La comunidad hacker se vuelca con el libro de Hackstory.net

Hace algo más de un mes, Mercè Molist inició una campaña de donaciones o "crowdfunding" con el objetivo de recaudar fondos para convertir el material de la wiki-enciclopedia Hackstory.net en el contenido de un libro sobre el "underground" informático hispano, concretamente en su época dorada (años 90 y 2000).

La campaña de mecenazgo realizada a través de Goteo.org ha tenido un gran éxito y están a punto de conseguir el dinero: llevan 4.855€ y quedan todavía 34 días para alcanzar los 5.192€ considerados óptimos. Esta primera recaudación financiará meses de trabajo para revisar y ampliar los artículos que se incluirán en el libro.

Después, la autoedición se pagará en una segunda fase, también mediante otra campaña de donaciones. El resultado final será un libro que (por fin) evoca a los tan injustamente y a menudo olvidados hackers hispanos. Gran iniciativa que esperamos con ilusión.

Patator, una herramienta de fuerza bruta multipropósito

Patator es un script en Python para lanzar una gran diversidad de ataques de fuerza bruta, con un diseño modular que permite un uso flexible.

Actualmente incluye los siguientes módulos:

    ftp_login : Fuerza bruta FTP
    ssh_login : Fuerza bruta SSH
    telnet_login : Fuerza bruta Telnet
    smtp_login : Fuerza bruta SMTP
    smtp_vrfy : enumera usuarios válidos mediante el comando SMTP VRFY
    smtp_rcpt : enumera usuarios válidos mediante el comando SMTP RCPT TO
    finger_lookup : enumera usuarios válidos mediante Finger
    http_fuzz : Fuerza bruta HTTP/HTTPS
    pop_passd : Fuerza bruta poppassd (not POP3)
    ldap_login : Fuerza bruta LDAP
    smb_login : Fuerza bruta SMB
    mssql_login : Fuerza bruta MSSQL
    oracle_login : Fuerza bruta Oracle
    mysql_login : Fuerza bruta MySQL
    pgsql_login : Fuerza bruta PostgreSQL
    vnc_login : Fuerza bruta VNC
    dns_forward : reenvía búsquedas de subdominios
    dns_reverse : búsqueda inversa de subredes
    snmp_login : Fuerza bruta SNMPv1/2 y SNMPv3
    unzip_pass : Fuerza bruta de las contraseñas de ficheros ZIP
    keystore_pass : Fuerza bruta de las contraseñas de ficheros keystore Java

Más información y sintáxis en su repositorio oficial.
Advertencia: no se trata de una herramienta amigable o para script kiddies. Normalmente se requieren muchos parámetros para su ejecución, lo cual le hace más efectiva.
Si quieres saber de dónde viene el nombre "Patator" XD:  
http://www.youtube.com/watch?v=xoBkBvnTTjo 

Cómo subir aplicaciones maliciosas a Google Play (análisis y evasión de Google Bouncer)

Jon Oberheide y Charlie Miller dieron una interesante charla en la SummerCon de este año bautizada como 'Dissecting The Android Bouncer' en la que demostraban que el Google Bouncer con el que Google escanea aplicaciones en su tienda Google Play es inseguro.

Para los que no habíais leído nada antes acerca de este Bouncer, deciros que se trata de un sandbox que emula un entorno Android y ejecuta la aplicación durante 5 minutos para una análisis dinámico de la misma. Este entorno se ejecuta en la infraestructura de Google y permite acceso externo, así que ambos investigadores enviaron varias aplicaciones falsas para registrar procesos y lanzar una conexión inversa contra la instancia QEmu en los servidores de Google.

Gracias a esto pudieron recopilar información suficiente para obtener un "fingerprint" del Bouncer. Y, ¿para qué?. Pues está claro. Para subir una aplicación capaz de analizar el entorno donde se está ejecutando y enmascararse si detecta que está siendo evaluada por este sistema.

En el siguiente video se puede observar todo el proceso y demás datos que recolectaron de las instancias de Google Bouncer:

 

Filtran 84.000 credenciales comprometiendo redes de telecomunicaciones de España y México

Nasir Bin Olu alias .c0mrade (@OfficialComrade) está destacando últimamente por explotar multitud de TPVs en todo el mundo, los sistemas de gestión de varios hospitales, los sistemas de radio de Nueva York, el sitio web de la Armada Norteamericana y el software de la banca de Kuwait, CoBank y CitiBank entre otros.

