Día Internacional "Mata un Zombie"

Hace un par de años Sophos propuso que el 31 de Octubre, día de Halloween, fuera también el Día Internacional Mata-un-Zombie ó "International Kill-A-Zombie Day".

Para los que ya os estáis imaginando arma en mano en un apocalíptico escenario tipo "The Walking Dead", deciros que (sólo) se trata de una campaña en la que intentan promover la eliminación del malware de los equipos "zombies" que forman parte de botnets.

Para ello fundamentalmente animan a que este día se escaneen los equipos con un antivirus actualizado, que se instalen los últimos parches de seguridad del sistema operativo y que se utilice un firewall.

Recomendaciones: Maztor [In]-Security

Las seis y media de la tarde en la abarrotada central de recogidas de Servientrega. Tras esperar su turno, Alfonso afloja el nudo de su corbata y muestra los datos para obtener el valioso paquete que llevaba esperando desde hace casi cinco días. Sabe de su importancia y su voz titubea al orar los diez números de su identificador.

De repente su latido se acelera y un frío escalofrío recorre su cuerpo. Tras el mostrador una voz temblorosa replica casi sollozando: "Lo sentimos señor, debe haber un error. Según los datos de nuestra computadora, el paquete ya ha sido recogido por usted hace unas horas...".

Esta situación que imaginamos es el escenario que plantea en su último post Maztor, en el que avisa que podría ser posible la interceptación de Entregas y Paquetería del servicio "Servientrega" debido a que los números de guía son secuenciales y accesibles vía web.

Si quieres leer el artículo completo y el resto, te aconsejemos que visites nuestra última web recomendada: o , un blog dedicado a la in/seguridad informática, auditorias pentesting, ing social, exposed's y demás.

pd. Y ya sabes, si tu también tienes un blog, una comunidad, un foro o lo que sea relacionado con la seguridad informática y hacking ético, ¡te animamos también a participar y compartirlo con nosotros!.

Un fallo en Facebook permite adjuntar ejecutables

En Facebook podemos enviar un mensaje a cualquier usuario (aunque no sea nuestro amigo) y tenemos la la posibilidad de adjuntar ficheros. Sin embargo, no está permitido subir ejecutables (extensión .exe).


Precisamente ayer salió a la luz un bug de Facebook que permite evadir fácilmente esta restricción. Simplemente, dentro de la petición POST, hay que modificar el valor de la variable filename añadiendo un espacio al final del nombre de fichero que queremos subir:

Content-Disposition: form-data; name="attachment"; filename="calc.exe "

Así de fácil.

Por qué todos deberíamos usar (al menos) una contraseña maestra en el Password Manager de Firefox

Muchas veces pulsamos el botón 'Recordar contraseña' en nuestro navegador para mayor comodidad cuando visitamos un sitio web al que accedemos regularmente. Pero, ¿es seguro almacenar nuestros usuarios y contraseñas en Firefox? La respuesta es no totalmente, y menos aún si no utilizamos una contraseña maestra. A continuación veremos por qué.

Lo primero es entender, a grandes rasgos, cómo almacena Firefox las credenciales del usuario. Desde la versión 3.5, este navegador abandona los ficheros de texto signons#.txt y guarda la información correspondiente en el fichero signons.sqlite en el directorio de nuestro perfil (ej. C:\Documents and Settings\vmotos\Datos de programa\Mozilla\Firefox\Profiles\3kmyva0l.default).

Este fichero es una pequeña base de datos sqlite con dos tablas: moz_logins que contiene los sitios y las credenciales almacenadas y moz_disabledHosts que contiene los sitios web excluidos indicados por el usuario.

Diferencias y similitudes entre Duqu y Stuxnet

Seguro que ya habéis leído acerca de Duqu, un malware descubierto recientemente sobre el que se se dice que es una nueva versión de Stuxnet o que fue escrito por sus mismos autores.

