¿Perseguir a los hackers o reclutarlos?

La Analista del IEEE Mª José Caro Bejarano analiza en un breve documento un dilema que muchos gobiernos llevan tiempo planteando: perseguir a los hackers o reclutarlos para sus programas de ciberseguridad.

Sirva de avance algunos fragmentos del documento informativo:

"Durante el mes de junio, los funcionarios del gobierno surcoreano habían entrevistado a 238 piratas jóvenes altamente cualificados, todos ellos estudiantes de secundaria y posgrado, y habían seleccionado a 60, aunque solo seis llegarán a la fase final.

Los elegidos recibirán una beca de casi 14.000 euros, además de la oportunidad de estudiar en el extranjero y formar parte de la base de datos de recursos humanos de la Agencia Nacional de Inteligencia y la Policía de Corea del Sur."

"Según Arquilla, el gobierno de EEUU, en lugar de perseguir a los piratas informáticos de élite, debería reclutarlos para lanzar ataques cibernéticos contra los terroristas islamistas y otros enemigos.


Este destacado pensador militar y asesor del gobierno, opina que EEUU se ha quedado atrás en la carrera de cibernética y necesita establecer un "nuevo Bletchley Park" de genios informáticos y crackeadores de código para detectar, rastrear y desbaratar las redes enemigas."

Sin duda una interesante lectura que os recomendamos: pdf

Comprometen las cuentas de Twitter de varios futbolistas y artistas famosos durante la Supercopa

Tras previa advertencia y bajo los hashtags #ReyPadorowsky y #Desmadrowsky2012, Padorowsky (@Rey_Padorowsky ya suspendida, o @padorowsky2012) comprometió ayer, durante el partido de la Supercopa de España, las cuentas de Twitter de varios futbolistas y artistas famosos. 


Samir Nasri (@samnasri19), Jonathan dos Santos (@jona2santos), Mascherano (@mascherano), Sergio kun Aguero (@aguerosergiokun), Dani alves (@Danialvesd2), Rafa Marquez (@rafamarquezmx), Iker Muniain  (@ikermuniain19), Maxi Rodriguez (@MR11ok), David de Gea (@d_degea), Diego Godin (@dgodinofficial), Sergi Roberto (@sergioberto10), Bojan Krkic (@bokrkic), Charlie Adam (@Charlie26Adam), La oreja de van Gogh (@laorejadevangogh), Pablo Alborán (@pabloalboran) y Chenoa (@chenoaoficial) estaban entre sus objetivos y vieron como en su TL aparecían mensajes y retweets con mensajes controvertidos. Podéis encontrar una lista de Twitter con las cuentas de los usuarios aquí.

Disponible el código fuente del nuevo 0-day de Java

Investigadores de seguridad de FireEye han informado de una nueva vulnerabilidad de día cero en Java que está siendo explotada activamente en Internet. Los runtime más recientes (JRE 1.7x) son también vulnerables.

Inicialmente, los investigadores descubrieron que este exploit estaba hospedado en ok.XXX4.net y actualmente este dominio está resolviendo una IP de China. La explotación de esta vulnerabilidad además descarga un ejecutable (Dropper.MsPMs) alojado en el mismo servidor (http://ok.XXX4.net/meeting/hi.exe). El dropper también conecta al C&C hello.icon.pk que actualmente resuelve con la IP 223.25.233.244 localizada en Singapur.

POC:
Se ha desarrollado un módulo de Metasploit que se ha probado con éxito en  Windows 7 SP1 parcheado con Java 7 Update 6, y en los siguientes entornos:

  •     Mozilla Firefox en Ubuntu Linux 10.04
  •     Internet Explorer / Mozilla Firefox / Chrome en Windows XP
  •     Internet Explorer / Mozilla Firefox en Windows Vista
  •     Internet Explorer / Mozilla Firefox en Windows 7
  •     Safari en OS X 10.7.4
Además el código fuente ya se encuentra disponible (http://pastie.org/4594319):

Dropbox añade autenticación de dos factores

Una de las soluciones que pueden ayudarnos a proteger nuestras credenciales es la autenticación de dos factores o verificación de dos pasos. Empresas como Google, Blizzard, PayPal o Facebook han añadido a sus servicios la posibilidad de utilizarlo. Básicamente se trata de agregar una segunda capa de verificación para el proceso de inicio de sesión. En lugar de acceder sólo con el nombre de usuario y contraseña, se solicita otro código que se genera con la ayuda de un dispositivo de hardware (como por ejemplo los dispositivos Verisign Identity Protection que usa PayPal), mediante una aplicación en nuestro móvil o se envía directamente a un número de teléfono previamente registrado.

