Los 25 errores más peligrosos del software en 2011

El top 25 de los errores más peligrosos del software en 2011 de CWE/SANS es una lista de los errores más críticos y extendidos que pueden conducir a graves vulnerabilidades en el software. Normalmente estos errores son fáciles de encontrar y de explotar y son peligrosos porque frecuentemente permiten a los atacantes tomar el control del software, robar datos o simplemente evitar que el software no funcione.

Esta lista es el resultado de la colaboración entre el Instituto SANS, MITRE y muchos los mejores expertos de seguridad de software en los EE.UU. y Europa. Se aprovecha de la experiencia en el desarrollo de los vectores de ataque del Top 20 de SANS (http://www.sans.org/top20/) y del CWE (Common Weakness Enumeration) de MITRE (http://cwe.mitre.org/).

A continuación os dejamos este top 25 que pretende ser una herramienta para la educación y la sensibilización de los programadores, para ayudarles a identificar y evitar los errores más comunes y así prevenir las vulnerabilidades típicas y tan frecuentes en la industria del software:

Explota inyecciones SQL fácilmente con Havij

Havij es una herramienta que nos facilitará la explotación de vulnerabilidades de inyección SQL en aplicaciones web. Rápidamente podremos hacer un fingerprint de la base de datos, obtener los usuarios y los hashes de sus contraseñas, dumpear tablas y columnas, volcar datos, ejecutar sentencias SQL e incluso acceder al sistema de ficheros y ejecutar comandos en el sistema operativo.

Os recomendamos probar la versión 1.15 free que, aunque tiene algunas limitaciones, seguro que os resultará útil y os dará una idea de su facilidad de uso.

Para abrir boca, en esta entrada veremos rápidamente su funcionamiento contra el portal de demo de Acunetix. Simplemente para comenzar tenemos que identificar un punto de inyección:

http://testphp.vulnweb.com/artists.php?artist=1'

Concluye la "Operación Telefónica" de Anonymous

La 'Operación Telefónica' o #OpTelefonica convocada por Anonymous ha concluido y queríamos hablaros un poco, desde nuestra perspectiva, acerca del transcurso de la misma y de nuestras impresiones y conclusiones.

Primero, los objetivos iniciales del domingo 26 de junio eran los portales web de www.movistar.es a las 16:30 PM (CEST) y www.telefonica.com a las 18:00 PM (CEST). En las instrucciones del ataque se nombraba también una intervención final contra una BBDD, si bien no se especificaron más detalles públicamente y tampoco se ha llegado a dumpear o filtrar ninguna base de datos de Movistar.

Llamó la atención (y nos echamos algunas risas) algunos usuarios que escucharon "acerca de un ciberataque a Telefónica" e inmediatamente lo asociaron a que iban a perder la conexión a Internet a través de su ADSL e incluso su cobertura o servicio de telefonía móvil. Nada más lejos de la realidad, Anonymous incluso desechó la idea de atacar a los DNS públicos del ISP para afectar a la menor cantidad de usuarios posible.

En Twitter y en los canales IRC preestablecidos se debatía acerca de cómo preparar y armarse para el ataque, de las posibilidades de éxito o fracaso y de cómo proteger la identidad de los miembros de su legión. Puntuales y tras una emocionante cuenta atrás arrancaba el primer DDoS contra el primer portal. Cientos de cañones LOIC disparaban e intentaban atravesar las reforzadas defensas del gigante de las telecomunicaciones. El caché de Akamai, analizadores de tráfico, gestores de ancho de banda, firewalls, balanceadores web... una adecuada arquitectura de varios niveles repelía las primeras oleadas de tráfico hacia los frontales web. Los servidores de aplicaciones y más aún las bases de datos quedaban lejos y fuera del alcance y de los objetivos de los primeros ataques.

Reto de inyección SQL y evasión de Modsecurity

Modsecurity han publicado un divertido reto que pondrá a prueba vuestra capacidad para explotar vulnerabilidades de inyección SQL, primero (nivel 1) identificando los vectores de explotación y luego (nivel 2) evadiendo el filtro del famoso WAF open source.