Esto es debido a que existen ciertas similitudes entre ambos:

- Usan un driver de kernel para descifrar y cargar ficheros DLL con su payload. Este driver se utiliza como un método de inyección para cargar estas DLLs en un proceso específico.

- Las DLLs cifradas se almacenan usando extensiones .PNF, una extensión que se utiliza en Microsoft Windows para ficheros de instalación precompilados.

- Los drivers de kernel utilizan técnicas similares de cifrado y ocultamiento, como un rootkit para esconder ficheros.

- Tienen variantes cuyo driver está firmado digitalmente. Una variante de Duqu fue firmada con un certificado de C-Media Electronics Incorporation y, curiosamente, otra no firmada reclama ser un driver de JMicron Technology Company, la misma compañía cuyo certificado firmó algunas variantes de Stuxnet.

IDG afectada por ataque masivo de inyección SQL en ASP.NET

Parece que IDG Communications, compañía líder mundial en publicaciones, investigación y eventos sobre Tecnologías de la Información, también ha sucumbido al ataque masivo de inyección SQL sobre aplicaciones en ASP.net que recientemente reportó Armorize.

Sitios como idg.es, networkworld.es, csospain.es, pcworld.es, computerworld.es o macworld.es, tenían entre sus páginas llamadas a http://jjghui.com/urchin.js y http://nbnjki.com/urchin.js.

Ej. www.google.com/search?num=100&lr=&safe=off&q=site%3Aidg.es+nbnjki.com+OR+jjghui.com

OSSAMS: correlación y normalización de datos de tests intrusión

Cuando realizamos una auditoría de seguridad o un test de intrusión en un cliente normalmente utilizamos una gran variedad de herramientas, ya sean comerciales o de código abierto.

Uno de los principales problemas que nos encontramos es que obtenemos un montón de datos de estas herramientas que luego debemos correlar a mano.


Cody Dumont, Adrien de Beaupre y Darryl Williams han creado el proyecto OSSAMS para solucionar ese problema: un framework a través del cual podremos guardar distintos ficheros de configuración, ficheros de resultados de escaneos, etc. dentro de una misma base de datos para poder normalizar los datos y analizar mejor el riesgo de los sistemas de información.

OSSAMS actualmente funciona sobre MySQL en Linux con Python y ya soporta acunetix, burp, grendel, nessus, netsparker, nexpose community, nikto, nmap, ratproxy, retina community, skipfish, sslscan, w3af, wapiti, watcher, websecurify y zap, y en el horizonte están appscan, arachni, core impact, fierce, httprint, iss, languard, metasploit, ncircle, nexpose, n-stalker, ntospider, openvas, proxystrike, retina, saint, sandcat, webcruiser, webinspect y wsfuzzer.

Este proyecto acaba de arrancar, pero sin duda habrá que estar atentos a su desarrollo.

Web del proyecto: http://www.ossams.com

El Rap de la Auditoría Wifi

Esta semana nos ha llegado vía Twitter un vídeo tan curioso como su autor, Daniel Pajuelo, un hacker marianista loco por los cubos de Rubik y la música rap.

Aquí les dejamos el vídeo, el Rap de la Auditoría Wifi, un "hacker rap" subtitulado ambientado en Tron...

Un fallo en Flash permite controlar remotamente webcams

Adobe ha anunciado que está en proceso de corregir una vulnerabilidad de seguridad en flash que podría permitir a sitios web maliciosos operar remotamente las cámaras y micrófonos de los usuarios que los visitan, sin que estos se percaten.

La vulnerabilidad descubierta por Feross Aboukhadijeh, un estudiante de la universidad de Stanford, es una variación de clickjacking que funciona superponiendo un iframe en la configuración del fichero SWF. El fallo está en el Flash Player Setting Manager de los servidores de Adobe y la activación de la webcam requiere de varios clics por parte de la víctima.

En el post original podemos encontrar incluso una demo del ataque:

Solución al reto 13: ¡examen sorpresa!

