platform commands can often beused to give attackers access to data and escalate privileges onbackend servers.
.Process injection

-Cross-site Request Forgeries


Security Vulnerabilities

-Denial of Service
-Broken access control
-Path manipulation
-Broken session management (synchronization timing problems)
-Weak cryptographic functions, Non salt hash


Architectural/Logical Vulnerabilities

-Information leakage
-Insufficient authentification
-Password change form disclosing detailed errors
-Session-idle deconstruction not consistent with policies
-Spend deposit before deposit funds are validated


Other vulnerabilities

-Debug mode
-Thread Safety
-Hidden Form Field Manipulation
-Weak Session Cookies: Cookies are often used to transitsensitive credentials, and are often easily modified to escalate accessor assume another user's identify.
-Fail Open Authentication
-Dangers of HTML Comments

Commercial tools


Free/OpenSource Tools


A more complete list of tools is available in the OWASP Phoenix/Tools

Extraído de http://unlugarsinfin.blogspot.es

Publicada ISO 27005 de Análisis de riesgos

Desde el pasado 4 de Junio, se encuentra disponible el estándar de ISOde la familia 27000, destinado al análisis y gestión de riesgosrelacionados con la seguridad de la información.

ISO/IEC 27005:2008 proporciona una guía para la gestión de riesgos deseguridad de la información. Incluye los conceptos incluidos en ISO27001 y ha sido diseñada por el JTC 1/SC 27 para ayudar en la tarea degestión de la seguridad de la información basada en una aproximación degestión de riesgos. Es recomendable conocer los conceptos, modelos,procesos y terminología de ISO27001 e ISO27002 para entender el nuevoestándar ISO 27005.

La norma ha sido diseñada para ayudar a la puesta en prácticasatisfactoria del análisis y la gestión del riesgo, fase principal deldiseño de todo buen sistema de gestión de la seguridad de lainformación (SGSI).

Más informacion en: http://www.iso.org/iso/iso_catalogue/catalogue_tc/iso_technical_committee.html?commid=45306



La gestión de riesgos es aplicable a todas los tipos de organizacionesque consideren importante su información, y permite conocer y gestionarlos riesgos de dicha información vital para la Organización, frente aamenazas internas o externas.

Extraído de http://unlugarsinfin.blogspot.es

Notas sobre CEHv6

1. ¿Cuáles son los cambios en CEHv6?

CEHv6 ha sido actualizado con cientos de nuevas herramientas, técnicas y metodologías de “hackeo”. El flujo del contenido es el mismo, salvo que cada módulo está refrescado con más información. Existen módulos avanzados agregados a la curricula como: Writing Windows Exploits, Reverse Engineering, Covert Hacking and Advanced Virus Writing Skills.Las diapositivas están actualizadas para hacerlo más presentable.Existen más de 67 módulos en CEHv6.

2. ¿Qué cambios acompañan la certificación?


El examen para CEHv6 estará disponible en Prometric Prime, Prometric APTC y Centros VUE el 5 de Noviembre de 2008. El examen para CEHv5 estará disponible hasta el 3 de junio de 2009 (sujeto a la vigencia del voucher entregado). 3. ¿Cuánto costará el examen?La actualización CEHv6 costará 250 USD.


4. ¿Cuál es la duración del examen?

El examen dura 4 horas y consta de 150 preguntas.Para aprobarlo se deberá cubrir como mínimo el 70% de aciertos.


5. ¿Los usuarios certificados con CEHv5 deben presentar el examen para CHEv6?


No necesariamente, pueden sólo suscribirse al programa de educación continua del EC-Council (ECE credits). Para información sobre créditos de ECE, visita http://www.eccouncil.org/ece.htm }

Fuente: http://www.eccouncil.com.mx/website/index.php?view=article&catid=43%3Ait-sec-profesional&id=118%3Acehv6&option=com_content&Itemid=55


Extraído de http://unlugarsinfin.blogspot.es

La revista Hakin9 cierra en España

Lo que sucedió con otras revistas de seguridad informática (entiéndaseel caso de la desaparecida revista HackXcrack que desapareció de los quioscos hace un par de años) ha vuelto a ocurrir. Ahora le ha tocado el turno a la revista Hakin9,que dejará de publicarse en español. Eso sí, anuncian que continuará editándose en países de lengua anglosajona, o sea, en inglés; y que si alguno lo desea podrá suscribirse a la edición en inglés para recibirla en ese idioma. Sentimos que el último bastión de esta temática se suprima del quiosco. Y es que, por mucho que nos extrañe, la seguridad informática ha dejado de estar de moda.

