Reto Panda 2010

El año pasado Panda Labs lanzó en España "El reto Panda", una serie de retos muy interesantes, sobre todo para los amantes del reversing. Si todavía no los habéis visto, no dejéis de leer algunos de los tutoriales de sus soluciones.

Pues bien, ahora que se vayan preparando todos los fanáticos de estos desafíos de hacking porque Luis Corrons nos acaba de adelantar detalles y fechas para la nueva edición 2010 del Panda Challenge:

"el primer reto lo publicaré el sábado 17 de Julio a las 9:00 AM (hora española, GMT+2). La solución tiene que ser enviada antes del lunes 19 de Julio a las 17:00 (GMT+2). El segundo reto lo publicaré el sábado 24 de Julio a las 9:00 AM (hora española, GMT+2). La solución tendrá que ser enviada antes del lunes 26 de Julio a las 17:00 (GMT+2).

El primer reto está siendo preparado por Gadix. Os dará un juego y tendréis que hacer un “keyfile” para poder jugar al mismo.


El segundo reto está siendo preparado por Joxean, que también participó en la creación de alguno de los retos el año pasado. Esta vez os dará un programa y tendréis que encontrar un “licencia válida” ;)

Publicaré actualizaciones durante la celebración de los retos en Twitter usando el hashtag #PC2010"

Lo dicho jugones, a calentar motores...

Te quedas acojonado...

Lo primero disculpar por lo soez del titular del post, pero no encontraba mejor manera de expresar el estado en el que se queda uno cuando recibe algunos mensajes maliciosos que parecen tan fidedignos, tan reales, que caer en la trampa de pinchar un enlace es sumamente fácil.

Y es que no hay nada como estar esperando un correo del banco y encontrarse en el buzón mensajes como estos:


y la reacción natural es que el cursor del ratón se precipita hacia alguno de los enlaces.

Pero paras por un momento y piensas...¿quién coño va a hacerme una transferencia a mí y en plena crisis? Entonces vuelves a la realidad y percibes que se trata de un engaño, pero te invade una profunda sensación de curiosidad y decides investigar un poco.

Miras a qué URLs apuntan los enlaces:

http://doiop.com/1nc53b
http://2url.org/?833111


compruebas algo rápido, que los niños duermen:

http://www.urlvoid.com/scan/doiop.com

http://anubis.iseclab.org/?action=result&task_id=11487091ab6d50e446db67a4b02e6c224&format=html
http://anubis.iseclab.org/?action=result&task_id=1383541504b8b38740d3a24a46b772a40&format=html


Y te das cuenta que se trata de una campaña de phising de **** madre con el BBVA (www.bbvanetoffice.com.srvdll.ru). En fin... el spam nuestro de cada día...

¡Andar con cuidado!

Informe Inteco sobre seguridad en las comunicaciones móviles e inalámbricas

Inteco ha publicado el informe anual (2009) sobre la seguridad que aplicamos los usuarios en las comunicaciones móviles e inalámbricas. Sacando a relucir mi lado más paranoico, me llaman la atención varios datos que os paso a resumir.

- Móviles vs. Bluetooth. Actualmente la amplia mayoría de móviles que existen en el mercado disponen de Bluetooth, y el uso que hacemos de este, según el informe, parece bastante adecuado. Aproximadamente un 70 % de usuarios lo tienen apagado o lo encienden exclusivamente cuando lo necesitan. Sin embargo, existe un 20% preocupante, que mantiene el Bluetooth encendido y siempre visible. Y no por la cantidad, sino por el espectro de usuarios al que, sospecho, pertenece.

Aunque el informe no lo especifica, es muy posible, que tanto por el uso que se suele hacer del mismo, como por el desconocimiento de las implicaciones de su mala utilización, un alto porcentaje de estos usuarios sean niños. Y esto teniendo en cuenta que la encuesta la han hecho solamente a mayores de 15 años. Actualmente, por suerte o por desgracia, los niños de 10 ó 11 años ya suelen disponer de móvil. Si se hubiera ampliado el universo de la encuesta a mayores de 10 años es muy posible que el porcentaje de usuarios que "mal utilizaran" el bluetooth habría aumentado. Y hablo de nuestros hijos, y lo que alguna persona malintencionada podría intentar con sus móviles, y los datos que contienen (Contactos, mensajes, fotos..,). ¿Paranoia? Quizás....