Ahora, .c0mrade ha publicado 84.016 usuarios y contraseñas de cuentas de correo de Hotmail, AOL, Yahoo y GMail comprometiendo una red de telecomunicaciones de España y México.

Todavía no hay detalle exacto del ataque, salvo que las credenciales se han capturado mediante un ataque MITM (Man-In-The-Middle) contra un software vulnerable utilizado en la red de telecomunicaciones. Además, .c0mrade señala que tenía acceso total y capacidad para crear nuevas cuentas e incluso eliminar las existentes: "Obtuve acceso a una red de telecomunicaciones de España y México. Tengo acceso a líneas telefónicas, intercomunicadores y tengo la capacidad de usar cuentas de usuarios e incluso crear cuentas falsificadas que podría utilizar como un señuelo", explicó.

Utilizando un Screen Unlock (PoC)

Nuestro compañero, amigo, hermano, una bellísima persona, un tío con el que se puede contar, y otros piropos varios –es decir yo-, he creado una prueba de concepto, para Windows XP (SP3).

¿Qué hace el programa?
Es sólo una prueba de concepto, funciona correctamente, no existe que yo conozca un parche especifico, ya que no es un fallo, es la modificación en un entorno controlado, del flujo de un programa –en español, por favor-, pues que no hay fallo por ninguna parte, y tiene unos requisitos demasiado altos, para ser considerado vulnerabilidad de ningún tipo.

¿Vale, pero que hace el programa?
A pesar de parecer gallego –un saludo a todos los gallegos-, ¿Conoces el ataque David Hasselhoff?, teniendo acceso a un equipo temporalmente desbloqueado. Imaginemos que el dueño, tuvo que acudir al servicio, por poner una idea, y no bloquea el equipo. Tienes unos pocos segundos, para acceder, pero sabes que luego, tendrá que ir a comer, y estará fuera 2h, pero… el equipo bloqueado.
 
Ataque David Hasselhoff - imagen de: Windowstips

Si ejecutases el Screen Unlock, en los segundos que tuviste acceso al equipo, cuando se marchase a comer, y el equipo estuviera bloqueado, sin generar errores de ningún tipo, simplemente tendrás que acceder con cualquier contraseña, o hacer click en la imagen del usuario. ¡Pum! ¡Acceso al equipo! Sin necesidad de reiniciar, sin necesidad de instalar ningún tipo de CD…

GameOver: distribución para entrenar en seguridad web

GameOver es un proyecto que tiene como objetivo entrenar y educar newbies en seguridad básica web y ayudar a entender los principales ataques web existentes. Se trata de una distribución Voyage Linux (basada en Debian) que tiene dos secciones de aplicaciones:

Sección 1. Colección de aplicaciones web diseñadas especificamente para enseñar las nociones básicas sobre seguridad web, cubriendo XSS, CSRF, RFI y LFI, fuerza bruta en autenticación, path traversal, ejecución de comandos e inyección SQL:


Borra tu disco de forma rápida y segura con DBAN

Hace tiempo ya hablamos de Active@ Kill Disk para el borrado seguro (wipe) del disco, tarea común y necesaria cuando nos desprendemos de un viejo portátil de trabajo o un disco duro extraíble. Juanma Merino, a través de un comentario en ese post, nos mencionó DBAN, que es de código abierto y gratuito y que para él (y para mucha gente) es la herramienta estándar "de facto" para el borrado seguro.

Desde entonces tengo en la bolsa del portátil un viejo pendrive de 64MB (basta con uno de 32) y lo utilizo antes de entregar mi viejo equipo
al pesado de Sistemas (esto ocurre una vez cada lustro más o menos) o cuando recibimos un "chivatazo" y queremos destruir todas las evidencias antes de la inminente incursión en "nuestro sótano" de las Fueras de Seguridad del Estado... XD

Para estos casos, si queremos algo rápido y de emergencia, os recomiendo conectar el pendrive a vuestro equipo, configurar el boot para que inicie primero por USB, arrancar DBAN y utilizar la opción autonuke que borrará automáticamente todos los discos de vuestro sistema (¡incluso el dispositivo extraible si no lo extraes antes del "wipeo" correspondiente!). Además, si mal no recuerdo, este método es bastante seguro ya que tiene una entropía urandom (linux), utiliza DoD y realiza tres pasadas.

