Lo más visto del 2011 en Hackplayers

En esta ocasión finalizamos también el año con un post con las 50 entradas de Hackplayers más vistas durante el 2011, según Google Analytics.

Como
siempre, daros las gracias por leernos y participar con vuestros comentarios, soluciones a los retos y colaboraciones. No dudéis en contactar con nosotros si estáis interesados en algún tema en particular o si queréis participar con vuestro artículo. Nos vemos en el 2012. ¡Feliz y próspero año nuevo!

1.- Blogroll en español y en inglés
2.-
LOIC: la herramienta DDoS utilizada por Anonymous
3.- Anti: el pentesting sencillo desde Android
4.- Evasión del límite de 140 caracteres de Twitter mediante codificación CESU-8
5.- Metasploit Autopwn
6.- Reto 10: averigua el patrón de desbloqueo
7.- Retos de Hackplayers
8.- Convierte tu Firefox en un keylogger invisible
9.- Reto 12: encuentra las 7 diferencias
10.-Solución al reto 3 del GP de Bahrein
11.-Puerta trasera oculta en Windows
12.-La FOCA en Linux [2 de 2]
13.-Las 10 mejores técnicas de hacking web en el 2010
14.-Mitos: el caso Tim Lloyd/Omega
15.-¿Cuál es el mejor firewall de red?
16.-Taller de lock picking #2: Técnicas de apertura
17.- Milw0rm y Inj3ct0r se fusionan en 1337db
18.-wifite - Herramienta para cracking masivo de claves WEP/WPA
19.-Taller de lock picking #1: Iniciación
20.-Taller de lock picking #3: Herramientas de ganzuado
21.-Blackbuntu Community Edition 0.1
22.-Otra campaña Zeus mediante correos de DHL falsos
23.-Recopilatorio de soluciones a retos en español
24.-Páginas ocultas "about:" en Mozilla Firefox
25.-Principios en ensamblador
26.-Probando la FOCA 3.0 en Linux
27.-Suben porno al canal YouTube de Barrio Sésamo
28.-5 interesantes proyectos de seguridad de código abierto
29.-Anonymous y Team Poison se unen contra los bancos en la Operación Robin Hood
30.-Explota inyecciones SQL fácilmente con Havij
31.-Libro: La biblia del Hacker 2009
32.-Inteco & Confianza Online pwned!
33.-Guía de Metasploitable - Episodio 2 - PostgreSQL + SSH
34.-Solución al reto 9 del crackme#1 para Android [2 de 2]
35.-Katana 2.0: suite de seguridad portable y multi-arranque
36.-Guía de Metasploitable - Episodio 1 - distccd + escalado de privilegios
37.-Reto 13: ¡examen sorpresa!
38.-Evasión de la autenticación de Dropbox
39.-killapache: consigue un DoS remoto desde un único PC
40.-El maletín del investigador forense
41.-Reto 11: ¿quién entiende a los bebés?
42.-Seguridad en switches Cisco
43.-Las personas más influyentes en seguridad informática
44.-El cazador de vulnerabilidades en aplicaciones PHP
45.-Solución al reto 6 del bebé llorón
46.-Enumeración LDAP
47.-fbpwn: ingeniería social en Facebook
48.-Solución al reto 4 de análisis de malware (una ayuda para Juanito)
49.-Metasploit + Nessus + XSSF
50.-Participa en Hackplayers

Reaver-wps: ataques de fuerza bruta contra WPS

Hace un par de días, Stefan Viehbock publicó un whitepaper detallando los fallos en la implementación de Wi-Fi Protected Setup (WPS) que podrían permitir a un atacante realizar un ataque de fuerza bruta para probar todas las combinaciones de PIN posibles con el objetivo de obtener una contraseña WPA/WPA2 en cuestión de horas.

Los fallos de implementación residen en que:

1. la opción de Registro Externo no requiere ningún tipo de autenticación a parte de proveer el PIN correspondiente.

2. el router valida en PIN en dos partes: responde inmediatamente (mensaje EAP-NACK) si los 4 primeros dígitos del PIN son erróneos, y después hace lo propio con los 3 siguientes (el último dígito es un checksum). Esto reduce significativamente las posibles combinaciones: 10^4 (10,000) y 10^3 (1,000) respectivamente

Ahora que está vulnerabilidad se ha echo pública, Tactical Network Solutions LLC (TNS) ha decidido además publicar la herramienta open source Reaver (http://code.google.com/p/reaver-wps), una herramienta que han ido probando y perfeccionando desde hace casi un año.

Detección de web shells con NeoPI y técnicas de evasión

Hoy en día, muchas aplicaciones web se desarrollan utilizando lenguajes de scripting como PHP, Python, Ruby, Perl, etc. Estos lenguajes pueden ser lo suficientemente complicados para que un pequeño fallo pueda llegar a permitir la ejecución de código arbitrario en el servidor.