A continuación os presentamos el ranking de calificaciones de nuestro examen sorpresa, así como las respuestas correctas (marcadas en verde) y el número de aciertos y el porcentaje de elección de cada una de ellas por parte de los participantes.

Como podéis ver, el ganador de nuestro último reto, con el 100% de preguntas acertadas, es Rodrigo Muñoz.

Rodrigo es uruguayo y se describe como un
picador de código apasionado por el arte del hacking ético. Enhorabuena a él y muchas gracias a todos los que habéis participado.

¡Hasta el próximo reto!


Ranking

Número 7 de la revista Hack In The Box

Ya podemos descargar el magazine número 7 de HITB, cuyos contenidos son los siguientes:

Cover Story

- What Would We Do Without Enemies
Database Security
- Extending SQL Injection Attacks Using Buffer Overflows – Tactical Exploitation
Windows Security

- Windows Security Hardening Through Kernel Address Protection

Professional Development
- CISSP® Corner
Books

- Application Security Beyond Fuzzing: Exploit Automation with PMCMA

Network Security
- Intrusion as a Service Using SHODAN
- Studies on Distributed Security Event Analysis in Cloud

Script para comprobar si una aplicación es vulnerable al ataque de Padding Oracle

Hoy os dejamos un sencillo pero efectivo script en Python para comprobar si una aplicación en ASP.NET es vulnerable al ataque Padding Oracle (ataque al cifrado simétrico por bloques o CBC usando padding PKCS7).

Recordemos que inicialmente Microsoft publicó una contramedida para el ataque de T. Duong y J. Rizzo que podía sin embargo evadirse con herramientas como PadBuster. No fue hasta la publicación del parche MS10-070 cuando la vulnerabilidad se corrigió definitivamente.

Lo que hace el siguiente script es verificar si este parche está instalado correctamente comprobando el bloque cifrado 'd' o token en ScriptResource.axd o WebResource.axd (cipher length %8 != 0):

Suben porno al canal YouTube de Barrio Sésamo

Ayer, los niños que estuvieran conectados al canal YouTube de Barrio Sésamo, pudieron haber aprendido algo más que las didácticas enseñanzas de la rana Gustavo, Coco, Epi, Blas y compañía.

Durante 22 minutos, el tiempo que YouTube tardó en retirar el contenido, el usuario "MrEdxwx" coló un vídeo porno y actualizó su perfil con el siguiente mensaje:

"WHO DOESN'T LOVE PORN KIDS? RIGHT! EVERYONE LOVES IT! IM MREDXWX AND MY PARTNER MRSUICIDER91 ARE HERE TO BRING YOU MANY NICE CONTENT! PLEASE DON'T LET SESAME STREET TO GET THIS ACCOUNT BACK KIDS :( PLEASE...LET ME AND MRSUICIDER91 HAVE IT AND WE GONNA MAKE ALL THE AMERICA HAPPY!"

No obstante, aunque en un principio se sugirió que el usuario "MrEdxwx" podría haber subido el vídeo por venganza, el propio usuario ha publicado un vídeo negando toda responsabilidad:

Cifrar/descifrar ficheros en Linux

Una forma fácil y rápida para para cifrar y descifrar archivos con contraseña en Linux/Unix es utilizar el comando gpg.

GnuPG es sinónimo de GNU Privacy Guard, es una implementación libre de OpenPGP y, en definitiva, una herramienta de GNU para asegurar las comunicaciones y el almacenamiento de datos. Se puede utilizar para cifrar los datos y crear firmas digitales e incluye un sistema avanzado de gestión de claves.


Cifrando un fichero en Linux

Para cifrar un único fichero, utiliza el comando gpg:

$ gpg -c filename

¿Cuál es la táctica de propagación de malware más popular?

