Cómo puede bloquearte tú pareja el PC sin que puedas quejarte

Inauguramos nueva categoría de humor con una divertida viñeta...

Las personas más influyentes en seguridad informática

Navegando encontré en eWeek una interesante lista con las 15 personas más influyentes en seguridad TI.

Su autor, Ryan Naraine, avisa que es casi imposible limitar esta lista sólo a 15 personas pero que, según él, se trata de los hackers que más destacan actualmente por su imaginación y por ser capaces de hacernos cambiar nuestro enfoque sobre la seguridad en un mundo cada vez más interconectado:
  1. Tavis Ormandy, Google Security Team
  2. Ivan Krstic, One Laptop Per Child
  3. Chris Paget, IOActive
  4. Bunnie Huang, Bunnie Studios
  5. Michal Zalewski, Google
  6. Window Snyder
  7. The MOAB Hackers
  8. Dino Dai Zovi
  9. Michael Howard, Microsoft
  10. HD Moore, Metasploit
  11. Dave Aitel, Immunity
  12. Bronwen Matthews, Microsoft
  13. John Pescatore, Gartner
  14. Rob Thomas and Team Cymru
  15. Stefan Esser, Hardened PHP Project
Y, si no habéis tenido suficiente con esta lista, aquí tenéis otra de 59.

La verdad es que se echan de menos algunos de nuestros cracks, así que a ver si hacemos nuestra propia lista. Se admiten sugerencias ;)

MySQL.com comprometido y sirviendo malware

Mysql.com es de nuevo golpeado. Su sitio web ha sido comprometido mediante una inyección javascript (1).

El código malicioso está ofuscado y contiene un iFrame que redirecciona a los visitantes a un servidor en Alemania (2), que a su vez nos lleva a otro site donde se encuentra un exploit pack BlackHole (3).

1. http://mysql.com/common/js/s_code_remote.js?ver=20091011
2. http://falosfax.in/info/in.cgi?5&ab_iframe=1&ab_badtraffic=1&antibot_hash=489613682&ur=1&HTTP_REFERER=http://mysql.com/
3. http://truruhfhqnviaosdpruejeslsuy.cx.cc/main.php


Se trata de un Drive-by-Download donde el usuario puede infectarse con sólo visitar la página, sin necesidad de hacer clic en ningún sitio. De momento se desconoce el tipo de malware cuya tasa de detección todavía es realmente baja (un 9% en Virustotal).

También se desconoce la identidad de los atacantes, aunque en un foro underground ruso un usuario con nick ‘sourcec0de’ vende accesos a algunos de los servidores de mysql.com y sus subdominios.

Permaneceremos atentos para obtener más información al respecto. Mientras tanto, se recomienda no visitar la página de mysql.com hasta que se corrija definitivamente.

OWASP GoatDroid: entorno de entrenamiento para Android

GoatDroid de OWASP, inspirado en el famoso WebGoat, es un proyecto que ayudará a educar en materia de seguridad a los desarrolladores de aplicaciones Android.

Se trata de un entorno completamente funcional para aprender acerca de las vulnerabilidades y los fallos de seguridad en la extendida plataforma. El framework y la aplicación están basadas completamente en Java. No es necesario instalar un servidor web externo o un contenedor, aunque si necesitaremos MySQL, el SDK de Android y Eclipse. Cada servicio web corre en instancias Jetty embebidas y utiliza la implementación Jersey de JAX-RS.

Ya es posible descargar la segunda versión de la Beta (OWASP GoatDroid v0.1.2 BETA.zip) y los pasos para su instalación son muy sencillos:

1. Como comentábamos, es necesario tener previamente instalado Mysql, JDK, Eclipse y Android SDK.

(IN)SECURE Magazine nº 31 (Septiembre 2011)