Cuando una de estas condiciones es identificada por un atacante, casi con total seguridad intentará subir un web shell para mantener el acceso al servidor comprometido, permitiendo normalmente la ejecución de comandos del sistema y el acceso a archivos.

Pero, ¿cómo detectar el código de estos backdoors en un servidor con cientos o quizás miles de páginas?

Si la shell no está ofuscada, podremos realizar una búsqueda rápida en base a una serie de patrones aunque, eso sí, obtendremos numerosos falsos positivos. Por ejemplo encontraríamos la mítica C99 con:

grep -RPn "(system|phpinfo|pcntl_exec|python_eval|base64_decode|gzip|mkdir|fopen|fclose|readfile|passthru)" /pathto/webdir/

Otra opción sería utilizar herramientas basadas en firmas como Linux Malware Detect (LMD), que encontrará algunas de las más típicas web shells. Sin embargo, ¿cómo detectaríamos aquellas shells que hayan sido modificadas/ofuscadas para ocultarse?

Para ello podemos utilizar NeoPI, un script en Python que utiliza varios métodos estadísticos para descubrir este tipo de contenido ofuscado o cifrado dentro de scripts y ficheros de texto.

Nuevo 0-day en Windows 7 causa un pantallazo rojo

Al igual que ya ocurrió con Duqu hará ya más de dos meses, el grupo de hackers polaco R4nd0m ha publicado el código de lo que sería una nueva vulnerabilidad de tipo 0-day que afecta al kernel de Windows 7 y que provoca la parada del sistema afectado.

El exploit, escrito en C y en menos de 200 líneas, se aprovecha de un fallo en el API de la librería shlwapi.dll (Shell Lightweight Utility Functions) y causa un pantallazo rojo (RSoD o Red Screen of Death).

Lo sorprendente es que el rojo no se utilizaba desde versiones preliminares de Windows 98 y Vista (Windows 8 utilizará el negro para sus pantallazos de la muerte), aunque recordemos que cualquiera podría cambiarlo con programas como NotMyFault.

El código del exploit está disponible aquí.

Caras "cachondas" en el chat de Facebook

¿Usas el chat de Facebook para comunicarte con tus conocidos?, ¿tienes algún colega que piensas que es un poco troll?. Gracias a reddit ahora es tu oportunidad de expresarte más gráficamente con estas nuevas caras, simplemente pega en la ventana del chat el código numérico entre corchetes:

Troll face [[171108522930776]]

ARE YOU F*CKING KIDDING ME [[143220739082110]]
Not bad Obama [[169919399735055]]
Me Gusta [[211782832186415]]
Mother of God [[142670085793927]]
Cereal Guy [[170815706323196]]
LOL Face [[168456309878025]]
NO Guy [[167359756658519]]
Yao Ming [[218595638164996]]
Derp [[224812970902314]]
Derpina [[192644604154319]]
Forever Alone [[177903015598419]]
Not Bad [[NotBaad]]
Fuck yeah [[105387672833401]]
Challange accepted: [[100002727365206]]

Solución al reto 14 del crackme#2 para Android

Nuestro segundo crackme para Android (y último reto del año) consistía en evadir la implementación del proceso de licenciamiento de Android o Android License Verification Library (ALVL). La aplicación era muy sencilla pero, eso sí, tenía alguna trampa ;)

El ganador del reto, Jose Ayerdis (Necronet) de Nicaragua, ha publicado un completo solucionario en
su blog , que recomendamos que visitéis para ver más tips adicionales y otros interesantes artículos.

También quería dar las gracias a todos los que habéis intentado solucionar el reto. Por último, os dejo con el procedimiento seguido por Necronet:

Descarga el APKTool

El apktool es una herramienta maravillosa, si te quieres hacer de esto de cracking aplicaciones android el apktool es un fiel compañero, permite realiza muchas cosas entre ellas:
  • Extraer y decompilar fuentes de empaquetados Android(apktool), esto incluye recursos(res), manifiesto(AndroidManifest), y fuentes decompiladas.
  • Recompilar dichas fuentes y volverlas a empaquetar.
  • Depurar código decompilado backsmali.

Libro: Gray Hat Python: Programación en Python para hacking e ingeniería inversa

Python se está convirtiendo en el lenguaje de programación elegido por muchos que se dedican al hacking, a la ingeniería inversa y a probar software. La razón principal es que es fácil y rápido de escribir, soporta bajo nivel y tiene bibliotecas que nos hacen felices.

