Enumeración LDAP

Mauricio Velazco de Open-Sec nos remite esta vez un interesante artículo que nos enseñará cómo enumerar los usuarios de un Directorio Activo a través de consultas LDAP, sin duda la fase previa a un password cracking. Como siempre, estamos encantados de redifundir el post:

En esta oportunidad quiero enfocarme en un tema que no siempre aparece en un proyecto de Ethical Hacking, tal es el caso del password cracking. Voy a tocar algo de teoría (bibliografía: www.google.com), definir un probable escenario y dar algunos tips para obtener usuarios válidos dentro de un dominio o un servidor LDAP.
Primero vamos a definir el término "password cracking", según wikipedia:



El password cracking es un proceso informático que consiste en descifrar la contraseña de determinadas aplicaciones elegidas por el usuario. Se trata del rompimiento o desciframiento de claves (passwords).

Un concepto bastante conocido, sin embargo, muchos se preguntarán para qué sirve en un proyecto de Ethical Hacking. Pues para auditar la robustez (o la falta) de políticas de passwords utilizadas en una organización.

Esteganografía en discos fragmentados

Imagina una forma de fragmentar archivos intencionadamente en un disco duro de manera que parezca que se trate sólo de un disco normal con archivos escritos, borrados y reescritos, es decir, nada que indique que se haya producido ningún tipo de cifrado. No hay red flags; nada que indique que haya nada en el disco que ocultar y, sin embargo, existan efectivamente datos ocultos.

Hablamos de esteganografía aplicada a los discos duros y sus inventores, Hassan Khan de la Universidad del Sur de California (Los Angeles) y sus colegas de la Universidad Nacional de Ciencia y Tecnología en Islamabad (Pakistán), afirman que los datos se esconden tan bien que la técnica es "excesivamente compleja" de detectar. Ya han logrado codificar un mensaje de 20 megabytes en un disco duro portátil de 160 gigabytes.

La técnica se basa en la forma en que los discos duros almacenan los datos del archivo en numerosos trozos o chunks pequeños llamados clústers. El controlador del disco almacena estos clústers a lo largo de todo el disco, siempre que haya espacio libre y mantenga las posiciones de los clústers en una base de datos especial en el disco.

Hackean la PlayStation Network

En su blog oficial, Sony ha confirmado que el corte del servicio de PlayStation Network del pasado 20 de abril fue debido a una intrusión que se produjo entre el 17 y el 19 del mismo mes, en la que pudieron sustraer información personal de los usuarios.

Patrick Seybold, director de comunicaciones de Sony, confirmaba lo peor:


"Mientras seguimos investigando los detalles de este incidente, creemos que una persona no autorizada ha obtenido acceso a la siguiente información: Nombre, dirección (estado, ciudad y código postal), dirección de correo electrónico, fecha de nacimiento y contraseña y usuario de PlayStation Network.


Es posible que datos como el historial de compras y dirección de facturación hayan sido obtenidos. En el caso de que se cuente con sub cuentas para los dependientes, es posible que esa información haya sido comprometida también. Hasta la fecha no hay evidencia que los datos de las tarjetas de crédito hayan sido comprometidos, pero no podemos obviar esa posibilidad."


La situación parece bastante delicada y Sony pide precaución para sus usuarios:


"Una vez que PlayStation Network este restaurada, les recomendamos que cambien su contraseña. Adicionalmente si usan esta misma contraseña para otros servicios, recomendamos cambiarla inmediatamente. También les pedimos que estén al tanto con su banco para supervisar el estado financiero de tus tarjetas de crédito", afirmó Seybold.

Referencias:
http://blog.us.playstation.com/2011/04/26/update-on-playstation-network-and-qriocity/
http://blog.us.playstation.com/2011/04/26/clarifying-a-few-psn-points/

Pangolin v3.2.3

Recientemente se ha liberado la versión 3.2.3 de Pangolin que, cómo muchos ya sabréis, es un herramienta para inyecciones SQL en aplicaciones web.

Una vez que detecta alguna vulnerabilidad de este tipo, facilita el fingerprinting de la base de datos, obtiene la sesión del usuario y el nombre de la instancia, enumera usuarios, obtiene los hashes de las contraseñas, los privilegios, vuelca tablas y columnas, te permite ejecutar tu propia sentencia SQL, leer ficheros del filesystem, etc.