Los objetivos son los portales de demo 'proxificados' de cuatro famosos escáneres de vulnerabilidades comerciales:

• IBM (AppScan) - demo.testfire.net site
• Cenzic (HailStorm) - CrackMe Bank site
• HP (WebInspect) - Free Bank site
• Acunetix (Acunetix) - Acuart site

El nivel 1 ya tiene ganadores, pero el nivel 2 está esperando todavía que alguien pueda enumerar la base de datos sin disparar ninguna alerta. El premio: una camiseta oficial de ModSecurity cortesía de Trustwave's Spiderlabs.

pd. ModSecurity SQL Injection Challenge: Lessons Learned

¿Podrá Telefónica detener el DDoS de Anonymous?

Seguro que muchos ya sabéis que Anonymous ha emitido recientemente un vídeo solicitando la participación para un ataque de denegación de servicio distribuido (DDoS) contra Telefónica "por su política de despidos masivos y su censura sobre la información".

La fecha escogida es el próximo domingo 26 de Junio, la acción se coordina desde el canal #OpTelefonica de irc.anonops.li y los objetivos del ataque son la web telefonica.com con IP 195.53.169.57 y movistar.es en 81.47.192.13.

Ahora bien, ¿podrá detener Telefónica este ataque masivo?, ¿qué contramedidas está preparando?

Evidentemente ahora no podemos entrar en el detalle técnico de algunas de las posibilidades de defensa (aunque intentaremos estudiar e ir publicando algunas técnicas contra DDoS más adelante). No obstante y a grandes rasgos, la clave del éxito para parar el ataque dependerá en gran medida de algunos factores como la eficiencia de la arquitectura y del desarrollo de la aplicación web, la administración del ancho de banda y su capacidad de exceso, las pruebas previas de carga y planificación, el equipamiento de red disponible y su configuración (niveles 4 y 7), los sistemas IDS/IPS o el uso de algunas técnicas como blackholing o sinkholing.

Sea como fuere, estamos seguros de que Telefónica habrá invertido algunos miles de euros en defenderse contra este ataque. El prestigio está en juego y los medios atentos. ¿Qué pasará este domingo?

Libro: Digital Forensics with Open Source Tools

Digital Forensics with Open Source Tools es el libro definitivo sobre la investigación y el análisis de los sistemas informáticos y las comunicaciones utilizando herramientas de código abierto.

El libro es una guía de procedimientos técnicos y explica el uso de estas herramientas en sistemas Mac, Linux y Windows como plataforma para la realización de análisis forenses informáticos. A través de interfaces gráficos o desde la línea de comandos se muestran métodos forenses nuevos y conocidos para el análisis de una amplia gama de sistemas y artefactos.

Publicado Metasploit Framework 3.7.2

El equipo de Metasploit ha liberado la versión 3.7.2 de su famoso framework. En ella se incluyen nuevos módulos: 11 exploits, 1 auxiliar y 15 posts. Además, a las conocidas capacidades de hashdump, ahora se podrá robar fácilmente los hashes de las contraseñas de Linux, OSX y Solaris. Y como característica adicional, si algún hash de contraseña fue generado con crypt_blowfish (que es el que viene por defecto en algunas distribuciones de Linux) se podrá crackear con relativa facilidad. Para más diversión con el cracking, Maurizio Agazzini y Mubix hicieron un duro trabajo para desarrollar un nuevo módulo de cachedump que permite extracer los hashes cacheados de las contraseñas en Windows. Estos hashes no pueden ser utilizados directamente, pero pueden ser crackeados con John the Ripper. Y si el proceso de cracking te parece duro, independientemente de 13 años de bugs y algoritmos de hash propietarios, podría interesarte el último módulo post de TheLightCosine: son capaces de robar las contraseñas almacenadas de diversas aplicaciones.

Para más detalle, podéis echar un vistazo a las release notes de la versión 3.7.2.

¿Quién es nuestro seguidor de Twitter con más seguidores?