Ahora por fin Dropbox añade la posibilidad de usar autenticación de dos factores para su servicio de hosting y sincronización de ficheros. De momento, el servicio sólo está disponible si tienes la versión 1.5.12 experimental. 

La jugada del anonymous (ftp)

Lo reconozco. He estado un par de semanas "de parranda", pero oye, tenía ganas de desconectar de todo. Y la entrada de hoy es un truquito. Truco que seguramente todos conocéis o habéis usado en auditorías, y sino pues ya lo vais a conocer }:)).

Seguro que os estáis preguntando por el truco, pero no es nada del otro mundo, incluso a veces ni realmente es un fallo de seguridad. Vamos a verlo un poco. 

Muchas veces estamos realizando una auditoría orientada hacia una página web y, tras no encontrar nada en la aplicación web propiamente dicha, realizamos trabajos de "fingerprinting" en los que descubrimos un servidor ftp corriendo

Y lo típico, hacemos "la prueba del anonymous" para acceder con ese usuario ya que muchos administradores lo dejan activado, y otros lo activan y no tratan correctamente los permisos.

De invitado de red a adminitrador de dominio de Windows en 60 segundos

"Sus sistemas tenían instalados los últimos parches, su equipo de seguridad vigilando y los pentesters (aficionados) acababan de entregar su informe de "cumplimiento". Ellos pensaban que su dominio de Windows era seguro. Ellos pensaron mal."

Zack Fasel presentó en la DefCon 20 un nuevo toolset escrito en Ruby y bautizado como ZackAttack con nuevos métodos para obtener solicitudes de autenticación integradas de Windows y realizar re-envíos NTLM tanto interna como externamente. ¿El objetivo? Empezar como un don nadie y obtener el administrador de dominio (o datos sensibles/accesos) en 60 segundos o menos en un entorno Windows con todos los parches y típicamente securizado. ¿El resultado? Zack demuestra la posibilidad de ganar acceso *externamente* a una cuenta de dominio Exchange simplemente mediante el envío de un correo electrónico con consejos para evitar estos ataques.

Se buscan hackers para Hackplayers

Hace algunos años ni tan siquiera podía imaginar en lo que se convertiría aquel pequeño blog creado originalmente para estudiar y repasar una certificación de hacking ético. Hoy, Hackplayers ha recibido ya más de un millón de visitas y sois más de cinco mil seguidores en Twitter. Pero, más allá de las cifras, el gran valor de escribir con asiduidad ha sido, es y será (sin duda) compartir y poder seguir aprendiendo. Gracias a Hackplayers puedo mantenerme al día y además colaborar con gente que he podido conocer gracias a este medio.

Ahora, a riesgo de parecer demasiado freak, tengo que decir que se acercan tiempos de lucha y oscuridad. Cada vez más trabajo, situaciones personales y proyectos -algunos secretos ;)- que preveo me van a restar dedicación y, aunque yo seguiré quitándome horas de sueño y quizás nada cambie, quiero hacer un llamamiento a todos aquellos que les guste la seguridad informática y quieran escribir eventual o regularmente en Hackplayers.

Seguramente el título de esta entrada es erróneo o ambicioso, pues tampoco voy a incurrir en el eterno debate sobre la terminología "hacker". Simplemente si te gusta investigar, evaluar o "jugar" con la seguridad de los sistemas y quieres escribir aquí sobre ello: no lo dudes, participa y contacta con nosotros. Se buscan hackers para Hackplayers. It's time to play!

Configurar BSA con soporte para FakeNet

FakeNet es una herramienta que simula una red para que el malware que interactua con un equipo remoto continúe ejecutándose permitiendo a un analista observar la actividad de red en un entorno seguro. Básicamente redirecciona todo el tráfico a localhost donde levanta y simula servidores DNS, HTTP, SSL y SMTP que van respondiendo a las peticiones que va realizando el artefacto de malware que está siendo analizado. De esta manera conseguiremos "engañar" al malware y no utilizaremos nuestra conexión real a Internet (algo NUNCA recomendado en análisis de malware).

Si recordáis, hace poco también estuvimos hablando de la instalación y configuración inicial de Buster Sandbox Analyzer (BSA), un analizador de comportamiento de malware que funciona con Sandboxie y que además añade soporte para FakeNet. Para configurarlo podemos seguir unos sencillos pasos:

- Descarga y descomprime FakeNet a una carpeta.