Ya no tendremos que buscar siempre en foros y manuales, Gray Hat Python muestra el uso de Python para una amplia variedad de tareas de hacking. Este libro explica los conceptos detrás de las herramientas de hacking y las técnicas con depuradores, troyanos, fuzzers y emuladores. Pero el autor, Justin Seitz, va más allá de la teoría mostrando cómo aprovechar las herramientas existentes de seguridad basadas en Python - y cómo construir las tuyas propias cuando lo necesites.

Leyendo este libro aprenderas a:
  • Automatizar las tediosas tareas de ingeniería inversa y seguridad
  • Diseñar y programar tu propio depurador
  • Fuzzear drivers de Windows y a crear potentes fuzzers desde el principio
  • Divertirte con la inyección de código y librerías, técnicas de soft y hard hooking y otros trucos con software
  • Esnifar tráfico seguro de sesión web cifrada
  • Usar PyDBG, Immunity Debugger, Sulley, IDAPython, PyEMU y más

Las peores 25 contraseñas del 2011

SplashData crea anualmente una lista con las peores contraseñas del año basándose en la recolección de las contraseñas que los crackers postean online. Este año son las siguientes:

1. password

2. 123456

3.12345678

4. qwerty

5. abc123

6. monkey
7. 1234567

8. letmein

9. trustno1

10. dragon

11. baseball

12. 111111

Windows 8 incluirá contraseñas mediante gestos en imágenes

Microsoft está trabajando en la integración de las contraseñas en imágenes en su próximo sistema operativo Windows 8.

El objetivo de los desarrolladores "fue la creación de una forma rápida y fluida de inicio de sesión muy personal, por lo que decidieron que los usuarios podrían utilizar una imagen de su colección de fotografías".


Una vez que que se elige la imagen, se pide a los usuarios que dibujen tres gestos dentro de ella (círculos, líneas o trazas), que luego tendrán que recordar y reproducir con el fin de iniciar sesión.

"Cuando se dibuja un círculo o una línea en la imagen seleccionada, Windows recuerda cómo lo hizo", explicó el desarrollador Steven Sinofsky. "Por lo tanto, alguien que trata de reproducir la contraseña en la imagen debe no sólo conocer las partes de la imagen que puso y el orden en que lo hizo, sino también la dirección y los puntos inicial y final de los círculos y las líneas que ha dibujado".

Disponible material de la Ruxcon


Hoy (por fin) viernes os dejamos unas interesantes lecturas para el fin de semana. Se trata del material de la conferencia Ruxcon que tuvo lugar el pasado 19 y 20 de noviembre en Melvourne, Australia.

Saturday and Sunday Presentations

Reto 14: Android crackme#2

El siguiente reto es nuestro segundo crackme en Android. En esta ocasión se trata de una simple aplicación que utiliza Android License Verification Library (ALVL) para determinar si existe la licencia para el usuario y el terminal específicos a través de una consulta al servidor de licenciamiento del AndroidMarket.

El objetivo es parchear la aplicación para que evada este mecanismo. El paquete apk podéis descargarlo desde aquí.

Si lo conseguís, mandarnos el apk parcheado y el procedimiento seguido a nuestra cuenta de correo:


¡Ánimo a todos, el reto es sumamente sencillo!

Recopilatorio de herramientas de esteganografía y estegoanálisis

Gracias a un paper de Pedram Hayati podemos recopilar hasta un total de 111 herramientas de esteganografía y estegoanálisis clasificadas por categorías.

Según su autor, el estudio se realizó desde un perspectiva forense para identificar qué herramientas están disponibles en Internet y cuáles de ellas podrían ser utilizadas por organizaciones terroristas. Sea como fuere, es un excelente recurso para tener siempre a mano un listado de estas herramientas:

Herramientas de esteganografía en imágenes con código fuente disponible

Steganographic
Tools
JPEG BMP Others Embedding
Aproach
Production
Blindside
Yes
SDS Yes
Camera Shy Yes

SDS Yes
dc-Steganograph

PCX TDS
F5 Yes Yes GIF TDS Yes
Gif Shuffle

GIF Change
the order of the color map
Yes
Hide4PGP
Yes
SDS Yes
JP Hide and
Seek
Yes

SDS Yes
Jsteg Jpeg Yes

SDS Yes
Mandelsteg

GIF SDS Yes
OutGuess Yes
PNG TDS Yes
PGM Stealth

PGM
Yes
Steghide
Yes
SDS Yes
wbStego
Yes
SDS Yes
WnStorm

PCX
Yes
SYND(E)Yes


SDS
Yes

TDS - Transform Domain Steganography
SDS - Spatial Domain Steganography (LSB Replacement and LSB Matching)