Queríamos daros las gracias a todos los que seguís la cuenta de Twitter de Hackplayers, ¡¡ya sois más de 1.000!! Pero ya sabéis, somos unos curiosos y queríamos saber cual de nuestros seguidores tiene más seguidores ;)

Para sacar este dato en nuestro caso nos conformamos con un intérprete bash y cURL. Eso sí, desde agosto del año pasado, Twitter no permite autenticación básica (bien hecho) así que, para no complicarnos y tener la posibilidad de lanzar más de 150 peticiones/hora, utilizaremos como proxy OAuth el API de Supertweet, que nos provee un forma segura de utilizar desde la línea de comandos cURL u otras aplicaciones con la misma facilidad de antes.

Simplemente nos validaremos con nuestra cuenta de Twitter en http://www.supertweet.net/login (podremos revocar los permisos cuando queramos), asignaremos una segunda contraseña para no exponer la de Twitter a terceros y cambiaremos 'twitter.com' por 'api.supertweet.com'.

El resto es igual, basta leer un poco la documentación del API de Twitter y hacer un sencillo script para sacar una lista con nuestros seguidores junto con el número de seguidores de cada uno:

Sencilla herramienta para chequear si tus datos han sido comprometidos por Lulzsec

En apenas dos meses el grupo de hackers Lulzsec está castigando severamente a empresas, corporaciones y gobiernos hasta el punto de convertirse en uno de los principales grupos hacktivistas junto con Anonymous. De hecho, se cree que Lulzsec podría estar ahora rivalizando con ellos e incluso podría haber realizado varios ataques contra su foro de 4chan.org.

Nadie sabe cuántos son y dónde están y, aunque hay quien les localiza en Palo Alto (California), se apoyan en una red de cientos de colaboradores anónimos y simpatizantes.

Con grandes dosis de sátira e ironía y bajo el lema "Riéndonos de tu seguridad desde 2011", se burlan de los sistemas informáticos y filtran información de sus ataques: ya han caído Sony, las cadenas de televisión estadounidenses PBS y FOX, las empresas de videojuegos Bethesda y Nintendo, el Senado de Estados Unidos, la web de la CIA, han publicado las cuentas del sitio porno Pron.com y recientemente una lista de 62.000 usuarios y contraseñas (12k de ellas de Writerspace.com). LulzSec incluso ha establecido una línea abierta para pedir ideas para sus próximos objetivos.

Proyecto jena2i: una plataforma de e-learning para investigación forense

Tres estudiantes de la Facultad de Tecnología de la Información de la Universidad Zayed (ZU), una universidad con campus en Dubai y Abu Dhabi, lanzaron la semana pasada un proyecto que tiene como objetivo establecer una plataforma de e-learning para tecnologías forenses digitales.

El proyecto se llama 'Jenaei', una palabra árabe que se traduce en inglés como "forense", pero escrito como "Jena2i". El proyecto es un portal web de e-learning orientado a jueces, abogados, fiscales y banqueros para que aprendan acerca del proceso de investigación de delitos cibernéticos.

"Jena2i es el primer proyecto de este tipo en la región. Explora la idea de formar abogados, jueces y fiscales en los Emiratos Árabes Unidos utilizando una plataforma de e-learning en árabe y en inglés" comenta Sarah Al Thahli, miembro de la de tres miembros del equipo de estudiantes.

Sin duda un proyecto interesante al que seguirle la pista: http://www.jena2i.com

Clasificación para el CTF de la Defcon 19 y writeups

El CTF de la DefCon 19 en Las Vegas se acerca (5 de agosto) y ya tenemos los resultados de la clasificación (prequals) y los equipos que deberían haber recibido la invitación para asistir a la competición. Todavía falta confirmar la participación de muchos grupos ("nuestro" gran int3pids por ejemplo todavía lo está pensando), pero sólo estar en este ranking es sin duda un gran prestigio:

1. Hates Irony
2. sutegoma2
3. lollersk8ers
4. IV
5. European Nopsled Team
6. Routards
7. Plaid Parliament of Pwning
8. Shellphish
9. VelociROPtors
10. six men came to kill me one time
11. int3pids
12. PLUS@Postech
13. GoN
14. WOWHACKER
15. Robot Mafia

Comunicado Oficial Anonymous - Cortina de Humo

Os dejo el último (y espectacular) vídeo de Anonymous desmintiendo las últimas acusaciones y declaraciones de la policía nacional. Inmersos en plena guerra de la información, juzgad vosotros mismos:

Texto del vídeo:

