Evilgrade 2.0: ha vuelto el framework de explotación de actualizadores

Con este título Infobyte anuncia hoy un nueva versión de Evilgrade, un framework modular de Francisco Amato que sirve fundamentalmente para comprometer equipos a través de actualizaciones falsas.

Eso sí, este framework funcionará sólo cuando el atacante sea capaz de redireccionarse el tráfico de la víctima, ya sea modificando las entradas DNS, envenenando el caché DNS, falseando ARP, impersonando el punto de acceso WiFi, secuestrando DHCP o a través de cualquier otro medio o manera.

De esta forma, es posible tomar el control de un máquina completamente parcheada en un test de intrusión. La idea principal es demostrar los fallos que existen hoy en día en los procesos de actualización de la mayoría de las aplicaciones.

Podéis ver una demo con una falsa actualización Java o instalarlo y jugar con hasta 63 módulos para Safari, iTunes, Quicktime, Cygwin, Java, Bsplayer, Winamp, Virtualbox, Vmware, etc.

Mozilla parchea el 0-day de Firefox en menos de 48 horas

Menos de 48 horas después de recibir el aviso de un nuevo 0-day en Firefox, Mozilla ha liberado una actualización de emergencia que parchea el problema: Firefox 3.6.12 y Firefox 3.5.15.

El 0-day, que fue explotado por malware en la web del Nobel de la paz, se basa en un fallo al intercalar las funciones document.write y appendChild que puede llevar a desbordamiento del texto que está ejecutándose y a duplicar frames.

Ya existen pruebas de concepto en Exploit Database y también podéis encontrar un gran detalle técnico sobre los comentarios del Bug 607222 en Bugzilla.

Extendiendo el uso de Firesheep

A estas alturas ya os habréis enterado de la controversia que ha causado Firesheep, una extensión de Firefox escrita por Eric Butler y presentada en la conferencia ToorCon 12 que facilita el secuestro de sesiones de Facebook, Twitter, Flickr, Windows Live, Yahoo, Google y Wordpress entre otros.

Digamos que podría llamarse 'sidejacking for dummies' y es una extensión que automatiza la captura de las cookies de usuario que son transmitidas en HTTP claro, poniendo en evidencia a multitud de sitios que sólo utilizan HTTPS o SSL durante el login inicial. No es un problema nuevo, pero esta extensión facilita enormemente el trabajo.

Smartphones y el malware que se avecina

Acabo de empezar a leer las presentaciones de la conferencia Virus Bulletin de Vancouver y he comenzado con una que me ha llamado enseguida la atención: 'Dialers are back, and this time they're on smartphones!' del conocido Mikko Hypponen.

La razón es que dentro de poco me llegará un flamante Samsung Galaxy S (¡hay que ver lo que se consigue con los amagos de portabilidad!) y estoy introduciéndome poco a poco en todo lo que rodea a Android y especialmente a su seguridad.

Evidentemente, el título de la presentación lo dice todo. Con los nuevos teléfonos inteligentes se crea la necesidad de tarifas de datos y el incremento del uso de Internet móvil será proporcional a la avalancha de malware que se avecina.

Dentro de poco empezaremos a hablar de botnets para móviles, de drive-by-exploits y sobretodo de la peligrosa vuelta de los dialers, que de nuevo serán una grave amenaza para nuestros bolsillos.

¿Pero cuál será el sistema operativo para teléfonos móviles más seguro? Un asunto difícil de evaluar. Lo que si parece claro es que el sistema operativo con más virus será casi seguramente el más utilizado. Según la presentación de Mikko (datos de Canalys), el año pasado predominaba Symbian con el 47% de cuota de mercado y con 463 familias de malware. Hoy en día esta situación se está revirtiendo a favor de Android e iOS (RIM debe extenderse y llegar al usuario doméstico) por lo que pronto veremos un incremento de malware espectacular para estas plataformas, incluidos los temidos dialers...

Entramos de lleno en el mundo de la in-seguridad en los smartphones... Y tú, ¿tienes también un teléfono inteligente? ¿cuál es el sistema operativo que utilizas? ¡Cuéntanoslo en nuestra nueva encuesta!

Libro: Rootkits - Subverting the Windows Kernel

Los rootkits son backdoors que dan a un atacante el acceso permanente y prácticamente indetectable a los sistemas que explota. Ahora, dos de los principales expertos mundiales, Greg Hoglund y James Butler, han escrito su primera guía completa sobre rootkits: qué son, cómo funcionan, cómo construirlos y cómo detectarlos. En este libro revelan lo que nunca antes se dijo sobre los aspectos ofensivos de la tecnología rootkit. Con su lectura, podrás aprender cómo un atacante puede llegar a entrar y permanecer en un sistema durante años sin ser detectado.