En esta release se incluyen los siguientes cambios:


- Mayor velocidad del fast mode cuando la versión de la base de datos MySQL es mayor a 4.x

- Mayor velocidad cuando se "dumpea" una base de datos Microsoft SQL Server 2005/2008
- Mejoras en las inyecciones en base de datos Informix

- Se añade la posibilidad de selección manual de palabras clave o keywords
- Se corrige el bug de datos incompletos del dump en modo byte-por-byte

- Mejoras en las capacidades de detecciones de inyecciones, el cual analizará la cookie para probar

- Se añade línea de comandos con parámetros. Se añade opción de lenguajes.

- Corrección del colapso con URL largas

- Se corrige el bug del pre-login en sitios restringidos

- Se corrigen los errores en la administración de contenidos

- Se corrige el bug en "Read Session"

- Corregidos algunos problemas con la memoria

Descarga la herramienta desde aquí.

Convierte tu Firefox en un keylogger invisible

Acabo de leer un curioso truquillo muy fácil de implementar para que Firefox almacene los usuarios y contraseñas de forma automática, sin mostrar un prompt al usuario. De esta manera, nuestro navegador será como un keylogger virtual que capturará los logins y podremos ver las contraseñas introducidas a través del menú Herramientas / Opciones... / Pestaña Seguridad / Contraseñas guardadas...

Sólo tendremos que modificar el script "nsLoginManagerPrompter.js" en "
C:/Archivos de programa/Mozilla Firefox/Components" quitando de la función _showSaveLoginNotification los elementos que muestran al usuario la notificación (típica barra con los botones "Remember", "Never for this site", "Not now") y forzar el almacenamiento del login llamando a la función del botón "Remember": pwmgr.addLogin(aLogin);.

El fragmento de código quedaría así:


_showSaveLoginNotification : function (aNotifyBox, aLogin) {

var pwmgr = this._pwmgr;
pwmgr.addLogin(aLogin);},

O si lo prefieres, sustituye simplemente el js por éste.

UFED: Dispositivo universal de extracción forense para teléfonos móviles, smartphones y PDA

Si recordáis hace tiempo os hablábamos sobre maletines de investigación forense, auténticos kits portables que fácilmente podríamos imaginar en manos de Grissom.

Ahora acabo de leer un tweet de Reverse Skills y vuelvo a alucinar con UFED (Universal Forensic Extraction Device) de Cellebrite para el análisis forense de móviles, un juguetito capaz de extraer datos fundamentales del 95% de todos los teléfonos móviles actuales del mercado, incluidos los smartphones y dispositivos PDA (Palm OS, Microsoft, Blackberry, Symbian, iPhone y Google Android):

- Registros de llamadas, incluso historiales de llamadas borrados de la SIM
- Contactos
- Datos del teléfono (IMEI/ESN, nº de teléfono)
- ICCID e IMSI
- Fotografías
- Vídeos

- Archivos de sonido

- Información de localización de la SIM: TMSI, MCC, MNC, LAC
- Geoetiquetas gráficas en Google Maps

Se vende en dos formatos (estándar o reforzado), es capaz de generar informes claros y concisos en formato HTML y XML para consultas en procesos judiciales y clonar el ID de la tarjeta SIM para trabajar con un terminal sin conectarlo a la red.


Más información

Manual de usuario

Este disco duro se autodestruirá en 5 segundos

La compañía japonesa Toshiba ha fabricado un disco duro que tiene la capacidad de formatearse automáticamente o denegar el acceso a su contenido si es conectado a un dispositivo desconocido. A partir de la configuración que realice el usuario, el producto puede identificar determinadas conexiones como fiables, mientras que para el resto los datos quedarían inaccesibles.

El nuevo disco duro de Toshiba, de la familia MKxx61GSYS, dispone de cinco discos de un tamaño entre 160 GB hasta 640 GB, que funcionan a una velocidad de 7200 RPM.

Pero especificaciones técnicas aparte, el disco duro de Toshiba tiene una característica novedosa. Ésta destaca por encima de otras medidas de seguridad puestas en marcha hasta ahora. Consiste en que el dispositivo detecta a dónde está conectado. De esta forma, si conoce el puerto al que se ha enchufado, se desbloquea.