- Edita FakeNet.cfg y cambia “OutputOptions DumpHTTPPosts:No DumpOutput:No Fileprefix:output” a “OutputOptions DumpHTTPPosts:No DumpOutput:Yes Fileprefix:output”.

Nunca confíes en los mensajes SMS de tu iPhone

Hace unos días pod2g alertaba sobre una vulnerabilidad que afecta a todas las versiones de iOS (incluso la beta 4 de iOS 6) que podría permitir a un atacante falsificar la dirección de un remitente a la hora de responder mensajes de texto SMS.

Esto es debido a que un iPhone no muestra en su interfaz de mensajes la dirección de respuesta especificada en la cabecera de datos del usuario (UDH). Con ésto podríamos decidir ser muy malos y por ejemplo intentar lucrarnos escribiendo mensajes desde un número cualquiera con un número de respuesta 905 u otro SMS Premium. La víctima respondería al número de la SIM remitente pero realmente estaría mandado el mensaje al número de tarificación adicional...

Lo único que necesitamos es un módem 3G, una cuenta y un gateway SMS y crearnos nuestro mensaje raw en modo PDU (Protocol Description Unit), especificando en la cabecera UDH nuestra maligna dirección de respuesta con un número con formato internacional. 


Por ejemplo el siguiente mensaje PDU:

0691461206600041000A81515555555500002F06220404819999C472FBED9ED3E5617AF
AED06BDCD203ABA0C82BFC9B23328FD9C82A6CD2908FD669701

enviaría el texto “Demonstration of the pod2g iOS SMS hole” al número +1555555555 (falso) con la dirección de respuesta 9999.


Para codificar estos mensajes podemos utilizar herramientas como PDUSpy que nos facilitarán enormemente la vida...

La solución que propone Apple: usar iMessage :-S

Santoku: distribución de seguridad para dispositivos móviles

Santoku es una distribución Linux basada en OWASP’s MobiSec especializada en pruebas de seguridad, análisis de malware y análisis forenses para teléfonos móviles, válida para dispositivos con Android, BlackBerry, iOS y Windows Phone.  

La versión Santoku Community Edition es un proyecto colaborativo para proveer un entorno Linux preconfigurado con utilidades, drivers y guías para este campo. La versión alpha puede ya descargarse:

Descarga (+3Gb): Santoku-0.1-alpha.iso
md5:54e48ea0cd133da04a1b55d4531e35bb

El Curiosity de la NASA ¿objetivo hacker?

MarsCuriosity: "¿Alguien en Madrid, España o Canberra, que pueda ayudar a aislar la enorme señal de control utilizada por el sistema de la Mars Odyssey/Curiosity, por favor? El cifrado y hopping funcionan en modo estándar, sólo necesitamos la frecuencia base y grabaciones/feeds de la salida de la enorme señal (sí, podemos suplantar en ambas direcciones!)."

Este mensaje, tratando de reclutar a hackers para introducirse en el nuevo rover marciano, ha sido recientemente recogido por la firma Flashpoint Partners en el canal IRC de AnonOps. Recordemos que Curiosity llego a Marte la semana pasada y está siendo preparado para una serie de actualizaciones de software antes de comenzar su misión de dos años.

Según Josh Lefkowitz, co-fundador de la firma de seguridad Flashpoint Partners, el nick "MarsCuriosity" fue creado y utilizado una sola vez para la operación propuesta, si bien podría ser incluso un impostor tratando de atraer a miembros del colectivo Anonymous.

Este mensaje ha sido lanzado poco después del informe de PCMag publicado la semana pasada con el título 'Cómo hackear el Mars Rover Curiosity de la NASA' en el que se exponen distintas posibilidades para comprometer el robot en el planeta rojo.

No obstante, parece que los recursos necesarios para tener éxito en un ataque de esta envergadura son prohibitivos, y la gente con los recursos reales necesarios para comprometer Curiosity (*toc* China *toc*) no necesitaría ir pidiendo ayuda para hacerlo...


Fuentes:
Mars Curiosity under hacker attack?

Obteniendo los hashes de las contraseñas de máquinas virtuales suspendidas o snapshots mediante Volatility

En este post vamos a ver una interesante técnica que hace unos días nos mostraba Mark Baggett en el blog de pentesting de SANS mediante la cual podemos obtener los hashes de las contraseñas de los usuarios de una máquina virtual VMWare suspendida o de su snapshot.