Resultados del I Reto Forense Digital Sudamericano de ISSA Perú

Ya se han publicado los resultados del I Reto Forense Digital Sudamericano – Perú Chavín de Huantar: http://issaperu.org/?p=538

Nuestra más sincera enhorabuena a los ganadores Henry Sánchez (aka g05u) y Daniel Correa (sinfocol.org). Los dos tienen una amplia experiencia en wargames e incluso ya conocía a Daniel por participar y ganar algunos de nuestros retos. Ambos presentaron unos informes excelentes que podéis descargar junto con los de los segundos y terceros clasificados:

Primer Puesto : Henry Sánchez – Daniel Correa – Perú / Colombia

Informe Ejecutivo: http://www.mediafire.com/?lvbu9bagr0uczso

Informe Técnico: http://www.mediafire.com/?bev78robcbu8u21

Segundo Puesto : Raúl A. Iriberri – Argentina

Informe Ejecutivo: http://www.mediafire.com/?fjl32pybshq6qbo

Informe Técnico: http://www.mediafire.com/?i1d3ghk6d4wc57m

Tercer Puesto : Gabriel Lazo Canazas – Roberto Contreras Diestra – Carlos Luis Vidal – Michael Ocrospoma Heraud – Perú

Informe Ejecutivo: http://www.mediafire.com/?ewc7yac8pcycuuc

Informe Técnico: http://www.mediafire.com/?cpk02r3lcrqyiin


Como miembro del jurado quiero felicitar también al resto de participantes, que han hecho unos trabajos impresionantes y nos han puesto tan difícil la elección. Tengo que decir que todos los informes presentados podrían exponerse como ejemplos educativos para la realización de un informe forense.

Por último, quería agradecer a Roberto Puyo Valladares y al resto de organizadores del reto la oportunidad de partipación facilitada. Ha sido un verdadero placer colaborar con ustedes.

Google+ incorpora reconocimiento facial en las fotos

EUROPA PRESS. Google+ ha comenzado a ofrecer la nueva aplicación 'Find my face', capaz de reconocer caras en las fotos subidas a la red social, lo que facilita el etiquetado de fotos. La opción aparecerá en la página de forma progresiva en diferentes países.

Es una aplicación fácil de utilizar, pensada para facilitar el etiquetado de fotografías. Cada usuario debe autorizar de forma explícita y personal el reconocimiento de su rostro en las fotografías. De esta forma, cuando uno de nuestros amigos suba una fotografía a Google+, el sistema le sugerirá que nos etiquete.

Este tipo de tecnologías suele despertar conflictos de privacidad, por los que Google ha prestado especial cuidado en la aceptación y autorización del servicio y la transparencia de su uso.

OccupyOS: el SO diseñado para activistas

OccupyOS es una distribución de Linux basada en Gentoo e inspirada en el movimiento Occupy Wall Street, orientada a activistas y diseñada para proveer un entorno seguro para editar y publicar documentos, navegar por la web (administrar sitios, Twitter y páginas de Facebook) y establecer comunicaciones seguras entre el usuario y otros activistas e Internet.

Todavía está en desarrollo y no se ha publicado un versión oficial estable, pero ya es posible descargar una interesante beta que incluye navegación anónima (Tor o VPNs), chat de voz y conferencia cifrados (Mumble), mensajería instantánea cifrada (Pidgin-OTR y Xchat-OTR), edición de imágenes (Gimp) y herramientas para el borrado seguro del disco.

Web del proyecto: http://wiki.gitbrew.org/wikibrew/OccupyOS

Solucionario al reto de la GCHQ CanYouCrackIt

Si recordáis, la agencia británica de inteligencia GCHQ publicó y difundió en las redes sociales un reto disponible en canyoucrackit.co.uk con el objetivo de captar nuevos talentos.

Tras unos "problemillas" con las búsquedas de Google y un mes más tarde de su publicación, un estudiante de la Universidad de Greenwich ha publicado varios vídeos explicando su solución.

Como veréis el rompecabezas tiene tres etapas y no era para nada simple:

Exposición de claves del API de Google Translate

A partir de hoy 1 de diciembre y desafortunadamente, la versión 2 del API de Google Translate se ha convertido definitivamente en un servicio de pago.

Esto significa que si tienes una aplicación que automáticamente traduce textos de un lenguaje a otro mediante el API de Google necesitarás obligatoriamente generar y utilizar una clave (API key) mediante una cuenta de Google y pagar según los precios y términos del servicio establecidos.

El "problema" es que Google Translate usa normalmente JavaScript y el código es visible para todo el mundo simplemente viendo el código HTML de la página. Por ejemplo:

var source = 'https://www.googleapis.com/language/translate/v2?key=INSERT-YOUR-KEY&source=en&target=de&callback=translateText&q=' + sourceText; newScript.src = source;

El riesgo es evidente, la clave está expuesta a todos y cualquiera puede reutilizarla en otro sitio, con los consiguientes cargos para su dueño.