Ya podemos descargar un nuevo número de la revista trimestral (IN)SECURE Magazine, que este mes tiene como tema de portada 'La cara cambiante del hacking' y los siguientes contenidos:
  • The changing face of hacking
  • Review: [hiddn] Crypto Adapter
  • A tech theory coming of age
  • SecurityByte 2011: Cyber conflicts, cloud computing and printer hacking
  • The need for foundational controls in cloud computing
  • A new approach to data centric security
  • The future of identity verification through keystroke dynamics
  • Visiting Bitdefender's headquarters
  • Rebuilding walls in the clouds
  • Testing Domino applications
  • Report: Black Hat 2011 USA
  • Safeguarding user access in the cloud with identity governance

Secuestro de sesiones mediante DroidSheep

DroidSheep es una herramienta para Android que nos permitirá secuestrar sesiones con suma facilidad de forma similar a cómo se hacía con Firesheep o Faceniff.

Podremos lanzar previamente un ataque de envenenamiento ARP o DNS y esnifar todos los paquetes de una red inalámbrica para capturar los tokens de sesiones de distintos sitios web que luego podremos reutilizar: Amazon, facebook.com, flickr.com, twitter.com, linkedin.com, yahoo.com, live.com y los servicios de google no cifrados como “maps” son susceptibles a este ataque.

A continuación os muestro un pequeño videotutorial:

Anuncian una vulnerabilidad en HTTPS que afecta a millones de sitios web

Thai Duong y Juliano Rizzo, el famoso dúo que publico anteriormente el crypto-ataque padding oracle que afectaba a millones de aplicaciones ASP.NET, vuelven ahora a la carga con una vulnerabilidad en TLS 1.0 que podría permitir a un atacante capturar y descifrar los datos transmitidos por HTTPS entre un servidor web y la víctima.

Este viernes, durante la séptima edición de la Ekoparty en Buenos Aires, ambos investigadores presentarán BEAST (Browser Exploit Against SSL / TLS), un exploit formado por código Javascript y un sniffer de red que captura y desencripta los tokens de autenticación o las cookies de un usuario que accede a un sitio web seguro. Concretamente y según Duong, la PoC consistirá en descifrar una cookie de autenticación usada para acceder a una cuenta de Paypal.


Por lo tanto, la única manera de estar totalmente seguro, será desactivar TLS 1.0, SSL 2.0 e incluso SSL 3, y usar las versiones 1.1. y 1.2 de TLS. El problema es que muchos navegadores y sitios web todavía no los soportan y tendremos entonces ¡una vulnerabilidad que afectará a millones de sitios web!


Habrá que estar atentos a la presentación de estos dos cracks y a su nuevo
fast block-wise chosen-plaintext attack against SSL/TLS
...

Cierra las puertas traseras con CloseTheDoor

Como todos sabéis, los backdoors o puertas traseras remotas son utilizados frecuentemente para mantener el acceso a los sistemas comprometidos. Generalmente se dividen tres en categorías: Network Socket Listeners, troyanos o Covert Channels.

La herramienta open source CloseTheDoor puede ayudarnos a detectar y prevenir todas estas categorías de backdoors. Se trata de un programa fácil de usar que identifica TCP/UDP sobre IPv4/v6, los puertos abiertos y todos los archivos de programa asociados.

#RefRef era un bulo

Si amigos parece que, salvo sorpresa de última hora, #RefRef era una mentira. Ya comentamos la aparición de numerosos fakes con código fuente falso y, al final, la "herramienta definitiva" cuyo lanzamiento fue anunciado para el 17 de septiembre y durante las últimas protestas en Wall Street, nunca existió...

A Message From #Anonymous

@AnonCMD was setting up a massive DoX of most anonops op’s and anonymous’ members. #RefRef Never Existed. We have taken him over, and he is done. He also used one password for all of his services. Expect a DoX soon, we now have his Twitter and Email.

-AnonSabu

WoL: Despertar malditos, despertar!