Ganador de la encuesta: ¿Cuál es tu blog favorito en español?

En el mes de Marzo publicábamos una lista de 100 blogs de seguridad informática en español y os animábamos a votar entre los 30 que más pagerank de Google tenían.

Han pasado más de tres meses y nuestra modesta encuesta se ha cerrado con 180 votos y el siguiente podio:

Puesto Blog Acerca de Votos
La Comunidad DragonJAR DragonJAR.org es una comunidad de investigadores, estudiantes, profesionales y entusiastas de la Seguridad Informática, En la cual se busca darle un enfoque eminentemente práctico a la teoría sin olvidar las bases esenciales de esta. De esta manera se tratará de ofrecer soluciones útiles a los usuarios, tanto novatos, estudiantes, como a los profesionales e investigadores, Teniendo presente que el mundo de la seguridad informática y la información es un medio que se auto inventa constantemente. 57 (31%)

Blog sobre seguridad informática de Chema Alonso, MVP Windows Server Security de Microsoft. 47 (26%)
48Bits es un lugar dedicado a la seguridad informática y a todo lo que la rodea, está formado por un equipo de colaboradores que por diferentes motivos en muchos casos no disponen del tiempo suficiente como para implementar o investigar determinados campos pero que sí que quieren comentar noticias, aportar nuevas ideas, o preguntarse “¿Qué pasaría si…?”. [...] 44 (24%)
4 Security by default Después de mucho tiempo hablando sobre la posibilidad de crear un blog íntegramente sobre seguridad informática, nos hemos decidido a ponernos en marcha y crear un espacio donde poder compartir experiencias y hablar de los aspectos técnicos relacionados con la seguridad informática. [...] 43 (23%)
5 Blog de Leonardo Pigñer sobre Penetration Testing, Análisis Forense y Kung-Foo! 36 (20%)
6 Conexión inversa Un pensamiento más sobre Análisis Forense de Pedro Sánchez 25 (13%)
7 Blog donde S21Sec Labs publica noticias y comentarios del sector de la seguridad. 17 (9%)
8 Tecnología, internet, software, trucos y consejos para mantener tu pc segura y en buenas condiciones. 7 (3%)

Como habéis podido ver por el número de votos, la cosa estuvo muy reñida sobre todo para el segundo puesto. De lo que no cabe duda es de la calidad de todos estos blogs. Nuestra enhorabuena y admiración a todos sus autores por el gran trabajo que están realizando y una especial mención a los ganadores, Jaime Andrés Restrepo y su comunidad de DragoNes.


A todos ellos, gracias ¡os seguiremos leyendo!

.org bajo DNSSEC

El TLD .org ha sido firmado con DNSSEC (Domain Name System Security Extensions), marcando con ellos un importante hito a la hora de asegurar elementos clave de Internet frente a vulnerabilidades de seguridad.

La idea de asegurar .org con DNS comenzo en septiembre de 2008 a raiz de la vulnerabilidad en DNS descubrimienta por Dan Kaminsky.

El dominio .org el ahora el principal TLD generico asegurado con DNSSEC, ofreciendo a los propietarios de dominios el potencial de asegurar criptograficamente la integridad de la informacion del DNS.

Aunque DNSSEC ha estado presente hace bastante tiempo, su uso se ha acelerado a raiz del descubrimiento de vulnerabilidades como la expuesta pro Dan Kaminsky, anteriormente citada.

Detenidos tres gerentes de una empresa que comercializaba software con 'bombas lógicas'

CÓRDOBA, 22 Jun. (EUROPA PRESS) -

La Guardia Civil en la denominada operación 'Cordobés', desarrollada en las provincias de Sevilla y Córdoba, ha detenido a los tres gerentes de una empresa dedicada a la venta de software a medida para pequeñas y medianas empresas que contenía errores controlados de programación --'bombas lógicas'-- para que fallara en una fecha predeterminada.