La solución, comentada también por Google, es utilizar proxies inversos u otro código que llame a Google Translate desde el lado del servidor. Pero, ¿cuantos usuarios lo llevaran a cabo?, ¿cuantas claves están expuestas?, ¿cuantas?...

Anonymous y Team Poison se unen contra los bancos en la Operación Robin Hood

Anonymous y Team Poison se han unido bajo el nombre de p0isAnon y han declarado la guerra a las instituciones financieras que son una interferencia excesiva en las últimas protestas 'Occupy'.

Robin Hood es el nombre de la nueva operación, en la que planean robar tarjetas de crédito y donarlas al movimiento "99 por ciento" y a organizaciones benéficas en todo el mundo.

"En lo que respecta a las recientes manifestaciones y protestas en todo el mundo, vamos a devolver la pelota a los bancos. Operación Robin Hood va a devolver el dinero a aquellos que han sido engañados por nuestro sistema y, lo más importante, a aquellos afectados por los bancos", reza una declaración en el video.

Obtención remota de ficheros en versiones Android anteriores a 2.3.4

Hoy se ha echo público en Exploit Database código para explotar la vulnerabilidad CVE-2010-4804, que permitía extraer contenidos de la tarjeta SD a través de direcciones content:// en versiones Android anteriores a la 2.3.4.

La vulnerabilidad se hizo pública a finales de noviembre del año pasado, pero ¿cuantos terminales con Froyo, Eclair y anteriores existen todavía en el mercado?


Sí, como veis aproximadamente el 50% de los smartphones no se han actualizado todavía, así que todavía es factible publicar en nuestro servidor el código PHP expuesto y "pescar" los ficheros cuya ruta conocemos, explotando así la vulnerabilidad masivamente.

Inyección SQL en Zabbix 1.8.4 y 1.8.3

Si monitorizáis los sistemas de la empresa con Zabbix, quizás deberíais aseguraros que tiene instalada una de las últimas versiones (la 1.8.9 acaba de salir).

Marcio Almeida acaba de publicar una vulnerabilidad crítica de inyección SQL que afecta a las versiones 1.8.4 y 1.8.3, a través de la cual podríamos por ejemplo obtener los logins y sus hashes md5 sin necesidad de autenticación previa.


Para ello, introducimos la siguiente URL (PoC):


http://localhost/zabbix/popup.php?dstfrm=form_scenario&dstfld1=application&srctbl=applications&srcfld1=name&only_hostid=-1))%20union%20select%201,group_concat(surname,0x2f,passwd)%20from%20users%23


Paper #breaking80211: ataques a redes WiFi

Hoy queríamos hablar de un magnífico paper publicado en Exploit Database llamado #breaking80211. Este paper de Aetsu reune la mayor parte de ataques a redes wifi, mostrando de una forma fácil y práctica todos los pasos necesarios para realizarlos.

A través de la distribución BackTrack 5 R1, se mostrara el uso de herramientas de la suite aircrack-ng para el ataque a puntos de acceso y otras utilidades como coWPAtty o Pyrit para descifrar la contraseña.

Además, veremos las consecuencias de conectarnos a puntos de acceso desconocidos, viendo el potencial de programas como Ettercap, Metasploit o SET.

El cazador de vulnerabilidades en aplicaciones PHP

PHP Vulnerability Hunter es un fuzzer que puede provocar una amplia gama de fallos explotables en las aplicaciones web PHP. A través de un análisis dinámico escanea la aplicación en busca de los siguientes tipos de vulnerabilidades:

- Ejecución arbitraria de comandos
- Modificación arbitraria de ficheros (escritura/cambio/renombrado/borrado)
- Inclusión de archivos locales (LFI) y lectura arbitraria de ficheros
- Ejecución de PHP
- Inyección SQL
- Reflected Cross-site Scripting (XSS)
- Redirección abierta
- Descubrimiento de rutas

Web del proyecto: http://code.google.com/p/php-vulnerability-hunter/

Recomendaciones: Segu-Info

Segu-Info es un sitio de Seguridad de la Información que se encuentra en línea desde el año 2001 y actualmente conforma una de las comunidades más grandes de habla hispana con respecto a esta temática, reuniendo aproximadamente 15.000 miembros de distintos países de Iberoamérica en su sitio web, blog y foros de discusiones.

Su creador y director Cristian F. Borghello contactó recientemente con nosotros y Segu-Info no podia faltar en nuestras webs recomendas, así que no dejéis de visitarlo: http://www.segu-info.com.ar

pd. Y ya sabes, si tu también tienes un blog, una comunidad, un foro o lo que sea relacionado con la seguridad informática y hacking ético, ¡te animamos también a compartirlo con nosotros!.