Hoglund y Butler muestran exactamente cómo destripar los kernels de Windows XP y Windows 2000, enseñando conceptos que también se pueden aplicar a prácticamente cualquier sistema operativo moderno, desde Windows Server 2003 hasta Linux y Unix. Usando una gran cantidad de ejemplos, se enseñan técnicas de programación de rootkits que pueden ser utilizados por un amplia gama de software, desde herramientas de seguridad hasta drivers y depuradores.

Después de leer este libro podrás:

- Comprender el rol de los rootkits con los comandos/control remoto y el espionaje de software.
- Construir rootkits de kernel que puedan hacer invisibles procesos, ficheros o directorios.
- Aprender las técnicas clave de programación de rootkits, incluyendo hooking, runtime patching y manipulación directa de los objetos del kernel.
- Trabajar con drivers de capas para implementar sniffers de teclado y filtros de fichero.
- Detectar rootkits y construirs HIPS para resistir sus ataques.

Otra campaña Zeus mediante correos de DHL falsos

Como ya pasó anteriormente con FedEX, UPS o el mismo DHL, Zeus nos vuelve a bombardear con nuevos scams por correo electrónico.

Como podéis ver en la imágen de la derecha, el mensaje con asunto 'DHL Servicios. Recoja su paquete postal NR60218', intenta convencer al usuario para que ejecute un programa que supuestamente imprime una etiqueta postal para poder recoger un paquete en Correos.

El ejecutable 'DHL_etiqueta.exe' se presenta con un icono de tipo excel. Ayer el ratio de detección de los antivirus rondaba el 30% y hoy ya ha aumentado hasta el 55,8%.

La hacker más sexy del mundo podría ser condenada

La estudiante rusa Kristina Svechinskaya de 21 años de edad, acusada de participar en el intento de robo de 220 millones de dólares, podría ser condenada hasta con 40 años de cárcel.

Svechinskaya, considerada la hacker más sexy del mundo, fue acusada por el juez del caso de formar parte de una banda de estafadores cibernéticos, conspirar para cometer fraudes bancarios y del uso de pasaportes falsos, informó el diario británico Daily Mail.


Durante su audiencia, Kristina aseguró que fue utilizada para abrir algunas cuentas pero su intención nunca fue robar tal cantidad de dinero.

La Fiscalía sostiene que Svechinskaya abrió al menos cinco cuentas en Nueva York, por lo que recibió 35.000 dólares del dinero robado.

Se presume que la banda estaba formada por al menos 37 personas en Nueva York y 11 en Gran Bretaña todos originarios Europa del Este.

Su manera de operar era utilizando el troyano Zeus con el que conseguían desviar el dinero de cuentas en internet de pequeños negocios y particulares.

Ganador de la encuesta: ¿Cuál es la certificación que más valoras?

La última encuesta de nuestro blog '¿Cuál es la certificación que más valoras?' terminó con un total 95 votos y un resultado bastante ajustado para el primer puesto.

Cómo podéis comprobar a continuación, el ganador ha sido finalmente el CEH o Certified Ethical Hacker:

1º CEH: 56 (58%)
2º CISSP: 51 (53%)
3º CISA: 34 (35%)
4º CHFI: 31 (32%)
5º CISM: 22 (23%)
6º GIAC: 21 (22%)
7º Vendor Certifications: 18 (18%)
8º OPSA: 13 (13%)


He de reconocer que me ha sorprendido bastante la votación, sobre todo por vuestro reconocimiento a las certificaciones de EC-Council, tanto como por la del CEH como por la forense o CHFI.

Comienza la No cON Name

Hoy dan comienzo las formaciones de la No cON Name, la conferencia de seguridad informática más antigua de España y que, después de cuatro años de inactividad, vuelve a Barcelona con su séptima edición y muchas novedades.