Según informó el Instituto Armado en un comunicado, la estafa se llevaba realizando aproximadamente desde 1998 y consistía en la introducción de 'bombas lógicas' en el software que ellos mismos distribuían, lo cual provocaba un error informático que paralizaba el normal funcionamiento de las empresas y las obligaba a ponerse en contacto con el servicio técnico, con el consiguiente perjuicio económico.

A los usuarios que no tenían contratado este servicio se les cobraba por la reparación, se les introducía otro error controlado para una nueva fecha y se les aconsejaba la contratación del servicio técnico de mantenimiento.

En la operación se ha efectuado un registro en la sede de la empresa, en el que se ha incautado diverso material informático que está siendo analizado por los investigadores.

A PARTIR DE UNA DENUNCIA CIUDADANA POR INTERNET

La investigación se inició a raíz de una comunicación anónima recibida a través del portal de comunicación ciudadana 'www.gdt.guardiacivil.es', confirmándose así "el gran papel que juega el ciudadano en la investigación de este tipo de delitos".

El Grupo de Delitos Telemáticos está contactando con los posibles perjudicados por esta estafa e informándoles de los derechos que les asisten como perjudicados.

Las investigaciones dirigidas por el Juzgado de Instrucción número tres de Córdoba, han sido llevadas a cabo por el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil, apoyados por el Equipo de Investigación Tecnológica (Edite) de la Comandancia de la Guardia Civil de Córdoba.

Conferencia de Richard Stallman - Martes 22 de Junio

Para todos los que viváis en Málaga o tengáis posibilidades de dejaros caer por el sur os recomiendo que os paséis mañana a las 19:00 horas de la tarde por el Centro Social y Cultural La Casa Invisible. Ellos junto con la ULEX (Universidad Libre EXperimental) han conseguido de nuevo traer al fundador del proyecto GNU y figura decisiva del movimiento del software libre, el mítico Richard Stallman, que esta vez impartirá la siguiente charla:

Sociedad Digital Libre ¿Por qué es la inclusión digital un bien o un mal? :

"Las actividades cuyo objetivo es la "inclusión" de más personas en el empleo de las tecnologías digitales se basan en la suposición de que esto sea invariablemente algo bueno. Parecería que así es, si se juzga considerando únicamente la conveniencia práctica inmediata. Sin embargo, si juzgamos también en términos de derechos humanos, es el tipo de mundo digital en el que nos quieren introducir lo que determina si se trata de un bien o de un mal. Si deseamos luchar por la inclusión digital, debemos cerciorarnos de que las personas serán introducidas en un mundo digital bueno."

El vuelo de la mariposa

Hablar de la botnet Mariposa es hablar de la mayor red de zombies incautada jamás en España y seguramente una de la mayores reconocidas a nivel mundial.

Fue descubierta por primera vez en Mayo de 2009 por la empresa canadiense Defence Intelligence que formó un grupo de seguimiento, el Mariposa Working Group (MWG), junto con el Georgia Institute of Technology, Panda Security, el FBI y otras entidades.

Las investigaciones pronto dieron con un grupo de habla hispana identificado como DDPTEAM (Días De pesadilla TEAM), que había adquirido en el 'mercado del malware’ el troyano utilizado.

El 23 de diciembre de 2009, identificados prácticamente todos los canales de control de esta botnet, se procedió de forma coordinada y a nivel
internacional a bloquear los dominios que habían utilizado para evitar más ataques.
Cuando actuaron sobre los ISP (dos americanos y uno español) se dieron cuenta que la cantidad de mariposas revoloteando superaba todas sus expectativas: ¡más de 11 de millones de IPs distintas!


'Hamlet1917', conocido también como 'Netkairo', de 31 años, reaccionó y lanzó un desesperado ataque DoS contra Defence Intelligence. Tumbó el ISP de la empresa canadiense dejando durante varias horas sin conexión a todos sus clientes y además recuperó parte de la botnet. Sin embargo descubrió las cartas que le quedaban y cometió un grave error: se conectó desde el ordenador de su casa en Vizcaya sin utilizar el servicio VPN de navegación anónima. El 3 de Febrero de 2010 la Guardia Civil procedió a su detención.