DoS en Samsung AllShare

AllShare es un servicio de Samsung para compartir contenido que te permite buscar y reproducir vídeos, fotos y archivos de música libremente entre varios dispositivos que lo soporten, como ordenadores, televisores, teléfonos móviles y cámaras digitales.

Luigi Auriemma ha descubierto una vulnerabilidad en AllShare que podría ser explotada remotamente para causar un DoS en el servidor DLNA (puerto 9500). 


Concretamente existe un error de desreferencia de puntero nulo en el módulo libpin3_dll.dll cuando procesa cabeceras HTTP, y puede explotarse especificando en la cabecera un Content-Length entre 4294967262 y 4294967293.

La vulnerabilidad se ha confirmado en la versión 2.1.0.12031_10 aunque podría afectar a otras versiones:

http://aluigi.org/testz/udpsz.zip
http://www.exploit-db.com/sploits/19289.zip
 
  udpsz -c "POST /DocumentViewer/Control/blah HTTP/1.1\r\nCONTENT-LENGTH: 2147483647\r\n\r\n" -T SERVER 9500 -1
or
  udpsz -c "POST /DocumentViewer/Control/blah HTTP/1.1\r\nCONTENT-LENGTH: 4294967293\r\n\r\n" -T SERVER 9500 -1

CrowdRE: ¡ingeniería inversa en grupo!

Un nuevo proyecto llamado CrowdRE tiene como objetivo hacer más fácil la ingeniería inversa de aplicaciones complejas trabajando en colaboración con otros usuarios. Normalmente, el proceso de revertir software a partir de un complicado binario puede consumir mucho tiempo, CrowdRE ayudará a acelerar este proceso a través del trabajo en equipo.

CrowdRE, que actualmente se considera en una etapa "alfa" del desarrollo, está disponible como un plug-in para IDA Pro 6.3.120531. Con el plug-in, un grupo de desarrolladores puede aplicar ingeniería inversa en una o más funciones de un binario y subir los resultados a un servidor en la nube que hace un seguimiento de todo en una base de datos central. Esto permite a los clientes beneficiarse de un trabajo que otros desarrolladores ya han completado y compartir los progresos que hacen con el resto de la comunidad. La base de datos permite cualquier búsqueda y cada función puede tener diferentes "commits" concurrentes.


Visualiza 1 minuto de la actividad mundial de las botnets

A menudo hablamos de botnets masivas como Cutwail, Sality u otras. Pero, ¿como sería su actividad si pudiéramos visualizarla? 

La firma de seguridad Unveillance ha creado un vídeo que nos ayudará a comprobarlo. Para ello ha capturado un minuto de la actividad global de todas las botnets del mundo, concretamente el 11 de junio de 2012 entre las 9:00 y 9:01. 

En él, podemos observar visualmente la ráfagas de información de la red de bots a lo largo de todo el globo: botnets comunicándose con otras botnets, bots preguntando a los servidores C&C en busca de instrucciones, bots atancando objetivos, intentando infectar y propagarse seduciendo a sus víctimas, comunicándose constantemente con otros equipos, etc. El resultado impresionante:

Ghost: un honeypot para malware que se propaga mediante dispositivos USB

Ghost es un proyecto de código abierto que implementa un honeypot para el malware que se propaga mediante dispositivos USB. Se trata de un proyecto desarrollado por Sebastian Poeplau para una tesis de licenciatura en la Universidad de Bonn en Alemania y ahora su desarrollo continua en Honeynet Project.

Básicamente el honeypot simula ser un dispositivo de almacenamiento USB esperando que el equipo sea infectado por el malware que utiliza este vector de propagación.

Por el momento, Ghost sólo es compatible con Windows XP de 32 bits. Se encuentra en una etapa temprana de desarrollo y se puede descargar una distribución binaria o compilar el código. Si optas por esta última opción necesitarás el kit de controladores de Windows y encontrarás instrucciones detalladas para hacerlo en su wiki.