LulzSec versus Bethesda & Senate.gov

¡Impresionante! LulzSec no para y ahora publica información extraída de la compañía de videojuegos Bethesda. Eso sí, de momento no ha filtrado las cuentas de 200.000 usuarios del famoso shooter Brink aunque a cambio propone aparecer en los créditos de las nuevas versiones... ah, y de postre un disclosure de la web del Senado de EE.UU.! Sin más, os dejo con mi traducción de su anuncio, bon appetit!:

"Saludos internautas,

Esta es una historia acerca de cómo hicimos a Bethesda Softworks, ZeniMax Media y todo lo que poseen, nuestras pu*** de por vida.

Desarticulan la "cúpula?" de Anonymous en España

MADRID/VALENCIA, 10 Jun. (EUROPA PRESS) -

La Policía Nacional ha desarticulado la cúpula de la organización de 'hackers' Anonymous en España al detener a sus tres responsables en el país, uno de ellos en Valencia. Uno de los arrestados albergaba en su domicilio un servidor desde el que se ejecutaron ataques informáticos a páginas web gubernamentales, financieras y empresariales de todo el mundo. En concreto, fuentes de la Policía han confirmado a Europa Press que Anonymous atacó desde un domicilio de Gijón la tienda Playstation de Sony.

Tras analizar desde octubre de 2010 más de 2 millones de líneas de registro de chats y páginas web, la Brigada de Investigación Tecnológica de la Policía Nacional ha conseguido localizar la cúpula en España de esta red de 'hackers', que tenía capacidad para dirigir los ataques informáticos, y sus responsables han sido detenidos en Barcelona, Valencia y Almería respectivamente, según informa el Ministerio el Interior en un comunicado.

Revelación de contraseñas en teléfonos IP Polycom

La serie de teléfonos Polycom SoundPoint IP pueden operar con varias plataformas basadas en SIP IP PBX y Softswitch. Como la mayoría de teléfonos VoIP, su configuración básica es tan sencilla como indicar los datos del usuario con su contraseña y el servidor SIP/puerto al que se va a conectar.

Si obtuviéramos esos datos, es decir la dirección IP pública del servidor SIP y un login válido, podríamos suplantar la identidad de un usuario legítimo y realizar llamadas incluso a través de un teléfono por software...

Pues bien, Pr0T3cT10n acaba de desvelar en Packet Storm una vulnerabilidad de revelación de información (data disclosure) en el interfaz web de configuración de los teléfonos IP de Polycom, ¡que nos permite obtener la contraseña del usuario con sólo observar el código fuente!

Páginas ocultas "about:" en Mozilla Firefox

Seguro que ya conoces y has visto en más de alguna ocasión "about:blank". Los desarrolladores necesitan incluir además otro tipo de páginas "about:" por varias razones. Estas URLs en su mayoría son específicas del navegador y nos llevan a páginas internas u "ocultas". A continuación haremos un repaso a las incluidas en Mozilla Firefox porque estoy seguro que algunas os sorprenderán ;):

about: sin ningún parámetro nos muestra una pantalla con la versión de Firefox y varios enlaces para ver una lista de colaboradores al proyecto Mozilla, leer la información de licencia del producto, leer las notas de publicación de la versión, ver la configuración de compilación usada para la versión y un identificador de compilación (ej. Mozilla/5.0 (Windows NT 5.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1).

about:blank la página en blanco que todos conocemos y que normalmente se suele establecer como página de inicio. Hay otra opción para ir directamente a la página de inicio establecida, sea cual sea: about:home.

about:logo nos muestra el logo de Firefox (PNG 300x236 pixels).

(IN)SECURE Magazine nº 30 (Junio 2011)

Otra revista electrónica que no podemos dejar de comentar es (IN)SECURE Magazine de Help Net Security que acaba de publicar el nº 30 y trae temas tan interesantes como Microsoft EMET (del que ya hablamos en Hackplayers), IPv6 (hoy es el día mundial de IPv6!) y mucho más:

• Microsoft's Exploit Mitigation Experience Toolkit
• Transaction monitoring as an issuer fraud risk management technique in the banking card payment system
• IPv6: Saviour and threat
• The hard truth about mobile application security: Separating hype from reality
• Don't fear the auditor
• Book review: Kingpin
• Secure mobile platforms: CISOs faced with new strategies
• Security needs to be unified, simplified and proactive
• Whose computer is it anyway?
• 10 golden rules of information security
• The token is dead
• Book review: IPv6 for Enterprise Networks
• Cyber security revisited: Change from the ground up?