Días después también cayeron 'Jonyloleante' (30 años, Murcia) y 'OsTiaToR' (25 años, Santiago de Compostela) y hoy todavía andan tras la pista de 'Fénix', que podría ser venezolano.


Los responsables de la operación señalaron que los detenidos vivían del ciberfraude, redirigiendo los zombies a sus enlaces publicitarios con Google Adsense, robando las credenciales de sus víctimas y alquilando partes de su red a otros criminales. Sin embargo no eran ni mucho menos millonarios y tampoco llegaron a explotar todas las 'capacidades' de su masiva red de zombies. De hecho eran buenos conocedores de informática pero no mega-expertos o brillantes cerebros.

Aún así, sus técnicas y artefactos no eran tampoco triviales y su caso ha tenido una gran repercusión mundial, llegando a afectar a usuarios de 190 países, a la mitad de las empresas más importantes según Forbes y a 40 de los principales bancos mundiales.


Y ahora recién leo un artículo de FireEye Malware Intelligence Lab indicando que la Mariposa todavía vive: acaban de ver un CnC mandando a su bot que se propage por USB...¿restos de actividad automática o todavía queda alguien detrás?

Guía de ModSecurity

A propósito del anterior artículo sobre los firewalls de aplicaciones web quería comentaros acerca de una excelente guía para aquellos que se decidan por el WAF open source por excelencia, ModSecurity.

Y es que esta guía está escrita ni más ni menos por el autor principal que arrancó ModSecurity en 2002, el mismísimo Ivan Ristic. Podéis entonces imaginaros la calidad de esta obra, que incluye:

- Instrucciones paso a paso para aquellos que recién empiezan
- Explicaciones detalladas de los elementos internos y técnicas avanzadas para los usuarios experimentados
- Manual de referencia oficial de ModSecurity
- Disponible como libro de bolsillo y PDF
- Actualizaciones contínuas: su compra incluye un año de actualizaciones digitales
- Único libro en el mercado que cubre todos los aspectos de ModSecurity, incluidos los disponibles en el repositorio de desarrollo
- Además incluye el Workshop del Rule Writing

Más información aquí.

WAF, ¿y cuál elijo?

Un firewall de aplicaciones web (WAF) es un appliance, un plugin de servidor, o un filtro que aplica un conjunto de reglas a una conversación HTTP.

Mediante la personalización de estas reglas se pueden identificar y bloquear muchos ataques comunes contra una aplicación web. Eso sí, el esfuerzo para realizar esta personalización puede ser importante y debe mantenerse según se modifica el sitio a proteger.

Los criterios más importantes para seleccionar el WAF más adecuado son:
  • Gran protección contra los ataques más extendidos
  • Muy pocos falsos positivos (es decir, NUNCA se debe rechazar una petición lícita)
  • Buena configuración de defensa por defecto
  • Potencia y facilidad de modo de aprendizaje
  • Variedad de tipos de vulnerabilidades que puede evitar
  • Detecta la divulgación y el contenido no autorizado en los mensajes de respuesta de salida, tales como tarjetas de crédito y números de la seguridad Social
  • Soporte a modelos de seguridad, tanto positiva como negativa
  • Interfaz de usuario intuitivo y sencillo
  • Compatibilidad en modo de clúster
  • Alto rendimiento (latencia en milisegundos)
  • Completas capacidades de alerta, forenses, e informes
  • Web Services \ Compatibilidad con XML
  • Brute Force protección
  • Capacidad activa (bloquear y loggear), pasiva (sólo loggear) y de bypass para el tráfico web
  • Capacidad para mantener en detalle los datos de las sesiones de los usuarios
  • Capacidad de ser configurado para prevenir cualquier problema específico (por ejemplo, con parches de emergencia)
  • Factor de forma: El software vs. hardware (generalmente el hardware es preferible)

Nueva versión de THC-Hydra

Sin duda se trata de una buena noticia: THC-Hydra vuelve a ser mantenido, esta vez bajo licencia GPLv3 y sus autores acaban de publicar una nueva revisión, la 5.7.