Reto 15: ovejas negras

"Vivimos inmersos en una crisis global producto de los corruptos. Se esta librando una batalla, no dejes que sus hilos manejen tu vida. Lucha contra la desinformación y contra un sistema que nos quiere someter como a un rebaño servil. Llega el momento de despertar y enfrentarles como otra oveja negra."


Para cualquier duda comenta esta entrada. Pero, si consigues obtener el mensaje secreto, no publiques la solución y mándanos el procedimiento seguido a nuestra cuenta de correo electrónico:

Tip: ?attredirects=0

Ten cuidado donde la metes... (si tu contraseña ha podido ser comprometida)

Hace algunos días, en los titulares de muchas páginas se hablaba de la fuga de información de un buen número de hashes de contraseñas de LinkedIn. Evidentemente esta situación no es nueva y (con bastante regularidad) se publican las credenciales de usuarios de webs que han sido comprometidas. Los sitios que reportan estos "leaks" te dicen que cambies el password, pero otros te recomiendan también verificar si has sido uno de los afortunados cuya contraseña ha sido comprometida. A nosotros se nos ocurre preguntarnos: ¿se podrian estar aprovechando de nuestra inocencia los sitios que comprueban ésto?

Veamos, no he sido capaz de encontrar una gráfica con la potencia de cálculo contra SHA1, y no dispongo de material suficiente para poder hacer mis propios cálculos (si alguien dispone de alguna, por favor, indicadlo en los comentarios y la pongo aquí!). A bote pronto, hacer un cálculo de todos los hashes sha1 nos llevaría algunos muchos años, posiblemente buscando podríamos encontrar alguna tabla ya calculada, lo que nos ahorraría algunos meses. Pero, ¿podría simplificar la obtención de las contraseñas en claro aprovechándome del temor general?

Como tengo muchas ideas malvadas, voy a crear un servicio en apariencia benigno para la sociedad. Te permite introducir tu contraseña, y con el siguiente código en php mostrarla en pantalla:
 Echo sha1(“tupasswd”);
¿Sencillo verdad? Si aún soy más majete y descargo en el servidor el fichero con todos los hashes que se han publicado, puedo hacer la comprobación por ti (si es que soy más majo que las pesetas). ¡Muac. besito en la mejilla!

Evasión de autenticación en MySQL/MariaDB (CVE-2012-2122)

Sergei Golubchik, el coordinador de seguridad de MariaDB (un derivado de MySQL con licencia GPL), ha encontrado un serio bug en MySQL y MariaDB que podría permitir a un atacante evadir la autenticación de la base de datos. 

La vulnerabilidad identificada como CVE-2012-2122 puede afectar a todas las versiones 5.1.61, 5.2.11, 5.3.5, 5.5.22 y anteriores de ambos motores de base datos, siempre que hayan sido compiladas con librerías que permiten que la rutina memcmp() pueda llegar a devolver enteros fuera del rango de -128 a 127 (Linux glibc
sse-optimized
).


"Cuando un usuario se conecta a MariaDB/MySQL, se calcula un token (un hash SHA a partir de su contraseña y una cadena al azar) y se compara con el valor esperado. Debido a una serie de pruebas incorrectas, puede ocurrir que el token y el valor esperado se consideren iguales, incluso si la función memcmp() devuelve un valor distinto de cero. En este caso, MySQL/MariaDB puede pensar que la contraseña es correcta, aunque no lo sea. Debido a que el protocolo utiliza cadenas aleatorias, la probabilidad de provocar este error es de aproximadamente de 1 sobre 256."

"Esto significa que, si se conoce un nombre de usuario para conectarse (y el root casi siempre existe), podremos conectarnos con "cualquier" contraseña con repetidos intentos de conexión. Unos 300 intentos sólo nos llevaran una fracción de segundo, así que básicamente la protección con contraseña de la cuenta es como si no existiera. Además cualquier cliente puedo hacerlo, no hay necesidad de una biblioteca libmysqlclient especial".

Stuxnet: un arma camuflada en código

Está claro que las armas digitales podrían ser el futuro de las guerras tácticas entre países enfrentados. Stuxnet viene a confirmarlo y nos muestra la crudeza de una realidad inherente: el impulso y la colaboración secreta intergubernamental para el desarrollo de malware que podría afectar a infraestructuras críticas y, por ende, a la seguridad física de poblaciones enteras.