TranSteg: esteganografía por transcodificación en VoIP

Investigadores del Instituto de Telecomunicaciones de la Universidad Tecnológica de Varsovia han encontrado un nuevo método de esteganografía bautizado como "TranSteg" (esteganografía por transcodificación) para ocultar datos en comunicaciones VoIP (telefonía IP).

Esta técnica comprime los datos en RTP (Real-Time Transport Protocol) para insertar información oculta. Lo innovador es que para ello elige un códec que tratará el flujo de datos dando como resultado una calidad de voz similar pero de menor tamaño que la carga útil de voz (payload) originalmente seleccionada.


Hackeando la democracia

¿Podría un ciberataque incurrir en un fraude electoral que cambie los designios políticos y el rumbo entero de una nación?. ¿Podría un hacker llegar a manipular cientos de miles de votos electrónicos o modificar los resultados de los escrutinios?.

Son cuestiones que me pregunto
hoy coinciendo con las elecciones generales en España, preguntas sin embargo casi vacías porque en este país el voto electrónico todavía se limita a diversas experiencias piloto. Aunque todo se andará...

De momento el e-voto está implantado en apenas una docena de países, pero su historia ya registra casos de fallos en el software, conspiraciones, ataques e intrusiones.

Evasión del límite de 140 caracteres de Twitter mediante codificación CESU-8

No es la primera vez que se consigue saltar la restricción de 140 caracteres para el envío de mensajes en Twitter, y seguramente no será la última.

Esta vez, el usuario ruso LeeA_09 consiguió superar ampliamente esta barrera con un tweet de más de 900 caracteres. El "truco", utilizar una codificación CESU-8 mediante un cliente o interfaz de Twitter (en su caso QIP 2010) que no valida y permite el envío de estos símbolos.

El fallo es que no se filtra su entrada a nivel del servidor que además está esperando visualizar una secuencia válida UTF-8, por lo que al final acaba mostrando 12 caracteres por cada símbolo introducido. Es decir, si introducimos 140 símbolos Unicode codificados con CESU-8, Twitter mostrará 1680 caracteres.

Por lo tanto, con el interfaz adecuado es muy sencillo crear un mensaje como el siguiente:

https://twitter.com/#!/hackplayers/status/137321960488189953


pd. ¿Sabrías además decodificar nuestro mensaje? ;)

Comprueba la seguridad de tus CAPTCHAS con TesserCap

TesserCap es una herramienta de análisis de CAPTCHAs que incluye las siguientes características:
- Un motor genérico de preprocesamiento de imágenes que puede ser configurado según el tipo de CAPTCHA que se analiza
- Tesseract-OCR como motor OCR para recuperar el texto de los CAPTCHAs preprocesados
- Soporte de proxy Web
- Soporte para cabeceras HTTP para obtener los CAPTCHAS de sitios web que requieren cookies o cabeceras HTTP especiales en las peticiones
- Soporte de análisis estadístico de CAPTCHAs
- Selección de configuración de caracteres para el motor OCR

Su autor ha usado esta herramienta contra 200 de los sitios web con más tráfico en la actualidad y, junto a otros estudios como el de varios estudiantes de la Universidad de Stanford, se obtiene una conclusión preocupante: un número alarmante de CAPTCHAS son vulnerables a ataques automáticos.

Más información en el blog Open Security Research patrocinado por Foundstone.

Descarga:

Facebook se inunda de imágenes porno y gore

ELMUNDO.es | Madrid - Son ya muchos los usuarios de Facebook que se están quejando de la aparición masiva de imágenes de violencia explícita, automutilación, zoofilia y pornografía, tras lo que parece un 'ciberataque' a la popular red social.

Según informa ZDNews, las quejas provienen tanto desde aquéllos que han visto su muro invadido por estas imágenes, como por parte de otros que reciben peticiones para entrar en enlaces con diversos reclamos. El tradicional 'spam' de Facebook, solo que esta vez parece más rápido.

El citado medio enlaza a Twitter para demostrar, con una simple búsqueda, que existen múltiples quejas al respecto de particulares y de algunos personajes públicos que utilizan la red social.

Por ejemplo, la actriz y directora Courtney Zito declaró a The Christian Post (el primer medio que se hizo eco de este hecho), que su propio muro "está lleno de pornografía", así como de imágenes violentas. "Estoy a punto de desactivarlo", comentó.

El citado sitio web apunta que parece un ataque aleatorio, de manera que muchos usuarios no han visto alterados sus perfiles con pornografía, mientras que otros se han visto inundados por este tipo de contenidos.