Si por el contrario se conecta a un dispositivo que no está en su memoria, cierra el acceso a su contenido. Lo hace de dos formas: la primera consiste en bloquear la información (o al menos cierto tipo de información, que el usuario selecciona previamente) para que nadie pueda examinarla.

'The Hacker News' - Magazine nº 01

Acabo de descubrir otro interesante magazine que ha comenzado a publicarse este mismo mes de abril: se trata de 'The Hacker News' (THN), una publicación gratuita del sitio web con mismo nombre, un portal que empezó a funcionar durante el mes de noviembre de 2010 y al que merece la pena seguir la pista.

Esta revista incluye las mejores noticias de seguridad y hacking y en su primer número pone en portada a los hackers de Anonymous y uno de sus eslogans "La verdad es el arma más poderosa contra la injusticia". Si quieres leerla puedes descargarla del sitio de su editor jefe Mohit Kumar.

Auditoria de Passwords - Bruteforcing VNC

Hace unas semanas me encontraba en la última (y más interesante) etapa de un proyecto de Ethical Hacking: la explotación o comprobación de vulnerabilidades.

Los resultados fueron los esperados: control de varios equipos sensibles tanto externa como internamente, nuevo conocimiento adquirido en el ámbito técnico así como en la gestión de un proyecto y además una carpeta llena de archivos de evidencia esperando ser plasmados en la siguiente etapa : la elaboración de entregables que tanto le gusta a los consultores de Open-Sec.


Nota: Toda información relevante presentada (rangos ip, passwords, numero de hosts, capturas, etc, etc) ha sido modificada para guardar la confidencialidad respectiva.


Revisando los resultados de Nmap veo que muchas de las estaciones de trabajo cuentan con el puerto 5900 abierto. Como saben, este es uno de los puertos por defecto que utiliza el protocolo
RFB. RFB es utilizado por las distintas implementaciones del sistema VNC (Virtual Network Computing) que permiten la administración gráfica y remota de un equipo. Pero, estaciones de trabajo con VNC ? Esto es algo que ya he visto en otras organizaciones, es una solución normalmente utilizada para que el personal de soporte pueda gestionar los problemas de los usuarios remotamente.

Nuevo número de la revista "El Derecho Informatico"

Ya está disponible el Número 7 (Abril 2011) de la Revista Digital ElDerechoInformático.com. En este número podrás encontrar:

- Comentarios generales a la reciente ley federal mexicana de protección de datos personales en posesión de los particulares. Por Abog. Arturo Gonzáles Solis

- Responsabilidad derivada de los informes crediticios. Por Abog. Eduardo Molina Quiroga

- Coaching y derecho a la informática. Por Lic. Silvina Schmidt

- Un lanzamiento muy esperado: OPENSUSE 11.4 -el linux que esperabas-. Por Sergio Mendoza

- Persecución de los delitos informáticos desde la perspectiva informática: Realidad tecnológica del seguimiento. Por Abog. Roberto Lemaitre

- ¿Estás preparado para gestionar los incidentes de Seguridad?. Por Lic. Mariano del Río

- A jurisprudencia brasileira sobre responsabilidade do provedor por publicaçöes na internet. Por Abog. Demócrito Reinaldo Filho

- Entrevista al Dr. José Luis Tesoro

Descargar Revista en formato PDF

Ver Revista Online

Milw0rm y Inj3ct0r se fusionan en 1337db

Los proyectos Milw0rm e Inj3ct0r se han fusionado y trasladado a 1337db (1337 Exploit DataBase) un nuevo dominio que seguirá hospedando la magnífica base de datos de exploits.

Os dejo el aviso:

"The two projects merged into one. More secure and more powerful. We will not leave you. We will fight till the end. We are part of the underground. The team stays with you. Our new name 1337db (1337 Exploit DataBase) . We thank everyone who stayed with us. We will not let you down. We will work autonomously.