Estaremos atentos al desarrollo de la misma y a sus fantásticas ponencias:

  • Pau Oliva Fora: HTC Nand dumping for forensics purposes
  • Pedro Sánchez (conexioninversa): “Que vienen los Zombis”. Análisis forense en Banca Electrónica y Fugas de información.
  • Sergi Alvarez i Capilla (pancake): reversing for goods: fixing security vulnerabilities in binaries
  • Joan Ayerbe Font: Aspectos organizativos ligados a la seguridad de la información
  • Jose Selvi (Pentester.es): IP Fragmentation Overlapping
  • Yago Fernández (diariodeunhacker.com): 802.1X y 802.11i – La única seguridad real en Red (Taller)
  • Xavier Vidal: Políticas llevadas a cabo en la Generalitat de Catalunya (Mesa Redonda)
  • Anonymous: Development of security-critical embedded systems
  • Alexis Porros y Silvia Villanueva: Nuking and defending SCADA networks
  • Alejandro Ramos y Francisco Alonso: Resolución de concursos de la No cON Name 2010
  • Julián Vilas Díaz: SMSspoofing: fundamentos, vectores de ataque y salvaguardas

El maletín del investigador forense

En investigaciones forenses se requieren precauciones extremas y un alto grado de pericia. Un investigador debe estar capacitado para preservar las evidencias digitales, analizar los datos y proveer un testimonio que podría incluso determinar un veredicto en un juicio. Para realizar este análisis, el investigador debe valerse del hardware y el software necesario para analizar todo tipo de plataformas y aplicaciones, trabajando a partir de duplicados de la evidencia original y proporcionando resultados repetibles.

Hoy en día existen una serie de maletines que facilitan estas tareas proporcionando al investigador un completo y auténtico laboratorio forense portátil. Estos kits suelen ahorrar tiempo en las fases de adquisición e investigación, por ejemplo incluyendo write-blocking y realizando cálculos de hashes mientras se copian los datos.

Sin embargo, hay que decir que no existe ninguna función que realice cualquiera de estos kits que no pueda también llevar a cabo un programa de software instalado en un equipo convencional. Aún así y ya sea por política, imagen o cualquier otra razón, una empresa puede decidir gastarse miles de euros en uno de estos maletines y poner en manos de alguno de sus analistas una herramienta que haría morir de envidia al mismísimo McGyver.

Adquirir una de estas estaciones forenses no es algo trivial y elegir correctamente puede llegar a ser un auténtico reto.

Número 4 de la revista Hack In The Box

Coincidiendo con la conferencia Hack in the Box 2010 de Kuala Lumpur, se ha lanzado un nuevo número de este interesante magazine:

http://magazine.hitb.org/issues/HITB-Ezine-Issue-004.pdf

Los contenidos son los siguientes:

Network security, cover story:
- Notorious Datacenter Servers Support Systems Pwning Through Outer Sphere

Windows security
- Custom console hosts on Windows 7
- Windows Objects in Kernel Vulnerability Exploitation

Information security
- Stepping Through a Malicious PDF Document
- Decrypting TrueCrypt Volumes with a Physical Memory Dump

Mobile security
- Reconstructing Dalvik applications using UNDX

Book review
- Ubuntu For Non-Geeks

Interview
- Aditya Sood

SIEM para una defensa en profundidad

Hoy en día los ataques a organizaciones son cada vez más sofisticados e inmunes a la detección por parte de dispositivos IDS/IPS convencionales. Las indicios de posibles actividades maliciosas pueden ser difíciles de observar y pueden llegar a pasar desapercibidas. Se hace necesario por tanto revisar y correlar los eventos de varios dispositivos de nuestra red para encadenar y entender una serie de sucesos que nos lleven a la posibilidad real de detectar una posible intrusión en nuestros sistemas.

Aquí es donde entra SIEM, una solución que nos ayudará a detectar y a seguir la pista a estos posibles ataques y no perdernos entre los innumerables logs y alertas de nuestros heterogéneos sistemas.

¿Pero qué es exactamente SIEM? El acrónimo significa Gestión de la Seguridad de la Información y Gestión de Eventos y podemos decir que es una combinación de SEM (Gestión de Eventos) y SIM (Gestión de la Seguridad de la Información).

Vsam para la gestión de las vulnerabilidades de Nessus

Vsam (Vulnerability, Scanning, Analysis and Management) es una imágen virtual compatible con VMWare 6.5-7 que nos permitirá administrar los datos de los escaneos de vulnerabilidades realizados con Nessus, visualizando métricas y realizando un seguimiento de los hosts analizados.

Vsam es una idea que nació a partir del código del proyecto Inprotect, un software basado en PHP, Perl y MySQL para administrar y realizar un seguimiento de las vulnerabilidades descubiertas por Nessus. Vsam nos ahorrará las tareas de instalación: bastará con arrancar la máquina virtual y tendremos todo el software necesario configurado y listo para funcionar.