Este rápido cracker, cuya última versión pública se remonta a la número 5.4, soporta actualmente multitud de protocolos: TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable, LDAP2, Cisco AAA (incorporado en el módulo telnet) e incorpora además los siguientes cambios:

CHANGELOG para 5.7:
###########
* Añadido soporte para ncp y algunas correciones para pequeños bugs (por David Maciejak @ GMAIL dot com)
* Añadido un viejo parche para corregir un error de memoria en SSL y aumentar adicionalmente la velocidad (por kan(at)dcit.cz)
* Eliminados avisos innecerarios del compilador
* Mejorado el módulo SSH2 basado en un viejo parche de aris(at)0xbadc0de.be
* Corregido un pequeño desbordamiento local en el módulo teamspeak. ¿¿Funciona todavía de todas formas??

Revisión 5.6 VERSIÓN PRIVADA
###########
* Movido a la licencia GPLv3 (mucha gente así lo quería)
* Actualizado el módulo ssh2 a libssh-0.4.x (gracias a aris (at) 0xbadc0de.be por el básico 0.2)
* Añadido soporte para firebird (por David Maciejak @ GMAIL dot com)
* Añadido parche de autenticación para SIP MD5 (por Jean-Baptiste Aviat jba [at] hsc [dot] `french tld')
* Eliminados el soporte para Palm y ARM
* Corregido la parte de cygwin que detectaba incorrectamente librerías postgres
* Corregidos algunos pequeños bugs

Marco de Riesgos de TI de ISACA

El Marco de Riesgos TI llena el vacío que existe entre los marcos de gestión de riesgos genéricos y los detallados (relacionados principalmente con la seguridad). Proporciona una visión comprensiva, de extremo a extremo, de todos los riesgos relacionados con el uso de IT y un tratamiento a fondo de su gestión, desde los aspectos relacionados con la cultura hasta los operacionales.

En resúmen, este marco ayudará a las empresas a entender y manejar todos los tipos de riesgos TI significativos, basándose en los riesgos existentes dentro de los componentes relacionados con los marcos actuales de ISACA, como por ejemplo, COBIT y Val IT.

Descarga (registro requerido, 4.6M)
Descarga Versión en español (4.2M)
Descarga Extracto (3.6M)
Descarga Lámina (Sólo miembros, 1.7M)

Nuevo 0-day en el Centro de ayuda de Microsoft

Microsoft acaba de publicar 10 boletines de seguridad en su ciclo habitual y ya tenemos un nuevo y peligroso 0-day que podría permitir a un atacante ejecutar comandos arbitrarios en un equipo vulnerable.

La vulnerabilidad está relacionada con el manejo de URLs de Microsoft Help Center. A través de una página web HTML, un email o cualquier vector típico de ataque, el atacante podría engañar a la víctima para que visite un enlace hcp:// especialmente modificado y se ejecuten los comandos deseados en el contexto de la cuenta del usuario afectado.

Cuando se invoca el manejador de protocolo hcp://, el Centro de Ayuda y soporte técnico (Windows Help Center) emplea el uso de una whitelist que solo permite ciertos parámetros y documentos de ayuda. Pues bien, existe un fallo en MPC::HTML::UrlUnescapeW() que permite saltarse esa whitelist. Esto, junto con una vulnerabilidad conocida de cross-site scripting (XSS) en el documento de ayuda sysinfomain.htm, hace posible construir una URL maliciosa que permitirá a un atacante ejecutar de forma trivial cualquier comando. Sirva como prueba este sencillo ejemplo:


También, embebiendo la URL hcp:// maliciosa en un IFRAME dentro de un elemento ASX HtmlView, un atacante malicioso podría ejecutar cualquier comando en el equipo de un usuario que visite la página web sin ni siquiera requerir su interación.

Si a esto y a su gran facilidad de explotación añadimos que el exploit ya es público, podemos determinar que se trata de un 0-day realmente peligroso.