Wake-on-LAN (WoL) es el estándar en redes ethernet para encender remotamente equipos mediante un mensaje de red especial llamado 'Magic packet'. Este paquete, de nivel 2, tiene un payload de 6 bytes de 0xff seguido por 16 repeticiones de la dirección MAC del equipo destino (96 bytes) para un total de 102 bytes:


La tarjeta de red (NIC) del equipo durmiente tiene que ser compatible y estar a la espera de recibir magic packets, que pueden ser enviados por unicast o broadcast. En el caso de unicast, el último router tiene que tener información de la correspondencia MAC-IP y, en el caso de broadcasts a través de Internet o redes WAN, los routers tienen que permitir el envío de broadcasts dirigidos o Subnet Directed Broadcasts.

No cON Name 2011 calienta motores

El congreso de seguridad informática de referencia en el sur de Europa, “No cON Name”, se celebrará en el CosmoCaixa de Barcelona los próximos días 16 y 17 de septiembre.

La asociación No cON Name, asociación sin ánimo de lucro fundada en Mallorca en 2002, reunió en 2010 a más de 300 expertos en seguridad informática de toda España en CosmoCaixa. El congreso se ha consolidado como uno de los encuentros de referencia del sur de Europa para técnicos del ámbito de la seguridad informática y busca la construcción de un foro abierto y libre donde converjan los conocimientos técnicos, el debate y la libre opinión.

En esta edición, las ponencias programadas son:
  • Seguridad en el diseño: desde el principio / Ponente: Ricardo J. Rodríguez
  • Show me your Kung Fuzz / Ponente: Iñaki Rodríguez
  • Geolocalización Wi-Fi basada en API / Ponente: Yago Fernández Hansen
  • Ejercicios de demostración JWID (Joint Warrior Interoperability Demostration) / Ponente: Pedro Sánchez.
  • Terminal Hackpplications – Old and new tricks hacking Citrix and Terminal Services / Ponentes: Juan Garrido y Chema Alonso.
  • Técnicas oscuras para combatir la pederastia en Internet / Ponentes: Juan Antonio Calles García y Pablo González Pérez
  • Debugging (Exploit) Payloads / Ponente: Jose Selvi
  • (In)seguridad para jugones: apuestas, casinos y otros juegos de azar / Ponente: Rafael Rodríguez Martín
  • La Sibila (The Sibyl): un elemento RSA para luchar contra las tablas ‘arco iris’ y los ataques de diccionario. / Ponente: Pedro Fortuny y Rafael Casado
  • Reversing/Forensic Android / Ponentes: Sebastián Guerrero Selma
  • Medical Device Security:State of Art. / Ponente: Shawn Merdinger

Libro: Cyber Adversary Characterization: Auditing the Hacker Mind

Las maravillas y ventajas de la era moderna electrónica y la World Wide Web, por desgracia, han marcado también el comienzo de una nueva era de terrorismo.

La creciente conectividad entre las redes seguras y no seguras ha creado nuevas oportunidades para la intrusión no autorizada en los sistemas informáticos propietarios o sensibles. Algunas de estas vulnerabilidades están a la espera de ser explotadas, mientras que muchas otras ya lo están. Cada día que una vulnerabilidad o amenaza no es controlada aumenta en gran medida las posibilidades de ataque y el daño que puede causar.

¿Quién sabe cuáles serían las consecuencias de una posible cadena de fallos en las infraestructuras de EE.UU.?
¿Qué tipo de grupo o individuo querría aprovechar estas vulnerabilidades y por qué?
Este libro establece ejemplos de escenarios, personajes y casos como éste, facilitando al especialista en seguridad la visión del pensamiento del enemigo - necesaria para desarrollar una defensa bien configurada.

Historial web de Google vulnerable a Firesheep

Dos investigadores han demostrado cómo, a través de una versión modificada de Firesheep, se puede acceder a la mayor parte del historial web de Google de una víctima, el registro donde aparecen todas las cosas que el usuario ha buscado.

La debilidad principal descubierta en la prueba de concepto ideada por Vincent Toubiana y Vincent Verdot se encuentra en lo que se denomina un identificador de sesión (SID) de cookies, utilizado para identificar a un usuario mientras está conectado a cada uno de los servicios de Google.

Cada vez que el usuario accede a una aplicación, el mismo SID de cookie es enviado en claro, el cual se captura con Firesheep a partir de los datos enviados hacia y desde un PC conectado a un punto de acceso Wi-Fi no cifrado.