Lo primero que vamos a hacer es obtener un volcado de memoria (memory dump) a partir de los ficheros de memoria .vmem de la máquina virtual y de los ficheros .vmss (estado suspendido) o .vmsn (snapshot). Para ello ejecutaremos la herramienta vmss2core que VMWare distribuye por defecto y que podréis encontrar normalmente en "C:\Archivos de programa\VMware\VMware Workstation" o, si tenéis Mac OS X, en "/Library/Application Support/VMware Fusion". El comando es muy sencillo:

$ vmss2core -W Windows7.vmss Windows7.vmem

Durante el proceso podréis observar que el SO de la máquina virtual es un Windows 7 SP1:

vmss2core: Log: Win: ntBuildLab=7601.17803.x86fre.win7sp1_gdr.120330-1504

Al final obtendremos como resultado el fichero memory.dmp, normalmente de un tamaño considerable.

¡Disponible BackTrack 5 R3!

"Ha llegado el momento de renovar nuestro arsenal de herramientas de seguridad - BackTrack 5 R3 ha sido publicada. R3 se centra en la corrección de errores, así como en la adición de más de 60 nuevas herramientas - varias de las cuales fueron lanzadas en el BlackHat y la Defcon 2012. Se ha añadido toda una nueva categoría - "explotación física", que ahora incluye herramientas tales como el IDE y las librerías de Arduino, o la colección de payloads de Kautilya Teensy"...

http://www.backtrack-linux.org/backtrack/backtrack-5-r3-released/
BT5R3-GNOME-64.torrent (md5: 8cd98b693ce542b671edecaed48ab06d)
BT5R3-GNOME-32.torrent
(md5: aafff8ff5b71fdb6fccdded49a6541a0)
BT5R3-KDE-64.torrent
(md5: 981b897b7fdf34fb1431ba84fe93249f)
BT5R3-KDE-32.torrent
(md5: d324687fb891e695089745d461268576)
BT5R3-GNOME-32-VM.torrent
(md5: bca6d3862c661b615a374d7ef61252c5)

iKAT VI: nueva versión de la popular herramienta de ataque a kioskos de Internet

Paul Craig presentará oficialmente el próximo 15 de agosto y durante la conferencia XCon2012 de Pekín la revisión 2012 o versión VI de iKAT (The Interactive Kiosk Attack Tool), el estándar de-facto para pruebas de intrusión en entornos restringidos como Terminales Citrix, WebTVs y Kioskos de servicios de acceso a Internet, impresión de fotografías, directorios de aeropuertos, museos, etc...

iKAT es muy fácil de usar (podríamos llamarlo torpemente "hacking gráfico"), es 100% gratuito y se presenta como un sitio web SaaS (software como servicio) que podremos visitar desde cualquier navegador con el objetivo de explotar el kiosko de turno y obtener una consola del sistema. La url es http://ikat.ha.cked.net y actualmente podemos encontrar versiones para Windows, Linux y otra denominada PhotoKAT diseñada para explotar cualquier sistema que nos permita insertar un dispositivo USB o tarjeta de memoria (normalmente terminales de impresión de fotos).

Sumergiéndonos en la Internet profunda

Internet oculta, invisible o profunda (Deep Internet) es la contraposición a la Internet navegable o superficial (Surface Internet), la web cuyo contenido no es indexado por la mayoría de los buscadores, comprendida en su mayoría por páginas protegidas, información de bases de datos y archivos no textuales sin metadatos.

Se calcula que Internet profunda alberga unas 500 veces más información de la que es posible encontrar a través de una búsqueda simple, es decir, se encuentra la mayoría de la información pero solo accedes a ella si sabes que existe y cómo acceder.

A menudo, muchas personas huyen de las arañas y sumergen sus datos en la Internet profunda de forma intencionada para conseguir privacidad y anonimato. Como podéis imaginar, muchas de ellas también lo hacen con fines delictivos y no será difícil encontrar en ella redes de sicarios, camellos, crackers, pedófilos y otros monstruos.

Existen multitud de métodos de acceso a la Internet profunda, la mayoría mediante facilitadores de contenidos o buscadores en el fondo (directorios temáticos y buscadores especializados) y través de redes de anonimato (I2P, FreeNet, Tor...).