Se ha escrito ya mucho sobre Stuxnet, pero os animamos a que invirtais algo más de tres minutos en ver la siguiente infografía animada sobre la anatomía de Stuxnet.

LinkedIn confirma el filtrado de más de 6 millones de hashes de contraseñas

Casualidad o no, después de que se reportara que la aplicación de LinkedIn para iOS vuelca las entradas del calendario a sus servidores, a través de un foro ruso se han filtrado 6,458,020 hashes (SHA-1) de contraseñas de usuarios de la red profesional.

LinkedIn ya ha confirmado que la brecha es real. Recordemos que crackear con éxito una contraseña de menos de 8 caracteres es posible en menos de un día. Así que nuestra recomendación es evidente:  

si eres usuario de LinkedIn cambia la contraseña inmediatamente y elige una con la complejidad adecuada.

Una vez cambiada (y siempre que no hayas utilizado la misma contraseña para otras cuentas o servicios), puedes comprobar si el hash de tu contraseña está entre esos más de 6 millones. Para ello existen varios servicios online que facilitan esta comprobación como por ejemplo http://linkedin.biorra.com o http://leakedin.org (desconfía de todo), pero si tienes la posibilidad de obtener el dump (enlace de descarga 1, enlace de descarga 2) te recomendamos comprobarlo por tí mismo:

echo -n contraseña | shasum | cut -c6-40 hash && grep -f hash combo_not.txt

Evita la censura en Twitter con Anontwi

Lord Epsylon pone a nuestra disposición AnonTwi, una herramienta de código abierto escrita en Python que nos permitirá mantener nuestra privacidad y evadir la censura en Twitter:

- Las comunicaciones con el API de Twitter se realizan bajo SSL (para evitar ataques MiTM)
- Permite el uso de Proxy Socks (por ejemplo para conectarnos a la red de TOR)
- Utiliza 'User-Agents' aleatorios y elimina el 'Referer'
- Corta los mensajes largos automáticamente (waves)
- Cifra Tweets y mensajes directos (DMs) con AES128 + Blowfish (claves de 16, 24 y 32 bytes)
- Descifra automáticamente las URLs de los tweets o el texto en raw

Instalación

Como buen lenguaje interpretado, sólo necesitaremos Python y el código se ejecutará en muchas plataformas. Eso sí necesitaremos las siguientes librerías: python-crypto y python-httplib2.

En caso de infección, ¿formatear o reparar?

Quiero plantear esta consulta a modo debate. Aprovecho para hacer el planteamiento de un escenario y os invito a que respondáis a través de los comentarios y, si fuese necesario, plantear otros. Así que la puerta está abierta.

<Escenario>
Un día, trabajando en el ordenador personal, o quizá en el ordenador de empresa, cuando tratas de escribir aparece una doble tilde “ ´´ ”, ¡oh, no… el famoso virus de la doble tilde!, 

Para quien no lo conozca comentar que –al menos la variante que yo he estudiado, aunque seguro que hay muchas más- es malware de tipo keylogger, recibe todas las pulsaciones y las reenvía a la aplicación que se encuentra “on top”, es decir, sobre la que estas trabajando. El problema es que está destinado a un teclado configurado en americano y no tiene implementado el acento.
 </fin escenario>

Vale, tenemos claro, que estamos infectados. Una rápida búsqueda en Google nos verifica la situación. ¿Cómo solucionarías esto? ¿Formateas? ¿Procedes a repararlo?

0day: vulnerabilidad XXE en PostgreSQL

Un ataque XXE (Xml eXternal Entity) es un tipo de inyección XML con URIs (entidades externas) que se aprovecha de un parser XML mal configurado para ejecutar una funcionalidad que podría comprometer la seguridad de una aplicación web: acceso al sistema de ficheros del servidor, causar una DoS, inyección de javascript (por. ej. para un XSS), etc.

Recientemente ONsec ha publicado en la PHDays un 0-day muy interesante de una vulnerabilidad XXE basada en error que afecta a PostgreSQL y que podría permitir a un atacante leer ficheros locales y hacer peticiones desde el servidor de base datos a la intranet (SSRF - Server Side Request Forgery).