BitDefender Safego: protección en las redes sociales

Hace un par de meses BitDefender lanzó Safego (http://safego.bitdefender.com/), una solución para proteger los usuarios en las redes sociales, incluyendo en un principio la protección para Facebook. Ahora, acaban de ampliar su servicio con una beta para Twitter.

Entre sus características se incluye un servicio de 'Contactos seguros' que analiza los perfiles de los contactos del usuario y los ordena en base a un código de 4 colores que indican la peligrosidad de esos perfiles.

El color rojo representa cuentas altamente sospechosas que pueden estar propagando malware, spam o ataques de phishing. El amarillo marca a los perfiles que representan amenazas moderadas, es decir, cuentas que atraen a los seguidores a través de mecanismos spam o molestos. Gris indica un grado muy bajo de amenaza, en concreto, marcará aquellos perfiles que no hayan enviado ningún mensaje en los últimos 30 días. Las cuentas seguras se identifican con el color verde.

`

Taller de lock picking #3: Herramientas de ganzuado

Ahora que ya conocemos el funcionamiento de una cerradura con cámara de pernos y hemos visto las diferentes técnicas para su apertura, vamos a centrarnos en el ganzuado o picking y a hablar de sus principales herramientas: ganzúas y tensores.

Ganzúas

Dentro del diseño de las ganzúas existen tres grandes categorías: gancho (hook), rastrillo (rake), rombo (diamond) y redondo (ball). A partir de cada uno de estos diseños existen distintas variaciones. A la derecha podéis ver un excelente dibujo extraído del foro de Ganzuando.es.

Las ganzúas de gancho se utilizan comúnmente para las aperturas perno a perno, y son ideales cuando las longitudes de los pernos inferiores son muy diferentes entre sí (por ejemplo, 17394). También pueden usarse para rastrillar, pero la presión sólo puede aplicarse cuando las retiramos. La punta de la ganzúa de gancho permite sentir cada perno con precisión y aplicar diferentes presiones. Algunas puntas son planas o están melladas para conseguir alinear fácilmente la ganzúa con el perno. Una ventaja de ganzuar los pernos uno a uno es que se evita rascarlos.

Las ganzúas de rastrillo llamadas también de serpiente (snake) sirven, como su nombre indica, para rastrillar y son útiles con cerraduras con pernos colocados en longitudes próximas (por ejemplo, 35342). Al rastrillar, su forma genera más acción que una ganzúa normal. Este tipo de ganzúas es particularmente eficaz abriendo cerraduras de cinco pernos. Cuándo se usa una punta de serpiente, se pueden colocar dos o tres pernos a la vez, por lo que es necesario usar una tensión de moderada a fuerte. Este estilo de ganzuado es más rápido que con la ganzúa de gancho, pero rasca las puntas de los pernos y el canal de la llave, esparciendo polvo metálico por toda la cerradura, algo a tener en cuenta si se quiere evitar rastros.

Las ganzúas de rombo pueden utilizarse según su ángulo y forma para colocar los pernos uno a uno o rastrillarlos. Las redondas ofrecen ventajas para el rastrillado de placas (cerraduras de escritorio).

Wikileaks revela los teléfonos de Zapatero y el rey

PÚBLICO.ES MADRID - La difusión íntegra de los más de 250.000 cables secretos de las embajadas estadounidenses por parte de Wikileaks el pasado 3 de septiembre ha destapado información confidencial ciertamente sensible, como la información de contacto de primeros ministros y jefes de estado de todo el mundo.

Uno de esos cables, fechado el 30 de mayo de 2008, desvela el número de teléfono de la oficina del presidente del Gobierno, José Luis Rodríguez Zapatero, así como su teléfono móvil y el teléfono para el Gabinete de crisis. El documento especifica además que "Zapatero no habla inglés", con lo que indica que se debe llamar a la atención de su secretaria, Gertrudis Alcázar. Otros números que aparecen son los del exsecretario general de la Presidencia, Bernardino León, quien ocupara ese cargo de abril de 2008 a julio de 2011.