Rip Milw0rm? Bye Inj3ct0r? not die ... We switched to a higher level =]


Personal Thank: Sid3^effects, L0rd CrusAd3r, secuid0, indoushka, anT!-Tr0J4n, etc.. Thank you very much. You have made a great contribution to my 1337 life ;)


//r0073r"

Evasión de la autenticación de Dropbox

Bajo Windows, Dropbox almacena los datos de configuración (listado de directorios, hashes, etc.) en una pequeña base de datos SQLite situada en %APPDATA%\Dropbox\config.db y esta sólo tiene una tabla entre las que destacan los siguientes registros:

- email: la dirección de correo electrónico es usada como nombre de cuenta y, sorprendentemente, no forma parte del proceso de autenticación. Es decir, podríamos cambiar su valor sin notar ningún cambio.

- ruta de Dropbox: define dónde está la carpeta raíz de sincronización en el equipo cliente.
- host_id: es un identificador que se asigna al sistema después de la primera autenticación. Después, este identificador no cambia y ¡¡encima es el único valor que se utiliza para la autenticación!!.

Análisis de una campaña de troyanos bancarios en Perú

Mauricio Velazco de Open-Sec nos envía un completo análisis de una campaña de troyanos bancarios en Perú que, por supuesto, tenemos el gusto de postear:

Troyanos Bancarios en Peru I : Operacion Bambi ? (1 y 2)

Hola.

Hace unos días recibí un correo electrónico, como ustedes también seguramente suelen recibir, con la típica postal de amor adjuntada a un mensaje cursi sobre un diseño visiblemente falso. Normalmente desecho estos correos pero ahora que dispongo de algo de tiempo me propuse hacerle un simple análisis para descubrir algo sobre su funcionamiento, sus creadores o lo que sea que pueda averiguar. Debo admitir que es algo que quiero hacer hace tiempo. El área de análisis de malware es realmente bastante interesante y puede llegar a ser muy compleja al jugar con debuggers y el binario. Sin embargo, dada mi calidad de newbie en este tema, este análisis será algo más superficial. Para hacerlo más interesante, separare este post en partes.


Ok, veamos el correo.



Al ver el código del correo puedo visualizar que todo está armado alrededor de una imagen hosteada en
http://i55.tinypic.com/yyyy.jpg. Una imagen jpg, tal vez le pueda sacar algo de metadata con la siempre funcional Foca. Luego de ir al servicio online de la herramienta obtengo el siguiente resultado:

Polémica ley francesa obliga a conservar datos de usuarios web

La Asociación Francesa de Internet de Servicios Comunitarios (ASIC), de la que forman parte las empresas más importantes de Internet, mantiene un pulso legal para abolir una ley en Francia que obligaría a los servicios web a almacenar obligatoriamente durante un año los datos de los usuarios.

Compañías como Google o Facebook, miembros de la ASIC, quieren evitar esta ley amparándose en que no se ha aprobado siguiendo las directrices europeas y en que no tiene en cuenta los costes que generará.

La ley que ha causado el conflicto afecta a la conservación de datos de usuarios en páginas webs. La normativa obliga a las páginas a conservar durante un año datos como el nombre de usuario, la contraseña o el registro de actividades. Si los usuarios cambian el nombre o su clave, se deberán conservar sus datos durante 12 meses más. El origen de esta ley radica en que las compañías tengan un registro de información que puedan facilitar a la policía en casos de investigaciones que así lo requieran.

Google Penetration Testing Hack Database v 1.0

Os dejo una sencilla pero interesante herramienta de Secpoint que genera peticiones a Google para comprobar si tu sitio es vulnerable.

Se trata de un script en Python que utiliza diversos ficheros de texto con 'googledorks' para generar peticiones específicas contra tu sitio web añadiendo site:sitename.com a cada petición.

Su uso es bastante simple:

./googleDB-tool.py [source file] [options]

[source file] queries source file from GoogleDB (files in db directory)

Options are:

-o output.txt save output to file
-s sitename.com generate queries for this site only

A continuación un ejemplo que generará una lista de peticiones para encontrar peticiones de login en site.com y generará un informe en "file.html"

./googleDB-tool.py "login_pages.txt" -o file.html -s site.com

Descarga: http://www.secpoint.com/freetools/google-hack-db-tool-1.0.zip

Reto 11: ¿quién entiende a los bebés?

Dicen que los bebés dan ganas de comérselos, y que luego te arrepientes por no habértelos comido...