Extraído de http://unlugarsinfin.blogspot.es

Se burló la seguridad del LHC durante su inauguración

Puede estar 100 metros bajo tierra, ser fruto de una inversiónmultimillonaria y traer los hallazgos científicos más importantes de loque va de siglo, pero el LHC no está, ni mucho menos, a la cabeza enseguridad informática.

Lo acaba de demostrar un grupo de hackersgriegos, que han entrado en CMS, uno de los cuatro detectores queservirán para analizar las partículas resultante de la colisión deprotones en el enorme anillo del Gran Colisionador de Hadrones.

Se hacen llamar el Equipo Griego de Seguridad y su intención es o, al menos eso dicen, meramente informativa.Por eso han dejado un mensaje en la red del LHC describiendo al equipode seguridad del experimento como "un grupo de niños de escuela" yadvirtiendo que no se "metan" con ellos porque no tienen intención deinterrumpir el trabajo del acelerador de partículas.

"Estamosbajando vuestros pantalones porque no queremos veros dando vueltasdesnudos buscando esconderos en algún sitio cuando llegue el pánico",concluyen en la nota, escrita en griego y recogida por el Daily Telegraph.

Pánico científico

Como resultado, el sitio de CMS ya no podrá ser accesible al público enun ataque que ha sembrado el pánico entre los científicos, más por loque podría haber sido el ataque que en lo que realmente fue, ya que sehan quedado a un paso del sistema que controlar este enorme detector,un enorme imán de 12.500 toneladas, mide 21 metros de longitud y 15 dealto y ancho.

El equipo que controla CMS está formado por unos 2.000 científicos que están en competencia directa con el otro detector capaz de analizar cualquier tipo de partícula, llamado Atlas, en la búsqueda del llamado bosón de Higgs o partícula de Dios, responsable teórica de que las partículas tengan masa.

"Pareceque no hay ningún mal hecho. Por lo que puedo decir, fue alguien quequiere señalar que CMS es pirateable", ha reconocido James Gillies,portavoz del CERN, que ha explicado que el LHC tiene diferentes nuevesde redes, unas abiertas al público y otras de acceso mucho másrestringido.

Lo más sorprendente es que el ataque se produjo justo cuando se estaba poniendo en marcha el acelerador ante la mirada atenta de toda la prensa mundial.

Los hackers subieron a la red de CMS seis archivos,que fueron estudiados detenidamente antes de ser eliminados para que nohubiese una 'puerta de atrás' instalada que permitiese un nuevo accesoa la computadora.

Este sistema informático al que han accedidose llama CMSMON y se encarga de dirigir el software de CMS mientras eldetector recoge datos de las partículas emitidas durante las colisionesque tratan de emular lo ocurrido en los momentos posteriores al BigBang.

El CERN en su conjunto cuenta con una estrategia dedefensa en profundidad, separando el control de las redes y usandocortafuegos y complejas contraseñas para proteger el sistema desoftware malicioso, pero hay una creciente preocupación sobre el accesoa través de redes remotas o wireless y dispositivos USB, que ofrecennuevas posibilidades para virus o 'gusanos' de entrar en la red.

Fuente:
http://seguinfo.blogspot.com/2008/09/se-burl-la-seguridad-del-lhc-durante-su.html
http://www.rtve.es/noticias/20080912/grupo-hackers-burlo-seguridad-del-lhc-durante-inauguracion/155767.shtml

Extraído de http://unlugarsinfin.blogspot.es

Herramientas SQL Injection

Esta lista fue publicada por Security Hacks.

Traducción literal:

Las aplicaciones Web permiten a los visitantes enviar y obtener datos desde y hacia una base de datos ubicada en Internet. Las bases de datos son el corazón de la mayoría de las aplicaciones Web. Ellas almacenan los datos requeridos por las aplicaciones para entregar contenido específico a los visitantes y proveer información a clientes, proveedores, etc.

La inyección SQL es quizá la técnica más común de hacking a aplicaciones Web la cual tiene como objetivo transpasar comandos SQL directamente a la base de datos en el back-end utilizando como plataforma la misma aplicación.

La vulnerabilidad se presenta cuando alguna entrada de usuario no valida correctamente los parámetros que se le entregan y por ende son ejecutados.