De acuerdo a un informe de Microsoft Security Intelligence, la táctica más popular de propagación de malware es mediante ingeniería social: mensajes emergentes con scareware, SEO y malware que requiere interacción de los usuarios, como las típicas campañas incitando a los usuarios a descargar y ejecutar un archivo malicioso.
  • Interacción del usuario requerida - 44.8%
  • AutoRun USB - 26%
  • AutoRun: Red - 17.2%
  • Fichero infeccioso - 4.4%
  • Exploit: actualización disponible desde hace mucho tiempo - 3.2%
  • Exploit: actualización disponible - 2.4%
  • Fuerza bruta de contraseñas - 1.4%
  • Macros de Office - 0.3%
  • Exploit: Día Cero - 0%
Basado en una muestra de 600 millones de sistemas en todo el mundo, la investigación muestra como segundo método a las infecciones por medio del ejecución automática en dispositivos USB extraibles. De hecho, en febrero y con el fin de prevenir estas infecciones, el AutoRun de Microsoft fue deshabilitado por defecto en Windows XP/Vista. Los resultados, al menos según Microsoft, han mostrado un descenso significativo en el malware propagado por ejecución automática.

R2D2: el troyano federal del gobierno alemán

Ayer el grupo CCC (Chaos Computer Club) publicó una ingeniería inversa sobre un troyano supuestamente creado por el gobierno alemán. A pesar de los desmentidos oficiales de la Bundeskriminalamt, la agencia alemana de la policía federal, varios estados alemanes han confirmado que, sin duda, es una herramienta oficial del gobierno: un Bundestrojaner o 'troyano federal' para controlar los equipos de los sospechosos.

Aunque esto fue originalmente permitido por ley, la llamada Quellen-TKÜ, en 2008 se restringió su uso para la grabación de conversaciones VoIP, donde las escuchas telefónicas tradicionales no iban a funcionar.

Sin embargo el malware en cuestión bautizado como R2D2, debido a la cadena C3PO-r2d2-POE encontrada en su código embebido, es un backdoor para Windows (DLL y driver para el kernel .sys) que no sólo captura el audio de Skype si no que también es capaz de obtener capturas de pantallas y actuar como keylogger para Firefox, MSN Messenger, ICQ y otros.

Vamos, que todo apunta a que el gobierno alemán podría estar extralimitándose en sus funciones de control sobre sus ciudadanos...

Recomendaciones: UnderSecurity

Si recordáis, teníamos una sección llamada 'blog amigo' a través de la cual os animábamos a dar a conocer vuestros blogs de seguridad informática y hacking ético.

Recientemente, hemos recibido un correo de Oz administrador de la comunidad undersecurity.net proponiéndonos un intercambio de enlaces y, por supuesto, nosotros hemos aceptado con gusto.

Eso sí, dado que UnderSecurity no es específicamente un blog si no un foro, hemos decidido rebautizar nuestra sección como 'Web recomendada'. De igual manera, os animamos también a compartir con nosotros vuestros enlaces y descripción de vuestros sitios.

Sin más dilación, os presentamos la fantástica comunidad UnderSecurity:
Undersecurity nació de la necesidad de crear una comunidad que pudiera ser accesible a todas las personas sin importar el grado de conocimiento que posean. De esta manera se excluyeron todas las temáticas que no tuvieran relación con la seguridad en informática y a su vez se negó la creación de secciones privadas así como información que incentivara el ego de los scriptkiddies (postea tu deface, postea tu virus, etc), todo esto nace por la falta de comunidades que se dediquen exclusivamente a la seguridad.

fbpwn: ingeniería social en Facebook

fbpwn es una herramienta multi-plataforma echa en java que construye un framework de ingeniería social para Facebook (en adelante FB), capaz de enviar solicitudes de amistad a una lista de perfiles y esperar las notificaciones de respuesta. Una vez que la víctima acepta la invitación, vuelca toda su información, fotos y lista de amigos en una carpeta local.

Un escenario típico de hacking con esta herramienta comienza con la recopilación de información de un perfil de usuario de FB. Los plugins son sólo una serie de operaciones normales en FB, automatizados para aumentar la probabilidad de obtención de información.