Buster Sandbox Analyzer: instalación y primeros usos

Buster Sandbox Analyzer (en adelante BSA) es un analizador de comportamiento de malware de tipo sandbox, una herramienta diseñada para analizar los procesos y los cambios realizados en el sistema (ficheros, registro, puertos) para evaluar si son sospechosos.
 
Se basa en el  proyecto Sandboxie y además de evaluar malware ejecutándose en el sandbox, podemos utilizarlo para ver en detalle los cambios que realiza cualquier software al instalarse.


 
Esto incluye la posibilidad de analizar cualquier tipo de fichero (EXE, BAT, VBS, PDF, XLS, DOC, ...) si puede ejecutarse dentro de Sandboxie con la posibilidad de añadir librerías (DLL, OCX…) o instalar otro software adicional si es necesario.

 
Otra de las características a destacar de BSA es que oculta los procesos de sandboxie y otros para que los crypters y RATs que tienen activado el módulo anti-sandbox no impidan su análisis. Para ello hookea a nivel de kernel ZwQuerySystemInformation, por lo que es posible que el fichero BSA.SYS sea detectado por algunos antivirus como un rootkit (actualmente devuelven falsos positivos Rising, Sophos y TrendMicro).

Hackitat: crowdfunding para un documental sobre hacking político en el mundo

De forma similar a la que ya hizo Mercè Molist para conseguir financiar el libro de la Hackstory, han iniciado una campaña de donaciones o crowdfunding para hacer realidad la producción de un documental sobre la cultura hacker. Concretamente una película bautizada como Hackitat, que explora el conflicto por la comunicación digital libre, hablando con las personas que están en él.

Para ello necesitan la nada despreciable cifra de 80.000 dólares, un dinero que les permitirá visitar ambientes hacker en los cinco continentes que luego se incluirán en la película. Sin duda un proyecto bastante ambicioso e interesante que apoyamos con nuestra humilde redifusión.


..cantor.dust.., una herramienta visual de ingeniería inversa

..cantor.dust.. es una herramienta interactiva de visualización binaria, una evolución radical del editor hexadecimal tradicional. Al traducir la información binaria a una abstracción visual, los analistas forenses y de ingeniería inversa pueden examinar montañas de datos arbitrarios en cuestión de segundos. Incluso conjuntos de instrucciones nunca antes vistas y formatos de datos pueden ser fácilmente localizados y comprendidos a través de su huella digital visual. Ha sido incluida en el arsenal de la Blackhat 2012 y ya estamos deseando probarla...

Cheatsheet para el escalado de privilegios en Windows

En un test de intrusión de una máquina Windows muchas veces conseguimos una consola con un usuario sin privilegios, sobretodo en entornos Citrix o similares. La siguiente tarea en este caso suele ser conseguir acceso como system o con otra cuenta con privilegios de administración o, al menos, más elevados.

Existen multitud de técnicas más o menos efectivas dependiendo los "descuidos" de los administradores, los fallos de configuración, las vulnerabilidades y de lo actualizado que esté el software de la máquina objetivo. Os recomiendo concretamente leeros este artículo de Scott Sutherland y sobretodo esta presentación de insomniasec.com, de la que nuestro amigo Tim Arneaud ha tomado muchas cosas para elaborar un cheatsheet bastante esquemático que a la postre es muy útil y que también queríamos tener a mano.

Esta lista la iremos ampliando según vayamos encontrado nuevas técnicas y funcionalidades. Como siempre, cualquier comentario, sugerencia o feedback son bienvenidos.

Múltiples vulnerabilidades en los routers AR18 y AR28 de Huawei

Seguimos con las repercusiones y noticias de las charlas de la DefCon. Esta vez la ponencia "Hacking [redacted] Routers" de Felix Lindner (alias FX) y Gregor Kopf de Recurity Labs ha puesto en entredicho la pobre seguridad de los routers AR18 y AR28 de Huawei.

Para empezar, por defecto se puede conectar con los servicios SSH, FTP y HTTP desde fuera de la red e incluso mediante FTP es posible acceder a la memoria flash del dispositivo. También existen fallos en la administración de sesiones y desbordamientos de buffer y el análisis del firmware muestra que existen cerca de 10.000 llamadas a una función insegura sprintf().

Ambos investigadores también critican a Huawei ya que no disponen de una dirección de contacto para reportar vulnerabilidades, no publica avisos de seguridad y no identifica los bugs corregidos en las actualizaciones de firmware.

Para más detalle, ya se han publicado las diapositivas de la presentación.


Actualización: China's Huawei responds to US hackers