Buscar vulnerabilidades de tipo Inyección SQL implica tener que auditar sus aplicaciones Web y la mejor forma de hacerlo es utilizando para ello Scanners automatizados de Inyección SQL. Hemos compilado una lista de Scanners SQL gratuitos los cuales creemos que serán de mucha utilidad tanto para desarrolladores de aplicaciones Web como para auditores de seguridad profesionales.

SQLIer - SQLIer toma una URL vulnerable e intenta obtener toda la información necesaria para explotar la vulnerabilidad de inyección SQL por si mismo, no requiriendo ninguna intervención del usuario. Descargar SQLIer.

SQLbftools - SQLbftools consta de una colección de herramientas para obtener información de... MySQL disponible utilizando un ataque de inyección SQL ciega (blind SQL Injection). Descargar SQLbftools.

SQL Injection Brute-forcer - SQLibf es una herramienta para automatizar el proceso de detectar y explotar vulnerabilidades de inyección SQL. SQLibf puede trabajar en inyección ciega y visible. Funciona ejecutando operaciones SQL lógicas para determinar el nivel de exposición de la aplicación vulnerable. Descargar SQLLibfv.

SQLBrute - SQLBrute es una herramienta para extraer datos de las bases de dato mediante ataques de fuerza bruta usando vulnerabilidades de inyección SQL ciega. Soporta exploits basados en tiempo y en error en un servidor Microsoft SQL., y exploits basados en errores para Oracle. SQLBrute está escrito en Python, utiliza multi-proceso y no requiere librerías no-estándar. Descargar SQLBrute.

BobCat - BobCat es una herramienta que permite ayudar a un auditor a tomar completa ventaja de las vulnerabilidades de inyección SQL. Está basado en AppSecInc. Puede listar los servidores enlazados, esquemas (schema) de bases de datos y permite obtener datos de cualquier tabla a la cual la aplicación tenga acceso. Descargar BobCat.

SQLMap - SQLMap es una herramienta de inyección SQL ciega automática, desarrollada en Python, es capaz de generar una huella digital activa del sistema de administración de bases de datos y mucho más. Descargar SQLMap.

Absinthe - Absinthe es una herramienta basada en interfaz gráfica que automatiza el proceso de descargar el esquema y los contenidos de una base de datos que es vulnerabile a inyección SQL ciega. Descargar Absinthe.

SQL Injection Pen-testing Tool - SQL Injection Tool es una utilidad basada en interfaz gráfica diseñada para examinar bases de datos através de vulnerabilidades en las aplicaciones Web. Descargar SQL Injection Pen-testing tool.

SQID - SQL Injection digger (SQLID) es un programa de línea de comandos que busca inyección SQL y errores comunes en sitios web. Descargar SQID.

Blind SQL Injection Perl Tool - bsqlbf es un script hecho en Perl que permite a un auditor obtener información de sitios webs que son vulnerables a inyección SQL. Descargar Blind SQL Injection Perl Tool.

SQL Power Injection Injector - SQL Power Injection ayuda a un auditor a inyectar comandos SQL en una página web. Su fuerza principal radica en la capacidad de automatizar inyecciones SQL tediosas utilizando para ellos múltiples procesos. Descargar SQL Power Injection.

FJ-Injector Framework - FJ-Injector es un framework opensource diseñado para ayudar a encontrar vulnerabilidades SQL en aplicacion web. Incluye características de Proxy para interceptar y modificar solicitudes HTTP y una interfaz para realizar explotación SQL automática. Descargar FJ-Injector Framework.

SQLNinja - SQLNinja es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos. Descargar SQLNinja.

Automagic SQL Injector - Automagic SQL Injector es una herramienta de inyección SQL automatizada que fue diseñada para ahorrar tiempo en los tests de intrusión y solamente funciona con agujeros de Microsoft SQL que devuelven errores. DescargarAutomagic SQL Injector.

NGSS SQL Injector - NGSS SQL Injector explota vulnerabilidades de inyección SQL en distintos servidores para obtener acceso a la data almacenada. Actualmente soporta las siguientes bases de datos: Access, DB2, Informix, MSSQL, MySQL, Oracle, Sysbase. Descargar NGSS SQL Injector

Extras:
SQLix
Sitio Web

Chorizo! Scanner Sitio Web

Marathon tool Sitio Web

Fuente original: Security Hacks.