Por ello, y para mitigar el problema de momento, se recomienda desactivar las URLs del Centro de ayuda y soporte técnico borrando la siguiente clave de registro (se puede también crear una política de grupo para desplegarlo en múltiples clientes):

HKEY_CLASSES_ROOT\HCP\shell\open\command

Podéis encontrar más información en: http://seclists.org/fulldisclosure/2010/Jun/205

Liberada también la revista Linux+

Dentro de la genial política de liberación de algunos magazines, no queríamos dejar pasar la oportunidad de hablaros de Linux+, cuyo número está disponible de forma gratuita y ya puede ser descargado:

2010-06

* Protección de archivos madiante cifrado – 6/2010 (66)
* Hacking Arduino: ¿Cómo llegar al interior y modificarlo?
* Cifrado de archivos: Protección con las herramientas open source
* Soluciones sostenibles: Tecnologías para el desarrollo humano
* Aplicaciones matemáticas en sistemas GNU/Linux
* Asturix: libre, abierto y para todos
* KontrolPack: Controla los equipos de tu red
* Sé tu propio jefe

Además y dado el éxito de la liberación de esta revista, nos ha llegado también la noticia de que abrirán el portal RevistaLiNUX.net (ya accesible) en el que publicarán más materiales dedicados a Linux, programación, seguridad TI, tecnologías libres, noticias del mundo Linux, etc. ¡Excelente noticia sin duda!

root@PC:/# killall mosquitos

Ahora que llega el verano, vamos a hablaros de una curiosa aplicación de seguridad informática, en este caso, seguridad contra ¡los mosquitos!

¿Y que tienen que ver los mosquitos con la seguridad informática? Pues leyendo, encontré un curioso artículo que hablaba de un método para ahuyentar los mosquitos a través del sonido de nuestro ordenador.

Se trata de imitar el sonido que uno de los enemigos más mortales de los mosquitos: las libélulas que, en su vuelo, pueden generar frecuencias de (aproximadamente) entre 45 y 67 Hz, dependiendo de sus tamaños.

La idea por tanto, es generar un tono que se sitúe entre esas frecuencias (por ejemplo, 56 Hz es una buena media) y utilizar nuestra tarjeta de sonido y altavoces contra nuestros molestos amiguitos.

Sólo es necesario un programa generador de tonos como este o este, y probarlo a ver qué pasa. ¿Funcionará?

Prueba el Jarlsberg

Jarlsberg es un queso típico noruego, muy importado y muy popular en EEUU. Seguramente sus típicos agujeritos han inspirado también a varios autores del Google Code University, que han utilizado ese nombre para bautizar un codelab de una aplicación web con multiples agujeros de seguridad.

¿Y para qué? Pues para guiarnos a través del descubrimiento de una gran variedad de bugs y aprender la forma de solucionarlos.

Y es que no sólo de Webgoat vive el hombre. Gracias a esta pequeña aplicación hecha en python, podremos practicar con vulnerabilidades tales como XSS, CSRF, path traversal, DoS, ejecución remota de código y otras.

Ummmmmmmmmm, que pinta tiene... ¡A qué esperas para probar este queso!

La aplicación:
http://jarlsberg.appspot.com/
Y la guía:
http://code.google.com/edu/submissions/jarlsberg/Jarlsberg_Instructor_Guide.pdf

Nuevo número de Hakin9: ¿es el DDOS una amenaza todavía?

Aquí os dejo un nuevo número de la revista Hakin9. Descargatela y no dejes de leerla, ¡es gratuita!.

Los contenidos de este mes son:

Habituales
En general
-Últimas noticias desde el mundo
de la seguridad IT
Herramientas
-NTFS Mechanic
Amenazas emergentes
-¿Es el DDOS una amenaza
todavía?
El experto dice...
-No dejes que los zombies te derriben

Básico

-Obtener datos forenses del kernel con Python

Ataque
-Jailbreaking y Penetrating con el IPhone 3G y 3GS
-Herramientas de análisis forense de memorias flash - parte 2

Defensa
-Securizando servicios públicos usando Tariq
-Guía del cibercrimen para principiantes: entendiendo las metodologías de ataque y un acercamiento más proactivo a la defensa
-Cifrado
más seguro para fuentes PHP del lado del servidor