Tampoco se libra de aparecer en el indiscreto cable el rey Juan Carlos. En el documento se indica el número de su oficina, a la que se puede llamar "24 horas al día", aunque en el apartado dedicado al teléfono móvil no aparece nada. "El rey habla bien inglés", añade el cable.

El exministro de Asuntos Exteriores, Miguel Ángel Moratinos, es otro de los que aparece en el cable, que desvela el contacto de su oficina, así como un teléfono para horarios fuera de oficina. "Una de las secretarias puede responder", explica el documento, donde se especifica el nombre de su secretaria y se indica que Moratinos, como el rey, "habla bien inglés".

Fuente: http://www.publico.es/internacional/394903/wikileaks-revela-los-telefonos-de-zapatero-y-el-rey

DDT: múltiples escáneres de malware en un único interfaz

Digital Disease Terminator (DTT) o "terminador de enfermedades digitales", es un programa portable altamente configurable, flexible e intuitivo capaz de ejecutar múltiples escáneres antivirus/antimalware de terceros.

Incluye cinco escáneres antivirus de línea de comandos: AntiVir (scancl.exe), ClamWin (clamscan.exe), a-squared (a2cmd.exe), Ikarus (T3Scan.exe) y Sophos (SAV32CLI.EXE), y se pueden añadir más.

La instalación de programas antivirus con DDT es tan simple como hacer clic en un botón que descarga, instala y configura el programa. Después de la instalación, se crean automáticamente hasta 8 configuraciones para cada antivirus, de las cuales 4 son para el funcionamiento de análisis bajo demanda y el resto para ejecutar exploraciones completas del sistema. Y también se pueden crear, guardar y recordar más configuraciones rápidamente según se necesiten.

Cualquiera de los programas de exploración puede ser fácilmente activado, desactivado, actualizado o desinstalado. Sus correspondientes argumentos en línea de comandos se pueden
también activar o desactivar de forma independiente, así como editar para adaptarse a nuestras necesidades.

The Hacker News - Magazine nº 04

Ya podemos descargar (RAR Format | PDF Format) la cuarta edición del magazine de The Hacker News. En esta ocasión, el tema elegido para la portada es "No One is Secure" y los contenidos son los siguientes:

- Editorial Note
- No One is Secure
- #Fail 2011 Year of the Hack
- Book review: Ghost in the Wires
- Hacks of the Month
- Tools Update
- Hackers: admirable or infamous?
- Mobile Security and Lack thereof
- Vulnerability -- Just Ahead --
- Digital age brings security risks
- "Now is the Time to evolve or Die"
- Security is more than a threat
- Feedback
- Contact and join us

Los fakes de #RefRef de Anonymous

Es curioso la cantidad de fakes o falsificaciones que están surgiendo últimamente para atribuirse la autoría del desarrollo de la famosa nueva herramienta DDoS de Anonymous: #RefRef.

Si buscáis un poco podreis encontrar en Pastebin fragmentos de código en Perl o PHP e incluso una web www.RefRef.org con vídeo incluido. Lo único cierto de momento, según reza el comunicado oficial de AnonCMD, es que la herramienta se publicará el próximo 17 de septiembre y que estará escrita fundamentalmente en Javascript.

Además, AnonCMD afirma que la pérdida de disponibilidad de Wikileaks.org del pasado martes fue debida a una prueba exitosa con la herramienta. Diversas fuentes, indican también que #RefRef volverá a ser probada contra un objetivo importante el próximo miércoles.

De momento, no tenemos el detalle técnico de su funcionamiento y ni mucho menos el código que (sorprendentemente) dicen que no llegará a ocupar más de 52 líneas. Sólo sabemos que la herramienta se aprovechará de las vulnerabilidades de los servidores a los que ataca, inyecciones SQL en su mayoría, y que buscará provocar la caída de estos servidores mediante su propio procesamiento.

Quizás se estén generando demasiadas expectativas, pero estamos deseando analizarla. Veremos.