Extraído de http://unlugarsinfin.blogspot.es

Extensiones Firefox para Auditorias de Seguridad y Hacking Ético

Algunas de mis preferidas:

FOXYPROXY
FIREBUG
TAMPER DATA
CHICKENFOOT
VIEW COOKIES
COOKIESAFE
USERAGENTSWITCHER
QUICKJAVA
WEB DEVELOPER
XML DEVELOPER TOOLBAR
HACKBAR
SERVER SPY
LIVE HTTP HEADERS
HEADER MONITOR
XSS ME
SQL-INJECT ME
SHOWIP

Referencias

http://www.security-database.com/toolswatch/Turning-Firefox-to-an-auditing.html
http://www.security-database.com/toolswatch/Turning-Firefox-to-an-Ethical.html


FireCAT: Framework Map

Colección de las mejores extensiones de seguridad en Firefox

http://www.security-database.com/toolswatch/IMG/png/FireCAT1.4.png

Extraído de http://unlugarsinfin.blogspot.es

Grave Vulnerabilidad DNS: la mayor actualización de seguridad de la historia

Importante error en el sistema de nombres de Internet

El Martes 8 de Julio, CERT anuncióla liberación deun parche para múltiples implementaciones de DNS destinado a corregirun grave error de seguridad que afecta a toda la arquitectura deInternet.

El fallo permitía suplantar páginas web aún tecleando el dominio correctodominio correcto

A principios de este año, el investigador Dan Kaminskyde IOActivedescubrióuna vulnerabilidad básica en el protocolo DNS que permite a posibles atacantes comprometer cualquier servidor de nombres, incluyendo también a los clientes, pudiendo redirigir cualquier dirección de Internet a otros sitios falsos, incluso si la víctima teclea de manera correcta dicha dirección en el navegador.

El riesgo más importante de este grave agujero de seguridad es el de posibles ataques de ‘pharming’y 'phishing', es decir, la simulación de sitios web falsos con formularios (por ejemplo, aquellos que simulan páginas de bancos o comercios 'online') para captar datos personales de internautas, como números de tarjetas de crédito u otros datos sensibles. También podría permitir el robo de claves de e-mail.

La mayor actualización de seguridad de la historia

Desde que se descubrió esta vulnerabilidad, Kaminsky ha venido trabajando en secreto con un largo número de fabricantes y vendedores con el objetivo de implementar un parche coordinado.

Se trata de la mayor actualización de seguridad de la historia de Internet.

Mientras que la mayoría de los usuarios domésticos serán automáticamente actualizados, las empresas deberán asegurarse que todas sus redes también son actualizadas.

Kaminsky ha puesto a disposición pública un herramienta de verificación DNS (http://doxpara.com/) para comprobar si los sistemas son vulnerables.La mayor actualización de seguridad de la historia

Detalles técnicos

Los sistemas vulnerables son aquellos donde el ID de transacción de 16-bits en el DNS y el numero de puerto para la transacción (también de 16-bits) no son escogidos de manera aleatoria.

El atacante debe ser capaz de falsificar su dirección IP y no deben estar detrás de algún IPS que filtre trafico de salida. El resultado de dicha vulnerabilidad es un ataque de envenenamiento al DNS.

Este ataque ya había sido documentado de cierta forma en el 2003 (CachePoisoningusingDNS TransactionID Prediction), sin embargo se necesitaban de un gran numero de paquetes para hacer funcionar el ataque, y no era confiable.

Ahora podemos decir que existe una estrategia más efectiva y que es posible saber como el servidor DNS asigna los números de transacción y el puerto.

El problema radica en que las direcciones IP de origen pueden ser falsificadas y que el ID de transacción de DNS es de 16 bits, lo cual es un poco corto para ser considerado una clave aleatoria usable. Ese ID, como cualquier clave que tenga implicaciones en la seguridad, debería ser de por lo menos 64 bits y ser generada por un generador de números aleatorios de grado criptográfico.

Otra solución podría ser reemplazar la infraestructura actual de DNS por DNSSEC, algo difícil si consideramos la dificultad de implantarlo y popularizarlo masivamente a escala mundial.

Los detalles técnicos de esta vulnerabilidad serán presentados por Kaminskyen la conferencia BlackHatdentro de un mes (6 de Agosto), para dar tiempo suficiente para la instalación de los parches (‘randomizacion’de puertos) que hagan que este ataque no tenga efecto.

JeffMoss, fundador de la conferencia BlackHat, se felicitaba por esta acción mundial de seguridad. "Estamos siendo testigos de la difusión masiva de un parche por parte de múltiples proveedores para luchar contra un error que, por ejemplo, podría haber permitido a alguien redirigir la dirección Google.comdonde él quería".

Extraído de http://unlugarsinfin.blogspot.es