Normalmente, primero se crea una nueva cuenta en blanco para probar. A continuación, el plugin 'friending' añade todos los amigos de la víctima (para tener algunos amigos comunes). Entonces el complemento clonar nos pedirá que elijamos a uno de los amigos de la víctima. Este plugin de clonación sólo copia la imagen y el nombre para mostrar del amigo de la víctima elegida y lo configura para la cuenta autenticada. Después, se envía una solicitud de amigo a la cuenta de la víctima. Un dumper espera a que la víctima acepte la solicitud de amigo para empezar a guardar todas las páginas HTML accesibles (información, imágenes, etiquetas, etc ...) para un posterior análisis.

Después de unos minutos, puede que la víctima se percate de que la cuenta es falsa y la elimine de su lista de amigos, ¡pero es probable que sea demasiado tarde!

I Reto Forense Digital Sudamericano – Perú Chavín de Huantar

La agrupación ISSA Lima, Perú Chapter, ha publicado el Primer Reto Forense Digital Sudamericano con el objetivo de incentivar y fomentar el análisis forense digital.

Los participantes podrán analizar las imágenes de un sistema comprometido y presentar los informes correspondientes hasta el 19 de noviembre. Estos informes deberán dividirse en ejecutivo (con los motivos de la intrusión, resultados y recomendaciones) y técnico (metodología, técnicas y hallazgos).

Los análisis remitidos serán revisados por un jurado del que tengo el honor de formar parte. Posteriormente nos encargaremos de elegir los tres mejores y los ganadores serán anunciados tras la finalización del reto, el 30 de noviembre.

El nivel es básico-intermedio y la participación puede ser individual o en grupo de 3 o 4 personas como máximo así que, si eres de Bolivia, Brasil, Colombia, Chile, Ecuador, Panamá, Paraguay, Perú, Argentina, Uruguay o Venezuela, ¿a qué esperas para apuntarte y participar?

Información, bases e imágenes en: http://issaperu.org/?p=538

Reto 13: ¡examen sorpresa!

Llegamos a nuestro reto número 13 y, como el 13 es considerado comúnmente como el número de la mala suerte, vamos a celebrarlo con una de las cosas que más me reventaba cuando estudiaba: un examen sorpresa.

Pero tranquilos, se trata de un sencillo test de 25 breves preguntas sobre conocimientos generales y actualidad en seguridad informática. En menos de 10 minutos responderéis a todas ellas y podréis comprobar vuestro nivel cuando publiquemos las calificaciones.

¿Quién aprobará y quién será el más empollón de la clase? Lo veremos pronto ;)


El formulario del examen ha sido cerrado. Podéis ver las preguntas y las respuestas, así como el ranking de participantes aquí.

Entrena en el Web Security Dojo

Web Security Dojo es un entorno de entrenamiento de Maven Security Consulting Inc. para realizar pruebas de intrusión en aplicaciones web. La versión 1.2 de este proyecto de código abierto consiste en una máquina virtual para VMWare o VirtualBox con Ubuntu v10.04.2 y los siguientes componentes:

Herramientas:
  • Burp Suite (free version)
  • w3af
  • sqlmap
  • arachni
  • metasploit
  • Zed Attack Proxy
  • OWASP Skavenger
  • OWASP Dirbuster
  • Paros
  • Webscarab
  • Ratproxy

Clickjacking para obtención de shells

Andrew Horton (urbanadventurer) presentó 'Clickjacking for Shells' el 20 de septiembre en la conferencia OWASP Wellington en Nueva Zelanda.

Dos años después de que el mundo fuera advertido sobre la amenaza del clickjacking, las aplicaciones web más populares siguen siendo vulnerables y se sigue subestimando este tipo de ataque. El autor de la presentación demuestra paso a paso la manera de identificar las aplicaciones vulnerables, cómo escribir exploits y también cómo protegerse contra el clickjacking. Además, para demostrar su importancia, publica un exploit 0-day para WordPress v3.1.2 y anteriores con el cual se puede obtener una shell en el servidor web.

Avisos

Aviso en TXT Ver
Aviso en PDF Ver