A pesar de que no hay aún pruebas ni una respuesta oficial por parte de Facebook, hay ya quien acusa a 'Anonymous' de estar detrás de este suceso.

Este problema viene sucediendo desde hace un par de días, informa Gawker, que añade que ya empiezan a formarse grupos que claman por un Fabebook más 'limpio', tales como "Recuerdo cuando Facebok NO ERA un sitio porno".

ClubHACK Magazine nº22

El número 22 de la revista india ClubHACK Magazine trae en portada Ravan, una herramienta en javascript para cracking distribuido de la que ya os hablamos el año pasado en Hackplayers.

Además, no os podéis perder el resto de los artículos de este mes, que son los siguientes:

0x00 Tech Gyan - Looking Into the Eye of the Bits
0x01 Tool Gyan - Ravan – JavaScript Distributed Computing System
0x02 Mom's Guide - Best Practices of Web Application Security
0x03 Legal Gyan - Law relating to Cyberterrorism
0x04 Matriux Vibhag - OWASP Mantra’s MoC Crawler
0x05 Poster - Ravan

La versión PDF puede descargarse desde: http://chmag.in/issue/nov2011.pdf

Cómo convertirte en un cazarecompensas de 0-days

¿Has descubierto una vulnerabilidad crítica de tipo 0-day en un producto ampliamente utilizado? ¿Puede ser ese bug "armado" o activamente explotado?

Si ese es tu caso, podrías ganar cientos de euros o quizás más vendiéndola al ZDI (Zero Day Initiative) de TippingPoint, al Programa de Contribuciones de Vulnerabilidades del iDefense o a otro de los más de 20 programas públicos y legales que recompensan a los cazadores de bugs.

Dos años después del lanzamiento de la iniciativa "No more free bugs", varias empresas y proyectos de código abierto están ofreciendo programas destinados a fomentar la investigación de seguridad en sus productos. Además, muchas empresas privadas están ofreciendo públicamente programas de adquisición de vulnerabilidades.

A continuación y gracias a NibbleSecurity podemos ver una interesante lista, por si o animáis. Considerarlo en lugar de pasaros al "lado oscuro" e intentar la venta en el mercado negro ;)

MS11-083: la vulnerabilidad de Chuck Norris

El pasado 8 de Noviembre de 2011, Microsoft hizo pública una vulnerabilidad (MS11-083) en la implementación de las librerías que controlan las comunicaciones TCP/IP, mediante la cuál un atacante podría enviar un flujo continuo de paquetes UDP especialmente manipulados para ejecutar remotamente código en los sistemas Microsoft Windows.

Lo más llamativo de esta vulnerabilidad es que estos paquetes UDP han de enviarse a un puerto cerrado del sistema objetivo, característica que ha hecho comentar con guasa en Twitter que "MS11-083 fue descubierta por Chuck Norris", "Chuck Norris puede explotar sockets que incluso no están escuchando".

De momento, gran controversia, risas y llantos, algunos análisis y PoC falsos y esperando detalles.

Hollywood hacker vs. vida real

Tan real como la vida misma ;)

ARE: VM para el análisis de malware de Android

ARE (Android Reverse Engineering) es una máquina virtual con un interesante set de herramientas para analizar distintos artefactos de malware de Android en un entorno seguro.

La imágen desarrollada por un grupo francés del Honeynet Project corre en VirtualBox y comprende 10 herramientas, incluyendo Androguard y el SDK de Android:
Web del proyecto: http://redmine.honeynet.org/projects/are/wiki

Herramienta de análisis y detección de Duqu

Los ingenieros de NSS Labs han desarrollado un pequeño script en Python para detectar todos los drivers de Duqu instalados en un sistema. Lo que hace es comparar los ficheros con una docena de patrones con el objetivo de descubrir drivers adicionales para aprender más sobre las funcionalidades, características y propósitos del famoso malware.

Podéis descargar el script desde GitHub. Su uso es sumamente sencillo:

Uso: python DuquDriverPatterns.py [Directorio a escanear]

ejemplo: python DuquDriverPatterns.py ./directoriodeMalware

Premios Bitácoras.com 2011 al Mejor Blog sobre Seguridad Informática

Hace un par de días se publicaron los tres blogs finalistas de los Premios Bitacoras.com 2011 al Mejor Blog sobre Seguridad Informática: la Comunidad DragonJAR, InfoSpyware y Security By Default, de entre de los cuales un jurado elegirá un ganador y lo comunicará el próximo 11 de Noviembre en La Casa Encendida de Madrid.

Por supuesto no queríamos dejar pasar la oportunidad de felicitar a los finalistas y a todos los blogs que han participado (algunos no los conocíamos y son excelentes!).