The Hacker News - Magazine nº 03

Ya podemos descargar (Formato RAR | Formato PDF) la tercera edición del magazine de The Hacker News.

En este número bautizado como "Total Exposure" se responderán algunas preguntas como por qué los hackers exponen en público vulnerabilidades y fallos de seguridad y el impacto y beneficios de estas filtraciones. Un tema sin duda de gran actualidad gracias a grupos como Anonymous o LulzSec y los famosos ataques a Sony, RSA, HBGary y otros.

Usando iptables con IPs dinámicas

Si en casa tienes una máquina con IP dinámica y utilizas un servicio DNS gratuito como DynDNS, quizás alguna vez te has planteado cómo filtrar el acceso para esa máquina en un firewall con iptables.

El problema es que iptables realiza una única consulta de nombres cuando carga las reglas. Por ejemplo, si tenemos una regla para permitir el acceso al puerto 22 (ssh) al host ejemplo.dyndns.org, iptables resolverá la IP 200.41.214.129 y cargará en memoria la regla pertinente para esa IP. Cuando posteriormente la IP dinámica cambie (ej. 200.41.214.130) la regla anterior dejará de ser válida, la máquina perderá el acceso y, lo que es peor, otra máquina a la que se le asigne la IP que teníamos anteriormente podría acceder entonces por ssh...

Inteco & Confianza Online pwned!

Bajo el lema "Que confianza Online pueden OFRECER cuando ellos no son ni seguros" y aproximadamente a la 1:45 de la madrugada, han publicado en la web de Confianza Online un extracto de la base de datos de los usuarios solicitadores de cursos de Inteco (https://formacion-online.inteco.es/) y un enlace para la descarga de un fichero con más de 20.000 nombres, apellidos y números de teléfono de las personas que han introducido sus datos en los formularios de inscripción.

Todavía se desconocen el autor y los detalles técnicos de la explotación...

Publican código fuente de Skype obtenido mediante ingeniería inversa

Efim Bushmanov, un investigador independiente ruso, publicó ayer código fuente de Skype obtenido mediante ingeniería inversa. Se trata de un proyecto para que el protocolo de Skype sea de código abierto y lanza un reclamo a todos lo que quieran ayudar y participar en su investigación.

Aunque todavía no se ha completado el reversing, el trabajo está bastante avanzado para las versiones 1.x/3.x/4.x de Skype, incluyendo RC4 y la compresión aritmética.

Tal y como Efim reza en su blog, se trata de una oportunidad única para echar un vistazo al funcionamiento interno del protocolo y su cifrado, pudiendo observar como utiliza AES y RSA con clave pública.

Google detiene un ataque chino contra Gmail

EFE Washington - Google anunció este miércoles que ha abortado un "plan de robo de contraseñas de cientos de correos electrónicos de gmail de altos funcionarios de EEUU" y otros países asiáticos lanzado aparentemente desde China.

En un comunicado de prensa, Google señaló que "detectó y desbarató la campaña, realizada a través del phising" e "informó a las víctimas, aseguró sus cuentas y notificó a las autoridades gubernamentales relevantes".

El ataque informático se originó "aparentemente en la localidad de Jinan, en China", y afectó además de altos funcionarios de EEUU, "a activistas políticos chinos, funcionarios de diversos países asiáticos (especialmente de Corea del Sur), personal militar y periodistas".

Google no especificó la fecha en la que se llevó a cabo el ataque ni reveló la identidad de aquellos usuarios a quienes se les había usurpado la contraseña.

Solucionario Nullcon CTF BattleUnderground 2011

Anant Shrivastava (infinity), ganador del CTF Battle underground de la última conferencia internacional Nullcon, presenta un excelente solucionario que queríamos también compartir con vosotros:

Además, aunque el reto ha finalizado, si queréis practicar todavía es posible acceder a sus niveles!: http://nullcon.net/challenge