Llego a casa después de currar, cansado del día y por haber dormido unas pocas horas. Ahí está la culpable, una cosa pequeña que me hecha los brazos deseando que la coja y que juegue con ella. En seguida suelto los bártulos y me pongo a hacer el tonto con ella. Si me vierais o escucharais seguro que pensaríais que estoy gilipollas:


¡Hola bebé!
pa-pá-pa-pá...
¿qué quiere mi bebé?
¿quieres jugar con papi?
ajooo...
¿qué te pasa?
¿quieres el chupete?

REC Studio 4 - Reverse Engineering Compiler

REC Studio 4 es un decompilador que utiliza técnicas de análisis avanzadas como SSA (Single Static Assignment), permite cargar ficheros de Mac OS X y soporta binarios de 32 y 64 bits.

Aunque todavía está en desarrollo y su código fuente no es abierto tiene características muy interesantes:


- Multiobjetivo: REC puede decompilar 386 (x86 y x86_64), 68k, PowerPC MIPS R3000 y programas Sparc.

- Multiformato: REC reconoce los siguientes formatos de fichero: o ELF (System V Rel. 4, por ejemplo Linux, Solaris etc.) o PE (Win32 .EXE y .DLL para Microsoft Windows 95 y XP) o Raw binary data (vía ficheros .rpj)

- Multihost: REC está disponible para Linux (i386), Windows XP y Mac OS X 10.6.


- Simbólico: soporta la información de definiciones simbólicas de alto nivel en ELF/Dwarf2 con soporte parcial para leer ficheros PDB de Microsoft. Los tipos de fichero en formato texto (como la salida objdump de GNU) permiten la definición de tipos por parte del usuario sin necesidad de compilar a ELF/Dwarf2. El soporte para formatos antiguos como COFF y STABS se añadirá en un futuro.

- Interactivo: el usuario puede inspeccionar el código generado y añadir y guardar la información para ayudar a mejorar la calidad de la salida decompilada.

Recordatorio "Call for papers" No cON Name 2011

La asociación No cON Name, asociación sin ánimo de lucro fundada en Mallorca en 2002, reunió en 2010 a más de 300 expertos en seguridad informática de toda España en CosmoCaixa. El congreso se ha consolidado como uno de los encuentros de referencia del sur de Europa para técnicos del ámbito de la seguridad informática y busca la construcción de un foro abierto y libre donde converjan los conocimientos técnicos, el debate y la libre opinión.

La asociación anuncia que los días 16 y 17 de Septiembre tendrá lugar en CosmoCaixa el congreso No cON Name en su octava edición. El evento con más antigüedad en España, reunirá, a nuevas promesas, a expertos consolidados y profesionales en el campo de la informática en general, redes telemáticas, programación o ingeniería de protección de software. La seguridad de equipos informáticos se ha convertido en la principal preocupación de empresas y particulares en los últimos tiempos. Por ello, la asociación hace un llamamiento anunciando la apertura de Propuesta de Ponencias o Call For Papers para todas aquellas personas de España y del extranjero que quieran presentar una ponencia enfocada tanto a análisis de sistemas inseguros, como a la aportación de ideas o proyectos que den un valor significativo a problemáticas de seguridad actuales y/o de futuro.

Hacking en DisneyLand Resort París

Sysdream y HZV community organizan la 'Nuit du Hack' (NdH2K11) en el encuentro de Hacking en París que tendrá lugar próximamente en el centro de conferencias HZV de DisneyLand Resort. Exactamente las fechas son las siguientes:

* January 20: CFP announced
* March 30: Submission deadline
* April 15: Notification sent to authors
* April 17: Program announcement
* June 16-17: Hack In Paris
* June 18: Nuit du Hack

Allí tendrán lugar diversos talleres, conferencias y un interesante CTF abierto a 15 equipos de 5 personas que competirán entre sí en varias disciplinas. Cada equipo recibirá uno o más servidores vulnerables que deberán administrar, auditar y fortificar mientras se realizan los ataques a los servidores de otros equipos. Cada ataque con éxito acumula puntuación y el equipo más rápido en conseguir la mayor suma de puntos gana el desafío.

Sólo quedan unas horas para cerrar la suscripción a la pre-calificación para el CTF, pero ¡ya hay más de 100 equipos! ¿quién pasará el corte?