Por nuestra parte hemos quedado en un meritorio puesto 16 y también en el 26, pues muchos han votado a www.hackplayers.com en lugar de hackplayers.blogspot.com por lo que, si sumáramos los votos de ambos, quizás nos acercaríamos al top 10. No obstante, ¡muchísimas gracias a todos los que nos han votado, es un verdadero honor estar tan arriba!.

Probando la FOCA 3.0 en Linux


Tener la FOCA significa tener una herramienta que nos facilitará enormemente la vida durante la fase inicial de fingerprinting en un test de intrusión. Recientemente el Maligno & I64 han liberado la versión 3.0 que viene con nuevas e interesantes novedades:

* [+] Nuevo interfaz y nueva vista de roles.
* [+] Panel de tareas multi-hilo.
* [+] Búsqueda de servicios proxy (80,443,8080,8081,3128).
* [+] Búsqueda de registros de servicio en DNS.
* [+] Búsqueda de políticas anti-spam del dominio [SPF, DKIM, Domainkey]
* [+] Búsqueda y análisis de ficheros ICA y RDP,
* [+] Escaneo de ficheros .DS_Store en cada carpeta.
* [+] Búsqueda de ficheros robots.txt y generación de URLs para traspasar al motor.
* [+] Análisis de leaks y de errores de aplicación (versión PRO).
* [+] Añadido Shodan y Robtex al algoritmo de búsqueda de dominios.
* [+] Ampliación de tecnologías
* [-] Eliminado 'Google Sets' del algoritmo de búsqueda de dominios.
* [+] Autosalvado de proyectos
* [~] Corrección de bugs.

Descubren que Duqu explota un 0-day en Windows

El grupo CrySyS (Cryptography and System Security) de Hungría ha descubierto que un instalador de Duqu, concretamente un documento word (.doc), explota una vulnerabilidad 0-day en el kernel de Windows.

El siguiente gráfico explica más detalladamente cómo el exploit en el documento word realiza la instalación de Duqu:



Recomendaciones: ar3sw0rmed

Despedimos Halloween con una imagen tenebrosa:


Tómense unos segundos para observarla... ¿vieron la cara en la parte derecha de la foto? Tenebroso, ¿verdad? ... pues se trata de un fotomontaje de ar3sw0rmed, que en su último post y con motivo de este día ha querido demostrar lo fácil que puede resultar modificar una imagen para hacer temblar incluso a los menos crédulos.

Podéis ver el proceso y sobretodo una gran variedad de artículos de seguridad y hacking en nuestra siguiente web recomendada: http://ar3sw0rmed.blogspot.com, poisoning your security, rompiendo la ética...
pd. Y ya sabes, si tu también tienes un blog, una comunidad, un foro o lo que sea relacionado con la seguridad informática y el hacking ético, ¡te animamos también a participar y compartirlo con nosotros!

Día Internacional "Mata un Zombie"

Hace un par de años Sophos propuso que el 31 de Octubre, día de Halloween, fuera también el Día Internacional Mata-un-Zombie ó "International Kill-A-Zombie Day".

Para los que ya os estáis imaginando arma en mano en un apocalíptico escenario tipo "The Walking Dead", deciros que (sólo) se trata de una campaña en la que intentan promover la eliminación del malware de los equipos "zombies" que forman parte de botnets.

Para ello fundamentalmente animan a que este día se escaneen los equipos con un antivirus actualizado, que se instalen los últimos parches de seguridad del sistema operativo y que se utilice un firewall.

Recomendaciones: Maztor [In]-Security

Las seis y media de la tarde en la abarrotada central de recogidas de Servientrega. Tras esperar su turno, Alfonso afloja el nudo de su corbata y muestra los datos para obtener el valioso paquete que llevaba esperando desde hace casi cinco días. Sabe de su importancia y su voz titubea al orar los diez números de su identificador.

De repente su latido se acelera y un frío escalofrío recorre su cuerpo. Tras el mostrador una voz temblorosa replica casi sollozando: "Lo sentimos señor, debe haber un error. Según los datos de nuestra computadora, el paquete ya ha sido recogido por usted hace unas horas...".

Esta situación que imaginamos es el escenario que plantea en su último post Maztor, en el que avisa que podría ser posible la interceptación de Entregas y Paquetería del servicio "Servientrega" debido a que los números de guía son secuenciales y accesibles vía web.

Si quieres leer el artículo completo y el resto, te aconsejemos que visites nuestra última web recomendada: o , un blog dedicado a la in/seguridad informática, auditorias pentesting, ing social, exposed's y demás.

pd. Y ya sabes, si tu también tienes un blog, una comunidad, un foro o lo que sea relacionado con la seguridad informática y hacking ético, ¡te animamos también a participar y compartirlo con nosotros!.