Las versión 1.10 se ha reescrito para soportar Nessus 4.2.2 a través de un interfaz XMLRPC e incluye las siguientes características:

* Completa integración con Nessus
* Opción de copia de seguridad y restauración, fácil y sin problemas
* Las copias de seguridad pueden ser descargadas para su salvaguardado
* Programación de escaneos manual y programado
* Seguimiento de hosts y remediación
* Cálculo de métrica y de tendencias
* Capacidades de búsqueda completa
* Agrupación de la información de los escaneos utilizando organizaciones, sitios y subredes
* Datos exportables a Excel
* Auditoría de usuarios
* Control de acceso de usuarios granular

Más detalles y descargas en el siguiente enlace: http://vsam.sourceforge.net/

English challenges write-ups compilation + extra stego

Apparently the image on the left is a funny but normal picture. However, this image contains a secret message. We talked about steganography, the art and science of writing hidden messages, and this one could be a hacking challenge or wargame level.

Hackers and computer security enthusiasts around the world play to resolve this and other types of hacking challenges: cryptography, forensics, crackmes, web exploits, etc. are just examples of categories that can be found.

Previously we published a Spanish write-ups compilation and now we present a new list in English. If you follow and read these links you will enter a fascinating world of mind games and can learn to use many sophisticated hacker techniques. And who knows, you might be able to reveal the hidden message of the horse image in this post ... ;-)

Nuevo número de Hakin9: seguridad del correo electrónico

Llega un nuevo número de la revista Hakin9 (Vol.5 No.9).

En portada un artículo sobre la seguridad email para usuarios y en su interior varios temas interesantes. A mi me han gustado especialmente los artículos sobre hacking web: session riding o CSRF y la tercera parte sobre web malware.

Os dejo los contenidos de este mes:


Habituales
En general
-Últimas noticias desde el mundo de la seguridad IT [Armando Romero, eLearnSecurity]
Herramientas
-Ad-Aware Pro Internet Security [Don Iverson]
El experto dice...
-Un análisis de los aspectos de la seguridad del correo electrónico para usuarios finales [Julian Evans]

Básico
-Conociendo VoIP - Parte I [Winston Santos]

Ataque
-Web Malware - Parte 3 [Rajdeep Chakraborty]
-Implicaciones de seguridad en IPv6 [Antonio Merola]
-Session riding [Miroslav Ludvik]

Defensa
-Las mayores infracciones de hacking de la ciber historia [Gary Miliefsky]

Recopilatorio de soluciones a retos en español

¿Deseas conocer un hacker molón?

Quizás conozcas a alguno de estos...
crg - "PeDrop" para los amigos
matalaz - El amante de las ddbb
RoMaNSoFt - Tu pesadilla (el que ha programado este nivel, vamos)
tomac & slay - Los chicos de Yersinia
zhodiac - 31337
Ruben Santamarta - "Vendo 0day de IExplorer barato. Compren, compren"
tora - Koreanas al poder
dreyer - El panda mas sexy
Ero Carrera - Python + IDA powered
Kachakil - "No duermo hasta que pase este nivel"
uri - No hay reto que se le resista
Mario Ballano - El reverser peligroso
dab - "El melenas"
Chema Alonso - Nuestro security-"pr0n"-star mas internacional

... o quizás te suena porque ya has intentado pasar cierto nivel del último concurso de seguridad "Web challenges from RootedCON'2010 CTF" que recientemente montó RoMaNSoFt con ayuda de Dreyer e Hispasec.

Hablamos de los retos de hacking, aquellas pruebas en las que probamos inyectar código para modificar el comportamiento normal de la web, intentamos encontrar un mensaje oculto tras una curiosa imágen, buscamos identificar y dar con la manera de descifrar ese mensaje ilegible, desnudamos un binario para entender su funcionamiento, etc, etc, etc...

En definitiva se trata de una serie de juegos que ponen a prueba nuestra capacidad de análisis y cuya práctica puede llegar a aplicarse fuera de los wargames, ayudándonos profesionalmente para un pentest o simplemente para joder al prójimo.

Mucha gente puede jugar para sentirse 'peligroso', quizás a otros les guste verse en lo alto de un ranking o a otros simplemente demostrar a un colega que ha pasado un complicadísimo nivel
(a la novia no creo que le interese). Sea como fuere, todos los que intentan resolver este tipo de retos se divierten, gastan horas, se enganchan y aprenden a ejecutar técnicas y utilizar herramientas (sobretodo la principal, el cerebro).

Para ayudar a conocer un poquito más este tipo de retos
hemos recopilado una serie de tutoriales en español (el siguiente post será en inglés), tanto para los iniciados como para los expertos "jugones".